- Google Pixel topik
- iPhone topik
- Milyen mobilnetet vegyek?
- Megjelent a Poco F7, eurós ára is van már
- Nem fogy a Galaxy S25 Edge?
- A Samsung bemutatta az Exynos 2500-at
- Huawei Watch GT 4 - kerek karék
- Google Pixel 8 Pro - mestersége(s) az intelligencia
- Xiaomi 14 - párátlanul jó lehetne
- Élő adás Utazómajommal és Kerek Istvánnal az AI kapcsán
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
-
#96292352
törölt tag
-
#96292352
törölt tag
Nálam ez a script csinálja a DDNS-t:
:local noipuser "username"
:local noippass "pass"
:local noiphost "******.no-ip.org"
:local inetinterface "pppoe_Digi":global previousIP
:if ([/interface get $inetinterface value-name=running]) do={
:local currentIP [/ip address get [find interface="$inetinterface" disabled=no] address]
:for i from=( [:len $currentIP] - 1) to=0 do={
:if ( [:pick $currentIP $i] = "/") do={
:set currentIP [:pick $currentIP 0 $i]
}
}:if ($currentIP != $previousIP) do={
:log info "No-IP: Current IP $currentIP is not equal to previous IP, update needed"
:set previousIP $currentIP:local url "http://dynupdate.no-ip.com/nic/update\3Fmyip=$currentIP"
:local noiphostarray
:set noiphostarray [:toarray $noiphost]
:foreach host in=$noiphostarray do={
:log info "No-IP: Sending update for $host"
/tool fetch url=($url . "&hostname=$host") user=$noipuser password=$noippass mode=http dst-path=("no-ip_ddns_update-" . $host . ".txt")
:log info "No-IP: Host $host updated on No-IP with IP $currentIP"
}
} else={
:log info "No-IP: Previous IP $previousIP is equal to current IP, no update needed"
}
} else={
:log info "No-IP: $inetinterface is not currently running, so therefore will not update."
} -
#1732
#96292352
törölt tag
nyilasmisi
#1731
#96292352
törölt tag
válasz
nyilasmisi
#1731
üzenetére
Jó tudni ezt is!
Én még csak szemezgettem vele.. de így hagyom egyelőre -
#96292352
törölt tag
válasz
vjozsef
#1668
üzenetére
add action=drop chain=forward comment=\
"Tilitja a youtube.com-ot a Public-r\F3l 30.volt" layer7-protocol=\
"youtube.com_Tilt\E1s" protocol=tcp src-address=192.168.248.0/24
add action=drop chain=forward comment=\
"Tilitja a youtube.com-ot a Public-r\F3l 30.volt" dst-address=\
192.168.248.0/24 layer7-protocol="youtube.com_Tilt\E1s" protocol=tcp
add chain=forward src-address-list="Local subnet 248"
add action=add-src-to-address-list address-list=Knock-IN \
address-list-timeout=1h chain=input dst-port=***** protocol=tcp
add chain=input disabled=yes log=yes log-prefix=ping_accept_Whitelist \
protocol=icmp src-address-list=Knock-IN
add chain=input src-address=*.*.*.*
add chain=input src-address-list=Knock-IN
add action=drop chain=input comment="Mindent inputot blokkol a pppoe fel\F5l" \
disabled=yes in-interface=Free_Wifi log=yes log-prefix="block input"
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 \
protocol=tcp src-address-list=ftp_blacklist
add chain=output content="530 Login incorrect" dst-limit=\
1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
address-list-timeout=3h chain=output content="530 Login incorrect" \
protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=input connection-state=new dst-port=22 \
protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=fasttrack-connection chain=forward connection-state=\
established,related
add chain=forward p2p=all-p2p src-address-list=Torrent_Enable
add chain=input comment="Enged\E9lyezi a Pingel\E9st a 247-es subnetr\F5l" \
src-address=192.168.247.0/24
add chain=input connection-state=related disabled=yes
add chain=input connection-state=established disabled=yes
add chain=forward comment=P2P_enable_Whitelist p2p=all-p2p src-address-list=\
Torrent_Enable
add action=drop chain=forward comment=P2P_disable_on_public p2p=all-p2p \
src-address=192.168.248.0/24
add action=drop chain=input comment=\
"Tiltja a Pingel\E9st a 248-as subnetr\F5l" protocol=icmp src-address=\
192.168.248.0/24
add action=drop chain=input comment=\
"Minden ami a routert \E9ri a publicb\F3l az dropped." log=yes \
log-prefix="public to router" src-address=192.168.248.0/24
add action=drop chain=input comment="Tilitja a Public-r\F3l a routert" \
dst-address=192.168.248.1 src-address=192.168.248.0/24
add action=drop chain=input comment="Tilitja a Public-r\F3l a routert" \
dst-address=192.168.247.1 src-address=192.168.248.0/24
add action=drop chain=input comment="Tilitja a Public-r\F3l a routert" \
dst-address=192.168.248.1 src-address=192.168.248.0/24
add action=drop chain=forward comment="Letiltja az \F6sszes TCP portot a Publi\
c-Bridge-r\F5l, kiv\E9ve a 80 \E9s 443 portokat" dst-address=\
192.168.248.0/24 protocol=tcp src-port=1-52,54-66,69-79,81-442,444-65535
add action=drop chain=forward comment="Letiltja az \F6sszes UDP portot a Publi\
c-Bridge-r\F5l, kiv\E9ve a 80 \E9s 443 portokat" dst-address=\
192.168.248.0/24 protocol=udp src-port=1-52,54-66,69-79,81-442,444-65535
add action=drop chain=forward comment="Tilitja a videokat a Public-r\F3l" \
in-interface=Public_Bridge layer7-protocol=http-video
add action=drop chain=forward comment=\
"A Public-Bridge-b\F5l nem lesz el\E9rhet\F5 a Home-Bridge" dst-address=\
192.168.247.0/24 src-address=192.168.248.0/24
add action=drop chain=forward comment="Blockolja a Torrentet a Publicon" \
dst-address=192.168.248.0/24 p2p=all-p2p
add action=return chain=forward comment=. disabled=yes
add action=drop chain=forward comment="http-video blocking" disabled=yes \
packet-mark=http-videoJó sok szemét is van benne
-
#96292352
törölt tag
válasz
#96292352
#1666
üzenetére
Most néztem, az akkori beállításokat nem tudom elküldeni, azóta már elég sok szabály bele került, mióta a 1043 van a rendszerben.
Pl. van nálam free wifi, ami egy public subnetbe megy bele, és ott van facebook, youtube meg hasonló szűrések layer7-ben, ezek igen csak eszik a cpu-t, akkor még ilyenek nem voltak. -
#96292352
törölt tag
Én is hasonlóan oldottam meg eleinte a brute force-t, mint ahogy itt írjátok, de úgy gondolom van ettől sokkal jobb is:
Chain: input -> Action: drop. szerk.: a külső IP felől
ez megfog minden inputot, vagyis ami a routert éri, ha ez megvan akkor lehet szépen egyesével engedni azt amit engedni szeretnénk.
Én úgy csináltam, hogy ezt a szabályt ki lehessen bármikor kerülni, ha megnyitom pl egy böngészőben a router ipjének egy portját, ami ugye nem fog csinálni semmi látszólagost, de a háttérben hozzáadja a forrás ip-t egy "white list"-hez, aminek az action nem drop, hanem accept lesz. -
#96292352
törölt tag
-
#96292352
törölt tag
válasz
#96292352
#1365
üzenetére
Még nem sikerült beállítani, kiderült, hogy több sebből vérzik a tűzfal: pl a 2011 IP-je ami az 1100 felé van, azt az ip-t nem lehet elérni az 1100 egyik szubnetjéből sem, az 1100 tudja pingelni azt az ip-t
Ebben nem tudtok segíteni sajnos nehezen átlátható a dolog... elmagyarázni még nehezebb
-
-
#96292352
törölt tag
válasz
Adamo_sx
#1350
üzenetére
Igen, ez pont azt mutatja, amit irtál. Amit hiányolsz, pont az kell.
A 200.254 maga a gateway, a távoli hálózaton.
A PPTP az szépen megy látom az ottani dolgokat, oda-vissza tudok is file átvitelt is csinálni.Tehát, a kérések eljutnak a célgéphez a fix ip felől (a pptp-n keresztül), viszont a válasz az nem arra megy, ahonnan a kérés jött, hanem az otthoni ip-n megy ki, de ott ezzel ki is siklik.
-
#96292352
törölt tag
Sziasztok!
Nekem egy olyan megoldást kéne találnom, hogy az itthoni gépem a céges IP-n keresztül el tudjam érni.A helyzet a következő:
Az otthoni net az egy Digi, aminek dinamic IP-je van. A cégnek fix van. Otthonról egy 2011 pptp-n keresztül bent van a cég 1100-asában, ezek a kapcsolatok működnek, ezzel nincs gond, az ottani helyi hálózatot oda-vissza tudom használni.
A 2011-nek van egy ip-je az 1100-ban egy szubnetben, mert ugye ez kell a kapcsolathoz. Namármost, ennek az IP-nek (ami az én 2011-em) a portjait megnyitottam az 1100 külső IP-je felé. Ez is pipa. A kérés kintről betalál a célgéphez, de a bajom az az, hogy a választ nem a céges IP-n küldené vissza, hanem a digi felé...![;]](//cdn.rios.hu/dl/s/v1.gif)
Erre kéne megoldást találni, gondolom routes szabály kellene erre. De how?
-
#96292352
törölt tag
Megvan a script, amivel hozzá tudom adni a white list-hez a külső ip-m. Jó volt az elgondolás, hogy a /tool fetch lesz a nyerő. Hát sikerült is összehozni:
/tool fetch mode=http port=12345 address=IP cím host=IP cím src-path="viktor2011" user=some-username password=some-password
Köszönöm a segítséget! bacus
-
#96292352
törölt tag
Én úgy tudom, hogy minden előfizető kap egy (de lehet hogy 3 eszköz részére) hozzáférést a wifree szolgáltatáshoz. Ahol elérhető a városban, ott fel lehet csatlakozni a saját jelszavaddal a wifree-hez. És attól kezdve egy külön kapcsolaton mész ki a netre, mint az adott user, akinek a routerére csatlakozol.
-
#96292352
törölt tag
Na várj, ha az inputot szűröd, akkor az csak a mikrotik felé érvényes csomagokra vonatkozik!
Amire te gondolsz, az nem input, hanem forward, vagyis a mikrotiken átmenő forgalom.
Ezért van nekem az input szűrve, mert nálam is van egy pár port kiforgatva, és több vpn is megy!
Csak azért írtam, hogy ne értsük félre egymást!
-
#96292352
törölt tag
Sziasztok!
Nálam is jelentkezett első pillanattól kezdve a kinai koreai ip-kről a próbálkozások.
Én is beállítottam az előbbi több lépcsős bruteforce szűrőt, sőt most is bent van.De találtam sokkal hatásosabb szabályt:
Minden kapcsolatot, ami a wan1 felől jön, és input, az dropped. Kivéve a whitelist-ben szereplő ip-k.
A whitelisthez hozzá lehet adni az ip-d, egy ilyan ip mögül is, ami nincs benne a whitelist-ben a következőképpen: meg kell nyitni egy portját a wan1 ipjé-nek (pl: 0.0.0.0:12345). Tehát ha erre a port-ra érkezik kérés, akkor a forrás ip-t hozzáadja a whitelist-hez.nálam így megy
-
#96292352
törölt tag
Hát igen.. az tuti hogy valamit csinál ez a fasttrack, mert a digi 100/100as net már nem 100%ban terheli a 2011 cpu-ját, hanem csak 90%-ban. Azért sem kevesebb a cpu, mert nálam nem egy alap config van. layer7 meg ilyeneket is csinál. úgyhogy ez egy jó eredmény mindenképpen. Köszönöm a felvilágosítást, hogy létezik ilyen!
-
#96292352
törölt tag
Jah lenne még egy, amit még nem tudtam megcsinálni:
Mondom a teljes történetet, hogy érthető legyen:
adott 2 hálózat, több alhálózattal, a 2 hálózatot úgy értem, hogy 1-1 külön internet elérése van, és a kettő között van 50 km.
Az egyik hálózatnak fix a külső ip-je, a másiknak nem. A fix ip-s hálózatba pptp-n keresztül lehet belépni, miután hozzá adattuk az ip-nk egy whitelist-hez. Ez úgy lehetséges hogy a fix ip-nek egyik portját meg kell nyitni egy böngészőben. Ha ez megvan, akkor benne vagyok whitelist-ben és onnantól kezdve tud a pptp csatlakozni.
A dinamic ip-s hálózatnál van egy dynamic dns szolgáltatás beállítva egy arra megfelelő script-el.
Ami fennakadás még, hogy nem tudok rájönni, hogy hogy tudnám ezt a whitelist-es dolgot megoldani egy script-el, hogyha megváltozik az ip, akkor a pptp is fel tudjon csatlakozni mindenféle beavatkozás nélkül.
És ez lenne a kérdés, hogy ezt hogy tudnám megoldani.
Gondolom a /tool fetch parancs lenne a legmegfelelőbb, de ezzel nem sikerült.
Minden ötlet érdekel.
-
#572
#96292352
törölt tag
HwAdokVeszek
#552
#96292352
törölt tag
válasz
HwAdokVeszek
#552
üzenetére
Nah erre én is kiváncsi leszek.
Egyébként nekem is 2011UiAS-2HnD van.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
Hirdetés
ekkold- SSD kibeszélő
- Lakáshitel, lakásvásárlás
- Formula-1
- exHWSW - Értünk mindenhez IS
- One otthoni szolgáltatások (TV, internet, telefon)
- Nintendo Switch
- Folyószámla, bankszámla, bankváltás, külföldi kártyahasználat
- A fociról könnyedén, egy baráti társaságban
- Brogyi: CTEK akkumulátor töltő és másolatai
- Otthoni hálózat és internet megosztás
- További aktív témák...
- AKCIÓ - 122 - Lenovo Legion Pro 5 (16ARX8) - AMD Ryzen 7 7745HX, RTX 4070 (48 hónap garancia!)
- Olcsó laptop! Lenovo Ideapad R3 3250U / 8GB RAM / 128Gb SSD!
- BESZÁMÍTÁS! GIGABYTE AORUS MASTER RTX 3070 8GB GDDR6 videokártya garanciával hibátlan működéssel
- Azonnali készpénzes AMD CPU AMD VGA számítógép felvásárlás személyesen / postával korrekt áron
- VÉGKIÁRUSÍTÁS - REFURBISHED - HP Elite / ZBook Thunderbolt 3 docking station
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PC Trade Systems Kft.
Város: Szeged