Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

Открыть новую тему     Написать ответ в эту тему

Germanus



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
Предыдущие части темы: часть 1, часть 2, часть 3, часть 4
Официальный сайт: https://mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
актуальные версии RouterOS:
Stable: 7.14.2 Подробнее... Testing: 7.15b8
Stable: 6.49.13 Long-term: 6.49.10

актуальная версия SwitchOS: 2.17
актуальная версия WinBox: 3.40 32/64-bit Подробнее...

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 4418 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: anton04, 12:30 28-03-2024
    4seasons



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fly_indiz
    Цитата:
    не пытались заходить

    А обнулять этот счетчик можно или придется следить за нарастанием числа?

    Всего записей: 5510 | Зарегистр. 31-05-2009 | Отправлено: 14:36 26-01-2020
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    4seasons

    Цитата:
    Увы, но шеф в браузере ничего не нажимает, потому как этим не удобно пользоваться

    Вы определитесь вам нужно удобно или безопасно?
     
     
    fly_indiz

    Цитата:
    надо бы в шапку вынести большими красными буквами - "прежде чем задать вопрос - экспортни и выложи свой конфиг"...

    А на 4PDA так и сделали, но в 95% на это никак не реагируют.

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 16:14 26-01-2020 | Исправлено: leshiy_odessa, 16:14 26-01-2020
    contrafack

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    У микротика есть какие то встроенные защиты, скажем от брутфорс, DDoS , white/black листы..  
    Ну и какие сторонние варианты защиты есть?  

    Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 18:02 26-01-2020
    fly_indiz



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    4seasons
    в винбоксе на этой странице сверху кнопка есть Reset Counters - обнуляет счетчики выделенных в скиске правил
     
    Добавлено:
    contrafack
    готовых кнопок "сделать хорошо" нету, это логический конструктор, набор деталей.
    Плюс еще и скриптовый язык. Как вместе сконфигуришь так и будет (почти все равно что тоже самое спросить вцелом про linux - это операционка - что на ней сделаешь то и будет). Защиты от брутфорсов можно делать, и весьма по разному.
    Списки конечно разные можно делать, и не только белые/черные, а какие хочешь - зависит как сам логику построишь  для созданых тобой списков. Есть списки адресов, списки интерфейсов... а как их будешь применять в логике правил, скриптов - дело собственной фантазии.
    Про "сторонние варианты" - не оч понял вопрос..

    Всего записей: 2611 | Зарегистр. 28-04-2006 | Отправлено: 18:22 26-01-2020
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    contrafack

    Цитата:
    У микротика есть какие то встроенные защиты, скажем от брутфорс, DDoS

    Да, есть — настройки  Firewall из коробки. Этого достаточно.

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 19:03 26-01-2020
    4seasons



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    leshiy_odessa
    Цитата:
    настройки  Firewall из коробки

    Я так понимаю, это те, что под названием defconf?
     


    Всего записей: 5510 | Зарегистр. 31-05-2009 | Отправлено: 19:26 26-01-2020
    S1NT3Z



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Если кому то будет полезным, вот скрипт бекапов микротика на почту и автоматического обновления (если требуется)
     
    В скрипте 3 основных режима, можно выбрать нужный:
     
    Простой бекап, раз в день скрипт делает бекап всей системы и выгружает конфиг, эти два файла он шлет на почту где они хранятся.
    Уведомление о выходе новой версии, кроме бекапа скрипт пришлет информацию если вышла новая версия прошивки.
    Бекап и автоматическая установка новой версии прошивки, сначала бекап на почту, потом процесс обновления и в завершении скрипт пришлет еще одно письмо о том что новая прошивка была установлена.
     
    Можно указать ограничение чтобы скрипт автоматически ставил только фикс (патч) обновления. Т.е. те у которых меняется только последняя цифра в версии. Прим. 6.33.2 -> 6.33.3
     
     
    https://github.com/beeyev/Mikrotik-RouterOS-automatic-backup-and-update

    Всего записей: 80 | Зарегистр. 23-06-2006 | Отправлено: 22:44 26-01-2020
    NeoHunter

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
    Приветствую. Конфиг смотрели?
    /export hide-sensitive

    Да экспортнул и глянул
    для 6 порта стоит следующее(хотя в gui настройка исчезла)
     
    set [ find default-name=ether6 ] advertise=\
        10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full arp=\
        reply-only bandwidth=unlimited/4M comment="resctrict" \
        name=ether6-switch100-slave
    и кстати в  2011UAS-2HnD 6-10 это 100Мбит порты
    почему тут в advertise фигурируют 1000M-half,1000M-full ? Кривая конвертация ?
    И как ограничить скорость на этом интерфейсе скажем в 40 Мбит
    просто поправить bandwidth=unlimited/40M ?
     
    ps кстати как собственно поменять это значение с bandwidth=unlimited/4M на bandwidth=unlimited/40M?

    Всего записей: 944 | Зарегистр. 07-09-2002 | Отправлено: 10:15 27-01-2020 | Исправлено: NeoHunter, 10:37 27-01-2020
    fly_indiz



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    NeoHunter
    Ну так то что ты написал кусок из экспорта - это и есть команда микротику в терминале.
    Точнее вот команда смена конкретной характеристики так как ты хочешь:

    Код:
    /interface ethernet set [ find default-name=ether6 ] bandwidth=unlimited/40M

    ну или 40M/40M выставить если в обе стороны надо резать.
    У микротов есть ещё Wiki по всем командам, вот в частности по ethernet интерфейсам:
    https://wiki.mikrotik.com/wiki/Manual:Interface/Ethernet

    Цитата:
    bandwidth (integer/integer; Default: unlimited/unlimited)    Sets max rx/tx bandwidth in kbps that will be handled by an interface. TX limit is supported on all Atheros switch-chip ports. RX limit is supported only on Atheros8327/QCA8337 switch-chip ports.

    через командную строку можно изменить много больше параметров чем в винбоксе (и уж тем более в веб-интерфейсе)

    Всего записей: 2611 | Зарегистр. 28-04-2006 | Отправлено: 11:02 27-01-2020 | Исправлено: fly_indiz, 11:15 27-01-2020
    NeoHunter

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fly_indiz
    Пасибо за информацию,
    но кстати если дать команду  
    /interface ethernet set [ find default-name=ether6 ] bandwidth=unlimited/40M
    то выдает ошибку  -  
    [admin@MikroTik] > /interface ethernet set [ find default-name=ether6 ] bandwidth=unlimited/40M  
    failure: max 1000M supported
    Что-то ерунда какая-то, 6 порт он вообще-то 100Мбит  
    и потом 40М - я так понимаю это 40 Мбит - в вики кстати на тему размерности ничего нету, и даже примера нету
    Я опытным путем выяснил что максимальное значение - это 10М, но почему ????
    Порт то 100Мбит - непонятно.

    Всего записей: 944 | Зарегистр. 07-09-2002 | Отправлено: 13:29 27-01-2020
    fly_indiz



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    NeoHunter
    честно никогда не менял этот параметр. Возможно M - это не мбит, а мбайт, тогда все сходится. Тогда нужные 40мбит тогда и получается как 4M
     
    П.С. если надо узнать какой либо параметр у порта это можно такой командой:

    Код:
    :put [/interface ethernet get [find default-name=ether6] bandwidth]

    узнать список параметров у интерфейса можно набрав:

    Код:
    /interface ethernet get [find default-name=ether6]  
    сзади пробел и жмем TAB - выскочит список параметров
     
     
    П.П.С. кстати в RoS 7 будет новый синтаксис командной строки, слегка изменится. Сейчас он пока универсально обратно-совместим с текущим синтаксисом.

    Всего записей: 2611 | Зарегистр. 28-04-2006 | Отправлено: 14:28 27-01-2020 | Исправлено: fly_indiz, 16:07 27-01-2020
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    NeoHunter
    Раньше, когда в Винбоксе можно было настраивать скорость, 10М тоже было максимальным значением

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 23:17 27-01-2020
    NeoHunter

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fly_indiz

    Цитата:
    Возможно M - это не мбит, а мбайт, тогда все сходится. Тогда нужные 40мбит тогда и получается как 4M

    Неа, вот тут то собака и порылась, я проверял если ставлю 4M потом с компа на этом порту спидтест = четко показывает 4Мбита, ставлю 10М - показывает 10 Мбит. Так что М, это именно Мбит. Получается что это какая-то недоработка или глюк, иначе непонятно почему максимальное значение ограничения по скорости только 10Мбит причем и для 100 Мбит портов и 1 Гбит портов.
    Кстати вот и в гуи на 6.40 Stable
    максимальное значение 10Мбит
    https://jpegshare.net/23/ed/23ed9111c1a1443548456e7a376f498b.jpg.html
     
    Добавлено:
    Chupaka

    Цитата:
    Раньше, когда в Винбоксе можно было настраивать скорость, 10М тоже было максимальным значением

    Ага см скриншот выше.
    Но возвращаясь к моей проблеме, пришлось возвращать дефолтные unlimited/unlimited
    только при таком раскладе на 6 порту 2011UAS-2HnD  подключенные через дополнительный хаб, комп и  IPTV приставка работают нормально и на аплинке к провайдеру не возникает диких пингов и таймаутов. Ограничение в 10М т.е. 10 Мбит ситуацию немного улучшило, но не исправило все равно на линке к провайдеру появлялись таймауты  и громадный пинг.
    Я вот думаю может это вообще какой-то глюк или недоработка  у микротиковцев ?
     
    Получается сейчас ограничить скорость на порту только через queue ?  
    А если включен fasttrack ?  
     
     
     

    Всего записей: 944 | Зарегистр. 07-09-2002 | Отправлено: 23:30 27-01-2020 | Исправлено: NeoHunter, 00:29 28-01-2020
    fly_indiz



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    NeoHunter
    Выходит что так. Спасибо за инфу, тоже буду знать про 10мбит.
    А фасттрак очередям вроде как не мешает.

    Всего записей: 2611 | Зарегистр. 28-04-2006 | Отправлено: 11:29 28-01-2020
    NeoHunter

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fly_indiz

    Цитата:
    А фасттрак очередям вроде как не мешает.  

    Вот тут пишут что его нужно отключить в первую очередь, если нужно скорость ограничивать  
    https://www.technotrade.com.ua/Articles/how_to_limit_throughput_mikrotik.php#speed_limit_equall

    Всего записей: 944 | Зарегистр. 07-09-2002 | Отправлено: 10:47 29-01-2020
    zBear



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    NeoHunter

    Цитата:
    его нужно отключить в первую очередь, если нужно скорость ограничивать

    так и есть
    либо ограничения скорости, либо fasttrack

    Всего записей: 1635 | Зарегистр. 20-02-2007 | Отправлено: 11:01 29-01-2020
    contrafack

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Это все хорошо, как бы в теории можно и в марс летать (хотя может уже и летают)
    А на деле можно ли микротиком (RB3011) постоять перед атакой и сканированием ?

    Всего записей: 3308 | Зарегистр. 21-04-2008 | Отправлено: 13:33 29-01-2020
    4seasons



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    У меня вирусы взломали доступ по root у видеорегистраторов. В техподдержке сказали, что обычно взлом происходит по протоколам ssh и telnet, поэтому в новых регистраторах они эти протоколы закрыли и, судя по всему, в моих они были открыты.
     
    Отсюда вопрос:
    можно ли на роутере закрыть доступ к регистраторам (порты 20081-20085) по протоколам ssh и telnet?
     
    Конфигурацию роутера приложил #

    Всего записей: 5510 | Зарегистр. 31-05-2009 | Отправлено: 17:40 29-01-2020 | Исправлено: 4seasons, 17:45 29-01-2020
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    4seasons
    SSH и Telnet - это обычно порты 22 и 23 соответственно. А 20081-20085 - это явно какие-то внутренние протоколы регистраторов.

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:50 29-01-2020
    4seasons



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    Порты 20081-20085 это внешние порты, по которым с инета захожу в регистраторы.
    На порту 22 у меня есть свой сервер SSH на отдельном компе, доступ к которому через инет мне нужен самому, поэтому мне надо закрыть не порты 22 и 23, а их протоколы, и только на портах регистраторов (внешних 20081-20085, внутренних 81-85).
     
    Можно ли это в принципе как то сделать?

    Всего записей: 5510 | Зарегистр. 31-05-2009 | Отправлено: 18:20 29-01-2020 | Исправлено: 4seasons, 18:38 29-01-2020
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru