- Redmi Note 13 Pro 5G - nem százas, kétszázas!
- Xiaomi 15 - kicsi telefon nagy energiával
- iPhone topik
- Samsung Galaxy Watch4 és Watch4 Classic - próbawearzió
- Fotók, videók mobillal
- Karaktere biztos lesz az első Nothing fejhallgatónak
- Android alkalmazások - szoftver kibeszélő topik
- Honor 400 Pro - gép a képben
- Apple iPhone 16 Pro - rutinvizsga
- Samsung Galaxy S21 és S21+ - húszra akartak lapot húzni
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
mukkelek
újonc
Az összes így szokta, csak mondjuk nem délután egy órakor az ideális időpont. Éppen pont kábelt krimpeltem, akkor figyeltem fel a nagy villogásra. De mindegy is, ez vajmi keveset segített a problémán, ami ettől függetlenül régóta rágott. Jó lenne amúgy DMZ-ben is, úgy is megy, csak az a retkes ipsec a NAT-on nemigen bújik át. Azért a Microsoft megoldotta, (AssumeUDPEncapsulationContextOnSendRule) de nem a microservert akarom járatni, ha egyszer a mikrotik úgyis mindig megy. Vsgy valamit nem jól csinálok, az is könnyen lehet.
-
bambano
titán
"Tudom hogy vannak protokollok amik váltják a mac-et,de gondolom nem a létező tartományra oszt,hanem kijelölt virtuálisra.": például ha bridge módba kapcsolsz két ethernet lábat, akkor az átmenő forgalmat egy másik eszköz mac címével küldi ki. na ennyire fix a mac cím, hogy akár csomagonként változhat.
szerintem írd át az ethernet mac címét, oszt jólvan.
-
letix
senior tag
Köszi az infót..
Az Address List elég érdekesen hangzik, hogy elszáll(hat), de talán el tudom viselni.Mindenesetre kénytelen lesz elviselni hosszú távon, hiszen csak ezért (napi 8-10 órában amíg nem vagyok otthon), nem fogom áram alatt hagyni a lakást.Kivéve persze a hűtőt..
udv
letix -
-
Kiskutyák
aktív tag
"Csak kíváncsiság képpen csináltam egy port scannelés elleni rule-t, ami annyit tesz, hogy a 80 21 22-es portokra érkező közvetlen kéréseket logolja IP cím formájában és ki is tiltja ezeket az IP címeket."
Engem érdekelne ez a rule, hogy hogyan is néz ki pontosan. Le tudnád nekem írni? Köszönöm
-
-
bambano
titán
te milyen belső hálón vagy, ahol ssh bruteforce-ra kell számítani?
kicsit zagyva, amit írsz.
a linuxban, következésképp a mikrotikben is, meg lehet mondani, hogy melyik interfészre kapcsolódjon a szerver program. ha azt mondod, hogy az ssh-t a belső hálózati interfészre rakod fel, akkor mi a francnak külső oldalról ssh brute force védelem, mikor annál jobb brute force védelem, hogy semmi nem figyel az adott porton, nincs???szerintem szépen csomagold el a mikrotikedet és kezdj el alapszintű hálózati ismereteket tanulni, mert nagyon durván nem látod, hogy mi hogyan és miért van.
a kérdésedre a konkrét válasz: fogsz egy mikrotiket, ráböksz a gyári beállítás visszaállítására. utána kigyalulod az *ÖSSZES* tűzfal szabályt. felraksz egy natolást. átrakod az ssh-t és a winboxot a belső interfészre, letiltod a telnetet és jónapot.
ha a belső gépedet ki akarod tenni web szervernek, akkor ehhez kell még egy dsnat szabály. a web szervert törögető okosokat pedig a web szerveren kell megfogni, http protokoll szintű elemzésre a mikrotiket nem használnám.
remélem, félreértettem, hogy az ssh védelem mac azonosítással című történetet a külső hálózati interfészen akartad megcsinálni.
-
-
bacus
őstag
3 alap chain van, input, forward, output
Az utolsót hagyjuk, az input a routeredbe megy, azt védi, ha bármit szürsz, a forward átmegy, mind a ki, mind a be csomagok, ezzel védheted a hálozatod.
Kezeld is külön!
Az elsö illeszkedö szabály után nincs tovább. Ha a végén van egy drop, az jó, de ha elötte minden uj, vagy erre kapcsolatos dolgot acceptálsz, akkor az egyenlö a mindent elfogaddal, vagy azzal ha nincs is szabály!
-
brickm
őstag
Közben előástam az eredeti tűzfalat, amit a mikrotik tesz fel nálam:
add chain=input action=accept protocol=icmp comment="default configuration"
add chain=input action=accept connection-state=established comment="default configuration"
add chain=input action=accept connection-state=related comment="default configuration"
add chain=input action=drop in-interface=ether1 comment="default configuration"
add chain=forward action=accept connection-state=established comment="default configuration"
add chain=forward action=accept connection-state=related comment="default configuration"
add chain=forward action=drop connection-state=invalid comment="default configuration"Ha megnézed itt is előbb az inputra érkező icmp cosmagról rendelkezik, majd az established-re majd a relatedre, majd eldob mindent ami a net felől jön és nem illett ezekre.
Itt következik a forward ugyan azzal a sorrenddel, majd eldobja a hibás csomagokat a végén.
Itt csak azért nincs ugye a state:new, mert ő nem hibás és bár nem illik rá egyik szabály sem, átengedi.(gondolom én)
mivel nálam a végén mindent eldob, nekem kell elé egy state:new. -
bacus
őstag
Ez egy jó nagy szar.
Minden uj, majd minden related input accept, utána minden más drop?
Leirták mit jelent az input és forward közötti különbség, olvasd át mégegyszer.Ne nyúlj a gyári tűzfalhoz, se a sorrendjéhez, mert az egyszerű, de legalább jó. Az pont azt tudja mint a tplink vagy többi soho mikor kipipálod, hogy tüzfal igen, spi igen.
-
#96292352
törölt tag
Én is hasonlóan oldottam meg eleinte a brute force-t, mint ahogy itt írjátok, de úgy gondolom van ettől sokkal jobb is:
Chain: input -> Action: drop. szerk.: a külső IP felől
ez megfog minden inputot, vagyis ami a routert éri, ha ez megvan akkor lehet szépen egyesével engedni azt amit engedni szeretnénk.
Én úgy csináltam, hogy ezt a szabályt ki lehessen bármikor kerülni, ha megnyitom pl egy böngészőben a router ipjének egy portját, ami ugye nem fog csinálni semmi látszólagost, de a háttérben hozzáadja a forrás ip-t egy "white list"-hez, aminek az action nem drop, hanem accept lesz.
-
balaaa88
aktív tag
Lényegében "MAC-cím szűrést" szeretnék beállítani egy adott interface-re. Tehát felveszem firewall szabályok közé az ismert MAC-eket, azokat engedélyezem, majd az adott interface-en eldobom a többi kapcsolatot.
A kérdés az akart lenni, hogy 1. ez így jó-e? 2. illetve, hogy elég csak az input chain-be megadni az engedélyező szabályokat és a drop-ot vagy kell hozzá még az output illetve forward chain is?
Köszi
-
SimLockS
tag
Azt úgy tudod megoldani, hogy csinálj egy simple queue-t az adott IP-re, de adj is rá valami korlátot, ami lehet nagyobb is mint az egész net elérésé is. Utána amikor látod, hogy matchcsel az adott szabály, akkor abba belelépve már van torch.
Esetleg -ezt fejből nem tudom biztosan- a dhcp lease -nél is lehet, hogy megnézhető... -
gazrobur
csendes tag
Szia.
Nekem automatikusan hozzáad egy masquerade-et. (Firewall->Nat)
http://kepfeltoltes.hu/160219/tik_www.kepfeltoltes.hu_.jpg
Itt pedig gyönyörűen ad ip-t. Egy problémám van. Mikor elmegyek egy másik hálóra, és ott próbálok vpn-re csatlakozni akkor viszont nem lesz interneten
ping nem működik. Mi lehet a probléma? -
bacus
őstag
Nem igen van olcsó alternativa. Ujraépitett toner 3e /db fekete, 4-5e a szines. Egy huszas, ha mindet egyszerre kell cserélni. Itt uj szelén henger, uj chip, stb. Gyakorlatilag gyári minöségü tonereket kapsz, vele gondtalanságot. W10 nekem csak szivás (vállalati környezetben) w7 hez képest, nulla elönnyel! W7 alatt minden működik, remélem még évekig fog is.
-
-
gabyka
aktív tag
Köszi
, ezeken már túl vagyok, nem ma kezdtem...nyomtató jó, gépek (3 laptop) jók, hálózat (wifi) működik. Nyomtatás, nyomtatóval kommunikáció, na az provizórikus...nyominger válaszol de nem nyomtat (viszont HP, val'szeg ő a gyenge láncszem), mindez win10 óta. Megy vissza a 8.1, nem ér annyit az órabérem -
bacus
őstag
Ezt a feladatot tökéletesen megoldja a maszkolás, a nat.
Ezen túl már csak a csipő fogós módszer ami biztosabb, azaz simán levágod a csába a hálózatról, egy zárt láncra és csak helyben nézegethető az nvr.
Ugyanis az összes többi módszer, nincs átjáró, firewall tiltó szabályok szart se érnek, ha mondjuk már vpn-el bejutott, ugyanis akkor már nincs tűzfal, nincs semmi, ott van helyi hálón. (egy fertőzőtt gép elegendő, vagy egy teamviewer, vagy logme in, vagy hamachi, vagy...)
Fél megoldás, ha leragasztod a kamerák objektivjét fekete szigszalaggal, vagy mint a filmekben egy konzolon egy statikus képet raksz a kamera elé..
"Kérdés, hogy ez így mennyire szakszerűtlen és hogy ennek körülbelül hol kell elhelyezkednie a szabályok között?"
Tedd a legvégére, abból baj nem lehet.
Komolyan: minden linux alapú tűzfal úgy megy, hogy a szabályok kiértékelése az első illeszkedő szabályig tart.
Azaz ha van előtte egy accept, utána nem értékeli már ki, hogy helló, a végén még ide irtam, hogy de ha ez akkor drop, vagy fordítva, ha egyszer azt mondtad, hogy drop, akkor aztán hiába akarod később acceptálni.ha nincs illeszkedő szabály, akkor accept fog érvényesülni.
Két féle képpen gondolkozhatsz:
-tiltod amit nem akarsz, majd a végén minden accept (ezt ugye oda se kell irni)
-engeded amit akarsz és a végén minden dropa második módszer biztonságosabb
és kevesebb szabályt is kell alkalmazz. Innen visszatérhetünk a legelejére, hogy is kell biztonságosan letiltani, hogy kivülről ne legyen elérhető? Nem forwardolsz oda semmit. Ennyi. -
brickm
őstag
Elfelejtettem:
Most egy ilyen tűzfal rule-t tettem be, hogy ne tudjon kifelé kapcsolódni, így ha portot nis nyitok neki, nem érem el kintről.0 chain=forward action=drop src-address=192.168.0.111-192.168.0.126 log=no log-prefix=""
Kérdés, hogy ez így mennyire szakszerűtlen és hogy ennek körülbelül hol kell elhelyezkednie a szabályok között?
-
bacus
őstag
Kivülröl megy, (ment mindig is, erre sok pénzzel mernék fogadni), de szarul teszteled, ugyanis a te tesztedhez hairpin kell.
Napi 15 órában hálozatokkal foglalkozom, már akkor értem a problémát, mielött sikerül rendesen megfogalmaznia az emberek 99%-nak.
Olvasd el mit kérdeztem, majd mit válaszoltál rá.
-
Adamo_sx
aktív tag
Azért a dologhoz az is hozzá tartozik, hogy kérdeztél itt a fórumon részinformációkat megadva. Csupa olyan választ kaptál, hogy ki-hogy állította be magának és nála működik. Nálad egyik sem, az sem, ami más wiki oldalakon, fórumokon szintén sokaknak működött. Alapvető hálózati ismeretek nélkül, csak a példákat nézegetve nem lehet mindent beállítani egy ilyen routeren.
Bár előfordul, hogy egy már működő dolgot elrontanak a Mikrotiknál egy frissítésnél, de azt azért te sem gondolod komolyan, hogy ilyen hiba lett volna a ROS adott, viszonylag új verziójában és ez csak neked tűnik fel... -
bacus
őstag
Hát legyen. Ha még a megoldást sem akarod elolvasni, vagy megérteni, akkor szenvedj tovább. Szar ez a mikrotik, hogy nem tudja alapból a hairpin szabályt, mint bármelyik gagyi soho router, vagy pont úgy működik ahogy kell?
Amit linkeltem oldalt olvasd el még párszor, talán sikerül megérteni mi a probléma, ha megérted, talán sikerül a megfelelő nat szabályt még hozzáadni a tűzfaladhoz. Minden más esetben ott a visa / ecmc / paypal.
-
bacus
őstag
Látod itt a baj, amikor betévedsz egy fórumra, nem olvasol, csak kérdezel.
Ha csak kicsit vissza lapoznál akkor megtaláltad volna a megoldást. HAIRPIN néven. Többször előjött, több megoldás is linkelve lett.
Mobilnetről viszont mennie kellene. (feltéve, hogy nem szűrik az adott portot, mert pár port azért szürve van jó pár csomagban.)
-
brickm
őstag
Feltettem a 6.34.1-es csomagból a ROS mipsbe csomagot, kinyitottam megint a portot és elérem kintről.... Mást nem csináltam közbe.,..elvileg.
kerestem bugfix logokat senki nem jelzett efféle hibát, vagy nem találtam meg.
sebaj.
Másik: az ntp csomagot hogy tudom telepíteni? Felmásoltam lefuttattam a frissítést, de nem tudok az SNTP client-ben szervert megadni.Csak boradcast-re lehet állítani...
szerk.:meg is válaszoltam magamat, nem telepítette az ntp-t még.rekop
Próbálkoztam tegnap este tcp és udp porttovábbítással egyaránt, nem ment egyikkel sem.
De megoldódott szerencsére. köszönöm azért mindenkinek a segítséget! -
rekop
senior tag
Chain:dstnat
Protocol: tcp
dst port: 40082
Action-:dst-nat
To Adresses:192.168.0.101
To Port: 40082
In interface-nek ne írj be semmit, a te konfigodban nem szükséges. Így menni kellene, vagy még annyit kipróbálhatsz, hogy csinálsz még egy szabályt ugyanezekkel a beállításokkal udp-re is. -
Adamo_sx
aktív tag
Csak tipp: IP tartományok, kiosztott IP címek rendben vannak? A csatolt képeiden pl. a router 192.168.0.1, korábban meg azt írtad, a 192.168.254.10-es IP-re akarsz port forwardot, egy korábbi képen pedig a 192.168.254.11 volt beállítva. Nem lehet, hogy valahol elkavarodtál?
Amit legelőször leírtál, annak működnie kellene, ha valami más gond nincs a hálózatban.
Az in interface-t (és esetleg a WAN ip címet a dst címhez) azért szokás megadni, hogy csak azokban az esetekben működjön a port forward. ha kihagyod, akkor a routerbe érkező összes olyan csomag, ami a dst portra megy, továbbküldi a beállított IP:portra. Azt is, ami a belső hálóból menne kifelé. -
-
Adamo_sx
aktív tag
Ennyi kell hozzá, nálam is így van beállítva. Az IN intreface nem egyértelmű nálad, odaírtad az ether1-et is. Én a PPPoE klienst állítottam be.
De kérdés nálad a belső IP cím is, mert a korábbi ábrán, amit belinkeltél, nem volt ilyen IP cím.
DST-NAT,
Interface:
2 chain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=51413 protocol=tcp in-interface=WAN dst-port=51413 log=no log-prefix=""
13 R ;;; Digi PPPoE
WAN pppoe-out 1480 -
Adamo_sx
aktív tag
-
brickm
őstag
Illetve még egy kérdés, mert közben sikerült visszacsinálhatatlanul elnyomnom a routert...
Ha nem csinálok bridge-et...akkor nem adhatok dhcp servert az etherhez?
Most próbálgattam és ha kiveszem a bridge-et, és átirányítom a dhcp servert meg a tűzfalat az ether2-re direktbe, akkor elmegy a netem. -
bacus
őstag
Nem tudom mire gondolsz, mindenkinél másra van szükség. Ami kell, azt felhúzod rá.
A minimális firewall konfig (ami a reset után előhivható) tartalmazza a tényleg minimálisat, ez kb ugyanaz mint a soho routerek firewallja.
input wan felől tiltva, nat, invalid csomagok eldobása, establised,related elfogadása, a többi eldobása.
Ez igy egy nagy halom semmi, de látod, van aki megveszi weben beállitja, aztán boldog vele
-
csusza`
senior tag
Kedden fightolok velük egy sort, aztán meglátjuk...
Addigis lenne még egy kérdésem: VLAN esetén tudja-e esetleg valaki, hogy menedzselt switch-en lehet-e VLAN-t végeztetni úgy, hogy a switch megadott két portján menjen ki a VLAN?
Konkrétan egy Mikrotik routerben 4-es VLAN taggel van létrehozva egy hálózat(192.168.4.x), amely kimegy egy 48portos AlliedTelesis switch-re, aminek a 46-47 portjára kéne ráakasztani két eszközt, amik ezt a 4.x IP-t kapnák meg... Lehet kicsit bonyolult, de nem akarok a switchre még két eszközt switchet ráakasztani, ha nem muszáj. -
csusza`
senior tag
Voilá:
C:\Users\csusza>tracert www.index.hu
Tracing route to www.index.hu [217.20.130.99]
over a maximum of 30 hops:
1 <1 ms <1 ms 1 ms 192.168.1.1
2 2 ms 2 ms 2 ms 145.236.238.26
3 4 ms 4 ms 4 ms 81.183.3.144
4 4 ms 4 ms 4 ms 81.183.3.145
5 5 ms 6 ms 6 ms 81.183.2.237
6 4 ms 4 ms 4 ms 195.56.20.177
7 4 ms 7 ms 4 ms index.hu [217.20.130.99]
Trace complete.Most egyébként újraindítottam a routert, mert kíváncsi voltam, hogy a no-ip DDNS befrissíti-e a címet... Router hiába írja, hogy befrissítette a címet, de nem... Semmi.
-
Proci85
senior tag
Szia
A switch chip HW-s switch, bridge pedig egy SW megoldás, erősebb CPU terheléssel.
Amelyikben van switch chip, ott tehermentesíteni tudod a CPU-t, ha adott portotokat 1 switchez kapcsolod (master port -os szisztéma).
Ez a portok közötti komminikációnál, VLAN kezelésnél kihagyja a CPU-t (konkrétan a csomag nem jut fel CPU szintre), és nagyságrendekkel nagyobb átvilteli sebességet tudsz elérni a portok között.
Persze, amint tűzfal szabályokat használsz ezekre a portokra, fel kell küldenie a CPU-nak.
A VLAN kezelést is máshol, másként kell intézni, ha switch chipen vagy bridgelt módban akarod használni.
[link] -
Proci85
senior tag
Ha elég a features limit (pl. 1 egyidejű VPN kapcsolat), akkor kérj ingyenes demo licenszet ami örök élet, nem áll le 24 óra után.
Én több x86-os rendszert igy használok és elég amire kell. Frissíthető, semmi hátrányt nem szenvedsz a számbeli limiteket leszámítva. -
bambano
titán
beírod, hogy print
ha van benne switch chip, akkor látni fogod a konfigját. (a konfig egy részét)
tehát valami ilyet:/interface ethernet> print
Flags: X - disabled, R - running, S - slave
# NAME MTU MAC-ADDRESS ARP MASTER-PORT SWITCH
0 ether1-master-l... 1500 E4:8D:8C:81:CA:1D enabled none switch1
1 S ether2-slave-local 1500 E4:8D:8C:81:CA:1E enabled ether1-master-local switch1
2 S ether3-slave-local 1500 E4:8D:8C:81:CA:1F enabled ether16-lan switch1
3 S ether4-slave-local 1500 E4:8D:8C:81:CA:20 enabled ether16-lan switch1
4 RS ether5-slave-local 1500 E4:8D:8C:81:CA:21 enabled ether16-lan switch1
5 RS ether6-slave-local 1500 E4:8D:8C:81:CA:22 enabled ether16-lan switch1
6 S ether7-slave-local 1500 E4:8D:8C:81:CA:23 enabled ether16-lan switch1
7 S ether8-slave-local 1500 E4:8D:8C:81:CA:24 enabled ether16-lan switch1ezen már látszik pár dolog, amin el lehet indulni.
szerk: ja, neked pc-n vmware-ben futtatott routeros-ed van. abban nincs switch szerintem.
-
SimLockS
tag
Konkrétan ezt a típust nem ismerem, de minden dobozos cucc licenszelve fenn van a "vason". Sztem szokott rajta lenni alapkonfig is, hogy IP alapon is elérd. Ha Winboxszal ugrasz neki, akkor felajánlja az alapkonfig törlést. Legalábbis így emlekszem azokra, amiket próbáltam...
ping nem működik. Mi lehet a probléma?
Új hozzászólás Aktív témák
Hirdetés
ekkold
- Redmi Pad Pro, 6GB/128GB, még garanciális
- Honor 200 Pro 512GB, Kártyafüggetlen, 1 Év Garanciával
- Lenovo Thinkpad L14 Gen 4 -14"FHD IPS - i5-1335U - 8GB - 256GB - Win11 - 2 év garancia - MAGYAR
- Apple iPhone 14 PRO - 128GB - Deep Purple - 85% akkumulátor
- GOPRO Hero 11 BLACK akciókamera - különlegesség!!! Labs fw 01.20.70
- ÁRGARANCIA!Épített KomPhone i9 14900KF 32/64GB RAM RX 9070 XT 16GB GAMER PC termékbeszámítással
- BESZÁMÍTÁS! MSI B550M R7 3700X 16GB DDR4 512GB SSD RTX 3060Ti 8GB NZXT H5 Flow RGB 650W
- Bomba ár! Lenovo ThinkPad T480s - i7-8GEN I 16GB I 256GB I 14" WQHD I HDMI I Cam I W11 I Gari!
- Gombászkönyvek egyben
- MacBook felváráslás!! MacBook, MacBook Air, MacBook Pro
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest