- Samsung Galaxy S25 - végre van kicsi!
- Okosóra és okoskiegészítő topik
- Három Redmi 15 érkezett a lengyel piacra
- Vivo X200 Pro - a kétszázát!
- Android alkalmazások - szoftver kibeszélő topik
- One mobilszolgáltatások
- Samsung Galaxy Z Flip5 - ami kint, az van bent
- Samsung Galaxy A56 - megbízható középszerűség
- Hatalmas kedvezménnyel nyit az Ulefone új csúcsmodellje
- Magisk
Hirdetés
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
#15751
ekkold
Topikgazda
joekajoeka
#15741
ekkold
Topikgazda
válasz
joekajoeka
#15741
üzenetére
Használd inkább a wireguardot! Az bármelyik UDP porton lehet, és akkor knock sem feltétlenül kell. Eleve nem tudják melyik porton van, és azt sem, hogy azon a porton éppen wireguard van. A kulcsok jó hosszúak, és csak nyilvános kulcsot kell cserélni hozzá. Ha a hackernek van egy szuperszámítógép-hálózata, meg sok éve próbálkozni - hát sok sikert hozzá. Ha nincs hátsó ajtó a wireguard kódjában, (nyílt forráskódú, és a kód is rövid - tehát nagy eséllyel kiszúrnák a fejlesztők) akkor nem igazán van realitása a feltörésének.
-
#15742
jerry311
nagyúr
joekajoeka
#15741
jerry311
nagyúr
válasz
joekajoeka
#15741
üzenetére
A tűzfal szabályokat fentről lefelé (az elsőtől az utolsó felé) ellenőrzi a rendszer, de csak az első egyezésig. Ha egyezés van, akkor azt a szabályt használja, nem folytatja tovább, hogy hátha van még másik is.
-
#10348
Adamo_sx
aktív tag
joekajoeka
#10341
Adamo_sx
aktív tag
válasz
joekajoeka
#10341
üzenetére
Akár a Winboxban, akár a terminálban csinálhatod, mindkettőben megoldható, amelyik szimpatikusabb. Ha rákeresel itt a fórumban, az egyik tagtárs készített egy leírást a kezdő beállításokról, azt mindenképp érdemes átfutni.
@bacus: Csak én használom a VPN-t, úgyhogy észben tartom a "korlátozásokat", illetve amikor sikerül belépni, akkor egy script törli az aktuális IP-t a feketelistáról, így a belépés után "tiszta lappal" kezdek.
-
#10342
bacus
őstag
joekajoeka
#10341
bacus
őstag
válasz
joekajoeka
#10341
üzenetére
én a saját routereimnél úgy kezdem, hogy egy jó nagy listát ami évek alatt összegyűlt, eleve tiltok. Ezek nem érhetnek el, talán a https web kiszolgáló működik, de van ahol az sem.
Amikor jön új spam pár darab, akkor (persze nem egy kósza spam után) sokszor az egész 16-os netmaskját tiltom. Ez a related accept után van, ezért ha én tévednék az ő web oldalára, akkor megjön a válasz..., tehát én elérem őt.
Van script (volt itt a fórumon, de biztos beteszi neked valaki) ami összegyüjti a magyar ip cimeket és ráteszi egy listára. Ha elég, hogy csak innen van vpn, akkor csak onnan engedsz be bárkit, másnak zárod a portot.
szépen ki fog tisztulni a log.
Egyébként a vpn-felől jövő kapcsolatokat is mindig másik alhálóba rakom, minden onnan nem érhető el, csak az amit adott user el kell érjen. Igy pl ügyfeleket is le tudom szeparálni. Ha valaki végig scannel, bekerül egy logba, majd nagyobb figyelmet.
A vpn userek soha nem kapnak netet. Nekem ez bevált eddig.Ja és adamo_sx megoldása is tökéletes. Itt csak arra kell figyelj, hogy egy szakadozó net is kibannolhatja a klienst, tehát kellhet mellé port knocking, amivel törlöd az ilyet a blakclistről.
-
#10339
Adamo_sx
aktív tag
joekajoeka
#10337
Adamo_sx
aktív tag
válasz
joekajoeka
#10337
üzenetére
Nem a router típusa miatt kezdtek el most támadni, valószínűleg eddig is mentek a próbálkozások, csak a boldog tudatlanságban éltél.
A legtöbb próbálkozás a routerre irányul, ezért én az input chain-ben próbálom ezeket szűrni. És kézzel elég macera lesz, mert elég sok IP cím lesz, amit be kellene írnod.
Én ezzel próbálom megoldani:6 ;;; Drop IP from Blacklistchain=input action=drop src-address-list=blacklist log=no log-prefix=""8 ;;; Block IP address that attempted to create 3. VPN/SSH/Telnet connectionschain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=bl_attempt_2 address-list=blacklist address-list-timeout=1w3d dst-port=1723,22,23,50022 log=yes log-prefix="Added to blacklist"9 ;;; Block IP address that attempted to create 3. VPN/SSH/Telnet connectionschain=input action=add-src-to-address-list connection-state=new protocol=udp src-address-list=bl_attempt_2 address-list=blacklist address-list-timeout=1w3d dst-port=1723,22,23,50022 log=yes log-prefix="Added to blacklist"10 ;;; IP address that attempted to create 2 VPN/SSH/Telnet connectionchain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=bl_attempt_1 address-list=bl_attempt_2 address-list-timeout=10h dst-port=1723,22,23,50022 log=no log-prefix=""11 ;;; IP address that attempted to create 2 VPN/SSH/Telnet connectionchain=input action=add-src-to-address-list connection-state=new protocol=udp src-address-list=bl_attempt_1 address-list=bl_attempt_2 address-list-timeout=10h dst-port=1723,22,23,50022 log=no log-prefix=""12 ;;; IP address that attempted to create a VPN/SSH/Telnet connectionchain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=bl_attempt_1 address-list-timeout=1h dst-port=1723,22,23,50022 log=no log-prefix=""13 ;;; IP address that attempted to create a VPN/SSH/Telnet connectionchain=input action=add-src-to-address-list connection-state=new protocol=udp address-list=bl_attempt_1 address-list-timeout=1h dst-port=1723,22,23,50022 log=no log-prefix="" -
#10338
Zwodkassy
senior tag
joekajoeka
#10337
válasz
joekajoeka
#10337
üzenetére
Kezdetnek ez is elég. Ha rutinosabb leszel, teszel mást is 😁
-
#10336
bacus
őstag
joekajoeka
#10335
bacus
őstag
válasz
joekajoeka
#10335
üzenetére
Huh, fura fogalmaid lehetnek a "nagy baj" ról.
Mi ezzel a probléma? Be akarnak jönni... és? betudtak? Miért nem teszel ellene ha zavar a próbálkozásuk? Ez egy mikrotik router, számtalan megoldás van ellene, port knocking-tól az egyéb egyedi script, tiltó lista, stb. Itt többször volt róla szó.
"Mit tudok csinálni?"
- igy hagyod
- teszel ellene (visszaolvasol, választasz egy szimpatikus megoldást és megvalósítod)
Új hozzászólás Aktív témák
Hirdetés
ekkold
- Szép HP EliteBook 840 G9 Fémházas Hordozható Érintős Ultrabook 14" -50% i5-1235U 32/1TB Iris Xe FHD+
- Logitech G935
- Creative Sound Blaster Live! 5.1-es digitális PCI hangkártya
- Rock Shox Recon Silver Air gyorszáras villa eladó (29-es)!
- ÚJ Nvidia RTX 5060/TI 8-16Gb GDDR7 DLSS4.0 Ryzen 7 5800X 16x4.7Ghz/32GB/512Gb/1TB M SSD/2ÉV gamer PC
- iMac Pro 1.1 2017 Intel Xeon W2150B 64GB 1000GB 1 év garancia!
- iPhone 12 mini 128GB Black -1 ÉV GARANCIA - Kártyafüggetlen, MS3090, 100% Akkumulátor
- LG 27GS60QC-B - 27" Ívelt - 2560x1440 - 180Hz 1ms - AMD FreeSync - Bontatlan - 2 Év Gyári Garancia
- 512 GB-os PCIe 4.0-as M2 SSD-k garanciával
- Apple iPhone 15 /Gyárifüggetlen / 128GB / 12Hó Garancia / 90% akku
Állásajánlatok
Cég: FOTC
Város: Budapest