- Bemutatkozott a Poco X7 és X7 Pro
- Xiaomi 15 - kicsi telefon nagy energiával
- Xiaomi 13 - felnőni nehéz
- Samsung Galaxy S24 Ultra - ha működik, ne változtass!
- Csíkszélességben verné az Exynos 2600 a Snapdragon 8 Elite 2-t
- Samsung Galaxy A55 - új év, régi stratégia
- Keretmentesít a Galaxy S25 FE
- Honor 200 Pro - mobilportré
- One mobilszolgáltatások
- iPhone topik
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
válasz
thesitu
#9372
üzenetére
Pár éve még én is játszogattam, küzdöttem a blacklist-es témával. Csak úgy pörgtek a számlálók 😁
Az FTP, Telnet, SSH, Winbox és társai könnyen védhetőek. Az ember megváltoztatja a port számo(ka)t, és korlátozza őket a belső IP tartományra.
Na de VPN-nél, mondjuk egy alap PPTP vagy L2TP esetén ezek már nem járható utak. Itt is folyamatosan láttam a próbálkozásokat. Most 1-2 éve ezeket magyar IP címekre korlátoztam. Gyakorlatilag egyik napról a másikra zéróra csökkent a próbálkozók száma a LOG-ok alapján 😁 -
Horvi
őstag
válasz
thesitu
#9370
üzenetére
Áhh sorry, látom ekkold már kijavította a dolgot. Amikor én néztem régebben és váltottunk is pár PM-et akkor a winbox portja ami hozzá lett adva a firewall rule-hoz ami rakja a népeket blacklistre az 8192 volt, de most már javítva lett 8291(ez a default).
Szóval így mennie kellene a dolognak, mondjuk célszerű lehet a winbox elérést átrakni más portra.
Még egy kérdés, a blacklisten ha rákeresel akkor megtalálod ezt az IP címet ahonnan próbálkoztak?
-
-
#9364
Alteran-IT
őstag
thesitu
#9360
Alteran-IT
őstag
válasz
thesitu
#9360
üzenetére
Először is megírom a félreértés elkerülése érdekében, hogy az előző hozzászólásom második része nem veled kapcsolatos, direkt nem írtam összehasonlítást, csak néha-néha már kimondom amit tapasztalat alapján gondolok azt néha félreértés van belőle.
Ami pedig a kérdést illeti, bár külön IP hálózaton vagy, de ezzel gyakorlatilag a belső hálózatra tudsz belépni, ha jól emlékszem, akkor plusz tűzfalszabály nélkül eléred a 192.168.5.0/24 hálózatot (ugye a konfig szerint ez van beállítva), vagy ami még van, tehát ha onnan elérted és tudtad menedzselni eddig a mögötte lévő routert, akkor most is ugyan így el tudod érni, persze ez attól függ, hogy annak a menedzsmentje hogy van beállítva, meg hogy vannak a hálózaton.
-
ekkold
Topikgazda
válasz
thesitu
#9360
üzenetére
Az utóbbi néhány hozzászólás alapján (és mivel a mailcímemre is írtál) javaslom, hogy olvasd el újra a mikrotikes cikkemet Ha az ott olvasottakat sikerül megérteni, és aszerint jártál volna el, akkor ez a szívás gyakorlatilag kimaradt volna. (pl. nyilván nem éred el külső IP-ről, winbox-al, hiszen biztonsági okokból a belső hálóra lett korlátozva a winbox elérés) Ha pedig korrekt és részletesebb információkat adtál volna a problémáról, akkor sokkal hamarabb meglett volna a megoldás is.
Ismerkedj meg az export paranccsal is, hasznos lehet, ha majd ismét segítséget kell kérned valamilyen mikrotikes témában (pl így egyszerűen megoszthatod a routered beállításait azokkal akiktől segítséget kérsz). -
#9359
Alteran-IT
őstag
thesitu
#9356
Alteran-IT
őstag
válasz
thesitu
#9356
üzenetére
Igen, sebezhetőbb. Kívülről, mint pl. mobilnetről én is úgy menedzselem a routert, hogy létrehoztam egy vpn (L2TP/IPsec) elérést (szerencsére az Andriod-nak van beépített kliense, így egyáltalán nem problémás) ezzel felcsatlakozom a belső hálózatra, amire ugye le van korlátozva a Winbox-os elérés és úgy menedzselem, neked is ezt javaslom.
(#9357) bacus: Én nagyon sok esetben ugyan ezt mondom, vagyis egy adott szakma eszközeit nem kell lebutítani, az embereket kell hozzá kiokosítani/képzeni, mert ha ez így halad tovább, akkor nem nézünk túl szép jövő elé.
Na meg ugye arról nem is beszélek, hogy a webes felület, meg egyéb hülyeség mind plusz erőforrást emésztenek fel, illetve biztonsági kockázatot jelentenek.
Az előző témához kicsit visszatérve, ismerek egy-két érdekes embert, akiknek IT-vel foglalkozó cége van, az egyiknek van hozzá valami információbiztonsági felelősi papírja is (már ezt is úgy osztogatják, mint a diplomát, lassan mindenkinek van), de ha tudnád, hogy mennyire szaki ... ugye a mindenre portot nyit dologról ne is beszéljünk, ahogy arról se, hogy a számítógépek és eszközök menedzseléséhez alap, illetve rövid nevű accountot ad, mellé olyan jelszóval, amit én 10 perc alatt kitalálok, gondolom nem kell részleteznem, egyébként egy gépet sem tud rendesen feltelepíteni, persze elég sok mindenből a legdrágábbat veteti meg a partnereivel, mert a drága az biztos jó, azzal nem bőghet le, még ha csak google-ról szedett gyors tudásával konfigurálja fel, akkor sem ...
Persze a netről szedett publikus figyelmeztetéseket a biztonsági résekről mint "információbiztonsági felelős/szakember/"tanácsadó"" (utóbbi már csak az általa használt jelszó logika miatt is külön idézőjeles) elküldi e-mail-ben, mert ebben a szakmában ez a divat és a laikusokat biztosan le is nyűgözi, de elgondolkodtam azon, hogy ha a sok laikus őt ajánlgatja komolyabb cégeknek (na meg ugye a referencia), ahol nagyon számít a biztonság, mint pl. egy bank, vagy egy nagyobb adatkezelő cég, akkor ha ott is ugyan ezzel a szakértelemmel dolgozik, akkor abból nagyon nagy gondok lehetnek, de itt tart a szakma.
Ma már mindenki lehet informatikus, politikus, jogász, atomfizikus, vagy ha már ugye a csernobil is nagy téma lett, akkor nukleáris mérnök, csak egy papír kell hozzá, ami igazolja hogy az, tudás az nem fontos, ja, meg néha kell az ismeretség is, ha éppen nincs meg a megfelelő papír (direkt nem képesítést, illetve kompetenciát írtam), hogy mondjuk jogszabályt módosítanak azért, hogy az illetőt fel tudják venni helyettes államtitkári, vagy valami hasonló pozícióba, de hát itt tartunk és ez még nem a vége, mert a vége az egy tragédia lesz.
Bocsi a kicsit hosszú viszontválaszért és az OFF-ért, azt hiszem egy jó időre befejeztem. -
bacus
őstag
válasz
thesitu
#9352
üzenetére
Nos ezek azok a fél információk, amiket a kérdezők, most pont te is adtok.
Először betettél pár mobilos képernyőmentést, majd egy scriptet ami messze nem volt a TELJES, pont a firewall filterek hiányoztak), majd a végén még az is kiderül, hogy te nem is belülről, hanem mobilinterneten keresztül próbálod elérni...
Aztán még leírod, hogy pedig ott a szabály, de persze rossz portot írsz.. (ami lehet elírás), de ezt innen persze nehéz eldönteni, meg hát egy elírás a konfigban pont elég, hogy ne működjön.Közben azért csepegett még pár info, hogy az egyik porton egy rádugott router van, ami után már nem látod mac alapon sem, ami persze lehet teljesen normális, hiszen layer2-n láthatod csak mac alapon, a routeolt hálózat már layer3..
De hál istennek már mással küzdesz, pedig itt nem kéne küzdeni, átgondolni mit akarsz, és a lehető legkevesebb szabályt felvenni a működéshez, azt is jól kommentelve, mert nem elég most működnie, hanem jó lenne, ha átlátnád 3 év után is...
-
#9351
Alteran-IT
őstag
thesitu
#9348
Alteran-IT
őstag
válasz
thesitu
#9348
üzenetére
És azon a routeren véletlenül nincs egy külön alhálózat? Mert az megmagyarázná, hogy arról miért nem éred el, főleg ha más hálózat van rajta, mint amit a WInbox menedzsmentből kizártál, a quick set-el meg lehet törlődött ez a beállítás, bár csak tippelek, mert még nem használtam.
-
thesitu
csendes tag
válasz
thesitu
#9345
üzenetére
alap config:
/interface bridge add name=bridge1
/ip address add address=192.168.5.1/24 interface=bridge1
/interface bridge port add bridge=bridge1 interface=ether2
/interface bridge port add bridge=bridge1 interface=ether3
/interface bridge port add bridge=bridge1 interface=ether4
/interface bridge port add bridge=bridge1 interface=ether5
/interface bridge port add bridge=bridge1 interface=ether6
/interface bridge port add bridge=bridge1 interface=ether7
/interface bridge port add bridge=bridge1 interface=ether8
/interface bridge port add bridge=bridge1 interface=ether9
/interface bridge port add bridge=bridge1 interface=ether10
/ip pool add name=dhcp-pool1 ranges=192.168.5.100-192.168.5.250
/ip dhcp-server add address-pool=dhcp-pool1 authoritative=after-2sec-delay disabled=no interface=bridge1 lease-time=3d10m name=server1
/ip dhcp-server network add address=192.168.5.0/24 dns-server=192.168.5.1,8.8.8.8 gateway=192.168.5.1 netmask=24
/ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.0.0/16 port=8000
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.0.0/16
set api-ssl disabled=yes
/interface list add name=LAN
/interface list member add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
10ig
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN
/ip dhcp-client add interface=ether1
/ip firewall nat add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.5.0/24 -
ekkold
Topikgazda
válasz
thesitu
#9329
üzenetére
Ha reseteled a konfigot akkor törlődnek a beállítások, azaz nem lesz IP címe a routernek. Ezek után nyilván nem lehet IP alapon belépni, mivel nincs IP. A másik lehetőség, hogy a reset után default konfigot töltött be, ez esetben 192.168.88.1 címen lesz elérhető.
Konfiguráld be újra a routert (van mentésed a korábbi konfigról?), utána újra el tudod érni IP alapon is. -
-
-
#70234880
törölt tag
válasz
thesitu
#9126
üzenetére
Ne legyél magadhoz ennyire szigorú, tudok megoldást a problémádra. És máris sok kérdés a helyére fog kerülni. https://mindenamimikrotik.hu/ ajánlom figyelmedbe, elnagyolva havi egyszeri 10.000 Ft egy online kurzus, nem kötelezed el magad semmire, nem vagy időhöz kötve nem kell vizsgáznod, csak tanulsz, amíg érvényes az előfizetésed. László anyaga nem arról szól hogy ezt így kell csinálni mert.... Sokkal inkább arra fekteti a hangsúlyt, hogy értsd is amit csinálsz. Azért hogy a további igényeidet könnyedén meg tud valósítani, legyen egy olyan alap tudás a kezedben amire lehet építeni a továbbiakban. Elég hosszú az anyag, sok mindenre kiterjed. Ő ugyan a gyakorlatok egy részéhez 2db MikroTik eszközt ajánl, de ha figyeled az előadást és a példa gyakorlatokat akkor rá jössz, nincs is olyan nagy szükség 2db eszközre. Hiszen bemutatja, az eredményt is. Sok problémára add különböző megoldási lehetőséget.
-
#42556672
törölt tag
válasz
thesitu
#9121
üzenetére
Azt hiszem alapvető infókkal sem rendelkezel a hálózatok működéséről és sok hozzászólás alatt sem írsz le lényeges információkat. így nehéz segíteni! Nem ismerem a UPC csodacuccát, keress hozzá leírást és állítsd be úgy, hogy a megfelelő csomagok eljussanak a mikrotik-hez. Onnan ha nem rontottad el a mikrotik config-ját menni fog.
-
#42556672
törölt tag
válasz
thesitu
#9119
üzenetére
A szolgáltató routerén a megfelelő portokat továbbítod a mikrotikre?
Nekem ez az egész egy katyvasz! Ha a UPC nincs bridge-ben akkor nem láthatod a Mikrotik WAN portján a publikus IP címet így a tűzfalszabályokkal nem sokra mész ha a szolgáltatói routeren nem csinálsz port forwardot. Ezeket az infókat picit hamarabb is leírhattad volna!
-
#42556672
törölt tag
Új hozzászólás Aktív témák
Hirdetés
ekkold
- Oneplus Nord 5G
- Telefon felvásárlás!! iPhone 12 Mini/iPhone 12/iPhone 12 Pro/iPhone 12 Pro Max
- HP 200W (19.5V 10.3A) kis kék, kerek, 4.5x3.0mm töltők + tápkábel, 928429-002
- ÁRGARANCIA!Épített KomPhone i3 10105F 8/16/32GB RAM RX 6500 XT 4GB GAMER PC termékbeszámítással
- Xiaomi Redmi A3 128GB, Kártyafüggetlen, 1 Év Garanciával
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PC Trade Systems Kft.
Város: Szeged