Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   Предыдущие части темы: часть 1, часть 2, часть 3, часть 4 Официальный сайт: https://mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике   актуальные версии RouterOS: Stable: 7.17 Подробнее... Testing: 7.18b2 Stable: 6.49.17 Long-term: 6.49.13 актуальная версия SwitchOS: 2.17 актуальная версия WinBox: 3.41 32/64-bit Подробнее...   Mikrotik — Плюсы и минусы Подробнее... Видео-экскурсия по заводу Mikrotik Ltd FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти Официальная документация: Англоязычный ОФИЦИАЛЬНЫЙ мануал Алфавитный указатель Официальные статьи пользователей RouterOS для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере) Совместимое оборудование Описание изменений в новых версиях RouterOS(+rc) RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS) Система управления пользователями встроенная в RouterOS (RADIUS server) l7-protos.rsc (примеры L7-filter) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1        Подробнее... Демо-сайт с веб-интерфейсом системы №2        Подробнее... MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... "Хардварные решения" MikroTik News MikroTik related video service DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее... Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти Обсуждение ROS(форумы)    Перейти Обзоры продуктов RouterBOARD    Перейти Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ...   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы    Перейти   VPN + OSPF в картинках. MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. Всего записей: 4459 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: alexnov66, 01:17 22-01-2025

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору serega1372 ip адрес на интерфейсе Билайна удалите, или dhcp клиент отключите, используется или получение ip адреса по dhcp или прописывается вручную, но ни как не одновременно. Желательно адреса прописывать вручную а не по dhcp, если провайдер это позволяет, и маршруты вручную, к первому прову с метрикой 1, к второму с метрикой 2 Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 18:03 12-04-2019 | Исправлено: alexnov66, 18:06 12-04-2019

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Sashaiv Всё работает, ищите ошибку в правилах, при знании логина и пароля более 5 попыток не стоит делать, даже 3-х.   Немного по другому. Код: /ip firewall filter add action=drop chain=input comment=input_drop_tcp_brute dst-port=3389 in-interface-list=wan protocol=tcp src-address-list=list_drop_tcp_brute add action=add-src-to-address-list address-list=list_drop_tcp_brute address-list-timeout=1w chain=input connection-state=new dst-port=3389 in-interface-list=wan protocol=tcp src-address-list=list_auth4_tcp_brute add action=add-src-to-address-list address-list=list_auth4_tcp_brute address-list-timeout=1m chain=input connection-state=new dst-port=3389 in-interface-list=wan protocol=tcp src-address-list=list_auth3_tcp_brute add action=add-src-to-address-list address-list=list_auth3_tcp_brute address-list-timeout=1m chain=input connection-state=new dst-port=3389 in-interface-list=wan protocol=tcp src-address-list=list_auth2_tcp_brute add action=add-src-to-address-list address-list=list_auth2_tcp_brute address-list-timeout=1m chain=input connection-state=new dst-port=3389 in-interface-list=wan protocol=tcp src-address-list=list_auth1_tcp_brute add action=add-src-to-address-list address-list=list_auth1_tcp_brute address-list-timeout=1m chain=input connection-state=new dst-port=3389 in-interface-list=wan protocol=tcp src-address-list=!list_allow_ip_all     В лист list_allow_ip_all заносим все разрешенные ip адреса, в том числе и внутренние, если вы не указываете внешний интерфейс и правило работает для всех интерфейсов.   Правило на инпут надо делать, вы же подключаетесь к микротику на ip адрес и порт, и время сократить до 30 секунд, за 30 секунд сколько можно успеть сделать попыток в ручную не считая программой.   Код: /ip firewall filter add action=jump chain=input comment=Add_bruteforcers_tcp_port connection-state=new dst-port=80,443,8080,8443 in-interface-list=wan jump-target=check_bruteforce protocol=tcp add action=jump chain=input comment=Add_bruteforcers_udp_port connection-state=new dst-port=80,443,8080,8443 in-interface-list=wan jump-target=check_bruteforce protocol=udp add action=jump chain=input comment=Add_bruteforcers_tcp_port connection-state=new dst-port=20,21,22,23,53,990,3389,1723 in-interface-list=wan jump-target=check_bruteforce protocol=tcp add action=jump chain=input comment=Add_bruteforcers_udp_port connection-state=new dst-port=20,21,22,23,53,990,3389,1723 in-interface-list=wan jump-target=check_bruteforce protocol=udp add action=drop chain=input comment=Drop_bruteforcers_port in-interface-list=wan src-address-list=bruteforcer add action=add-src-to-address-list address-list=bruteforcer address-list-timeout=15m chain=check_bruteforce comment=Add_bruteforcer_to_blacklist_15m src-address-list=bruteforce_stage_6 add action=add-src-to-address-list address-list=bruteforce_stage_6 address-list-timeout=1m chain=check_bruteforce comment=Add_to_bruteforce_stage_6_1m src-address-list=bruteforce_stage_5 add action=add-src-to-address-list address-list=bruteforce_stage_5 address-list-timeout=1m chain=check_bruteforce comment=Add_to_bruteforce_stage_5_1m src-address-list=bruteforce_stage_4 add action=add-src-to-address-list address-list=bruteforce_stage_4 address-list-timeout=1m chain=check_bruteforce comment=Add_to_bruteforce_stage_4_1m src-address-list=bruteforce_stage_3 add action=add-src-to-address-list address-list=bruteforce_stage_3 address-list-timeout=1m chain=check_bruteforce comment=Add_to_bruteforce_stage_3_1m src-address-list=bruteforce_stage_2 add action=add-src-to-address-list address-list=bruteforce_stage_2 address-list-timeout=1m chain=check_bruteforce comment=Add_to_bruteforce_stage_2_1m src-address-list=bruteforce_stage_1 add action=add-src-to-address-list address-list=bruteforce_stage_1 address-list-timeout=1m chain=check_bruteforce comment=Add_to_bruteforce_stage_1_1m   В первом снизу правиле можно добавить лист исключения ip адресов. Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 17:37 18-04-2019 | Исправлено: alexnov66, 18:46 18-04-2019

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vklp Цитата: ввод пароля осуществляется внутри соединения Эти правила не от ввода пароля а от количества попыток соединения к микротику за определённый промежуток времени. От ввода неправильного пароля действительно должен блокировать сам сервер. Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 19:12 18-04-2019

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору У филиала известный диапазон ip адресов, для этого можно добавить лист исключения, и дальше первой попытки адреса не будут заноситься в адрес лист Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 19:34 18-04-2019 | Исправлено: alexnov66, 19:36 18-04-2019

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Ещё и в цепочке input xD   Верно, должно быть форвард, ведь 3389 - это проброс натом на сервер.   Цитата: Придёт как-нибудь филиал где больше двух человек утром на работу вовремя, и поедут все в бан за попытки соединения.   Не ваша правда. У меня такое стоит и нет проблем. Бывают проблемы, если юзеры тычутся туда, как ягнята в ворота. Но их блочит на 10 минут. Этого хватает, чтобы они переосмыслили всю бренность своего бытия.   ЗЫ: попутно вопрос знатокам. Если на сервере расшарить папку для всех и даже гостей и сунуть этот сервер в зону DMZ, то можно ли зайти на шару по адресу \\белый IP или как нить по-другому ? Всего записей: 335 | Зарегистр. 12-07-2008 | Отправлено: 16:16 19-04-2019

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Придётся прокидывать SMB и возможно NetBios, возможно будут проблемы с брэндмауэром самой windows, но в любом случае нормальная практика это делать VPN и маршрутизировать внутренние сети. Про ВПН и прочее - это понятно. Встал вопрос, кто виноват. Один настраивал модем простой ДЛИНК и сунул сервер в зону ДМЗ, чтобы не пробрасывать порты. Второй настраивал сервер и расшарил папки с базами 1С (тут понятно, ибо базы файловые). В итоге база "уплыла". Ценности она никакой не имеет, но всё же хочется знать, возможно ли при такой настройке, войти на шару, при том, что брендмауэр включен ? Хочется знать,кто лоханулся ?   Пробовал воспроизвести на других серверах такую ситуацию, и не смог войти. Правда там Асусы стоят. Но так же запихал сервак в DMZ и отключал все фаеры на модеме. Ноль результата. Всего записей: 335 | Зарегистр. 12-07-2008 | Отправлено: 19:39 19-04-2019

leosart Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Добрый день, уважаемые! Подскажите, кто сталкивался, как правильно настроить на микротике бондинг с раунд робином двух входящих провайдеров (eth1 и eth2)? Суть самой проблемы в том, что за роутером телефония и операторы. Когда операторы звонят клиентам начинают теряться голосовые пакеты, плюс сам винбокс тормозит и выбрасывает меня (я к нему подключаюсь из инета). И впнщиков тоже отключает. К виндоксу подключаюсь на внешний IP интерфейса eth1, на енго же и впнщики подключаются. У провайдеров транков разрешены обы наших внешний IP. Или микрот с бондингом внешних каналов не умеет работать? Всего записей: 135 | Зарегистр. 05-07-2010 | Отправлено: 16:23 24-04-2019 | Исправлено: leosart, 16:24 24-04-2019

leosart Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vklp Приоритеты не менял, но и в правду очень странно все срабаотывает... Просмотрел РСС, да, пожоже то что надо, спасибо! Всего записей: 135 | Зарегистр. 05-07-2010 | Отправлено: 17:12 24-04-2019

55550000 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ребят, помогите с дурацким вопросом:   l2tp тунель (mikrotik-clietn(dynamic ip)-internet-mikrotik-server(static ip)).       Смотрю, кто как настраивает - кто-то только в разделе c L2tp, кто-то в этом разделе не ставит галку, но настраивает Ipsec в разделе ip-ipsec, кто-то и там и там. Как правильно?   Чем отличается установка Ipsec в разделе l2tp server от ip-ipsec? В wiki написано, что вроде вторая используется только при условии, что удаленный клиент сидит за nat. Так или есть еще нюансы? ---------- Челябинск - родина сладкой стекловаты... Челябинские мужчины настолько суровы, что... Всего записей: 1852 | Зарегистр. 16-11-2004 | Отправлено: 09:00 25-04-2019

55550000 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP   Здесь про L2TP указано, что и так и так можно. Но в чем принципиальная разница? ---------- Челябинск - родина сладкой стекловаты... Челябинские мужчины настолько суровы, что... Всего записей: 1852 | Зарегистр. 16-11-2004 | Отправлено: 19:21 29-04-2019

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование