- iPhone topik
- Vodafone mobilszolgáltatások
- Telekom mobilszolgáltatások
- Samsung Galaxy S23 és S23+ - ami belül van, az számít igazán
- Eleglide C1 - a középérték
- Milyen okostelefont vegyek?
- Android szakmai topik
- DIGI Mobil
- Android alkalmazások - szoftver kibeszélő topik
- Xiaomi 13T és 13T Pro - nincs tétlenkedés
Hirdetés
-
Kapnak egy rakás reklámot a Roblox játékosai
it Videohirdetésekre készülhetnek ezentúl a virtuális világokban a Roblox játékosai.
-
AMD Radeon undervolt/overclock
lo Minden egy hideg, téli estén kezdődött, mikor rájöttem, hogy már kicsit kevés az RTX2060...
-
Eleglide C1 - a középérték
ma Szintet lépett az Eleglide, az egyébként egész korrekt M2 után a C1 sokkal komfortosabb közlekedésre alkalmas.
-
Mobilarena
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
Sly\'s
csendes tag
válasz Core2duo6600 #4339 üzenetére
Sziasztok!
Amit én szoktam beállítani ez ügyben:
DHCP szerverben:
/ip dhcp-server set [find name="DHCP szerver neve"] add-arp=yes
ARP beállítás az interfészben:
Ethernet interfész esetén[példa ether6 interfész]:
/interface ethernet set [find name="ether6"] arp=reply-only
Wifi esetén[példa wlan1 interfész]:
/interface wireless set [find name="wlan1"] arp=reply-only
Üdv. Slys!
-
Sly\'s
csendes tag
válasz Core2duo6600 #4343 üzenetére
Az input és az output lánc a routerre vonatkozik(ezzel tudod a routered "védeni").
Ezekkel a láncokkal tudod befolyásolni, hogy milyen szolgáltatásokat érnek el a routerredből, illetve milyen kommunikációt bonyolíthat kifelé a routered.
A forward lánc vonatkozik a routereden áthaladó forgalomra...
Ha a forward láncon tiltasz kivétel nélkül, akkor nem lesz áthaladó forgalom, addig míg a tiltó szabály előtt nem lesz egy olyan szabály ami engedélyezi az internet forgalmának áthaladását oda-vissza...
Elméletkén ajánlom az iptables magyarázatokat, mert azok alapján egészen jól meglehet érteni a működést(elméletileg azt hiszem a MikroTik -is azt használja).
Remélem nem értettelek félre és nem másról hadováltam...
Üdv. Slys!
Üdv. Slys!
-
Sly\'s
csendes tag
A tűzfalrészre vissza térve, ajánlom minden fő láncba(input,forward,output) betenni a következő szabályokat elsőként:
INPUT lánc:
/ip firewall filter
add chain=input connection-state=established,related action=accept \
comment="Enged\E9lyezz\FCk a m\E1r fel\E9p\FClt \E9s a hozz\E1(juk) kapcsol\F3d\F3 kapcsolato(ka)t. [ Forr\E1s: https://wiki.mikrotik.com/wiki/Tips_and_Tricks_for_Beginners_and_Experienced_Users_of_RouterOS#Firewall ]"FORWARD lánc:
/ip firewall filter
add chain=forward connection-state=established,related action=accept \
comment="Enged\E9lyezz\FCk a m\E1r fel\E9p\FClt \E9s a hozz\E1(juk) kapcsol\F3d\F3 kapcsolato(ka)t. [ Forr\E1s: https://wiki.mikrotik.com/wiki/Tips_and_Tricks_for_Beginners_and_Experienced_Users_of_RouterOS#Firewall ]"OUTPUT lánc:
/ip firewall filter
add chain=output connection-state=established,related action=accept \
comment="Enged\E9lyezz\FCk a m\E1r fel\E9p\FClt \E9s a hozz\E1(juk) kapcsol\F3d\F3 kapcsolato(ka)t. [ Forr\E1s: https://wiki.mikrotik.com/wiki/Tips_and_Tricks_for_Beginners_and_Experienced_Users_of_RouterOS#Firewall ]"Mert ha ezek a szabályok benne vannak a lánc legelején akkor kisebb az esélye, hogy tűzfal állítgatás közben kicsukod magad azonnal...
Emellett is, ha nem figyelsz és bátran kilépsz pl. a WinBox-ból akkor előfordulhat, hogy onnantól nem tudsz újra csatlakozni...Tehát ilyen esetben célszerű először egy újabb csatlakozást indítani(pl. egy másik WinBox-al még egyszer felcsatlakozni) mert ha, az nem működik akkor több mint valószínű, hogy valami nem sikerült...
Illetve nagyon nem mindegy, hogy a szabályok sorrendben hogyan következnek...
Még egy dolog ami eszembe jutott a sávszélesség méréseket látva:
Ne azzal foglalkozzon senki sem, hogy mit írnak a webes sebességmérők(mivel több okból is hazudhatnak),
inkább azzal amit a MikroTik mér és megjelenít az internetre csatlakozó interfészén keresztül grafikonban!Bocsánat ha valakit untattam ezekkel a gondolatokkal, de a látottak alapján eszembe jutottak a MikroTik-es kezdeteim és hátha segít ez valakinek...
Üdv. Slys!
Üdv. Slys!
-
Sly\'s
csendes tag
válasz Core2duo6600 #4347 üzenetére
Ha megnézed az előző hozzászólásom abban erőteljesen szeparálva lettek az input, a forward, és az output láncok.
Fontos, hogy próbálj egy jó rendszert kialakítani az általad felépített tűzfalban, mert különben össze fogsz zavarodni.
Ha elolvastad(és sikerült megértened) a hozzászólásom, akkor abból kiderült, hogy amit én ajánlottam első bejegyzésnek minden láncban az nálad pontosan a 10-es sor.
Az a szabály semmi másra nem jó csak arra, hogy a routered a már felépített és az azokhoz tartozó kapcsolatokat átengedi az input láncon.
Mivel ezek a kapcsolatok csomagjai lesznek elsősorban a legtöbben ezért az input, a forward, és az output láncon is az első sorban helyezzük el, mivel így lesz a legkisebb a routered terhelése.
Minél több aktív tűzfalszabály van a routerben annál több időt vesz igénybe a szabályok és a csomagok vagy kapcsolatok összehasonlítása.
Meg próbálom elemezni az INPUT láncodat:
9 ;;; Allowed to router
chain=input action=accept src-address-list=allowed_to_router in-interface=Lan log=no log-prefix=""Itt ha jól értelmeztem a dolgokat, a LAN interfészről bejövő ALLOWED listába lévő IP címek hozzá férhetnek a routeredhez.
10 ;;; default configuration
chain=input action=accept connection-state=established,related log=no log-prefix=""Ez a szabály lenne az amit előbb már kiveséztem aminek az első helyen ajánlott állnia...
11 ;;; Allowed to router
chain=input action=accept src-address-list=allowed_to_router in-interface=ether4 log=no log-prefix=""Itt ismételten leírod ugyan azt amit az első sorban, csak itt a lan4-re.
12 ;;; From DNS from Wan
chain=input action=drop protocol=udp in-interface=Digi-PPPOE dst-port=53 log=no log- prefix="Drop_DNS"Ennél a sornál tiltod az UDP DNS lekéréseket a Digi-PPPOE interfészen.
13 chain=input action=drop protocol=tcp in-interface=Digi-PPPOE dst-port=53 log=no log-prefix="Drop_DNS"
Ennél a sornál tiltod a TCP DNS lekéréseket a Digi-PPPOE interfészen.
14 chain=input action=drop protocol=tcp in-interface=Telekom dst-port=53 log=no log-prefix=""
Ennél a sornál tiltod a TCP DNS lekéréseket a Telekom interfészen.
15 chain=input action=drop protocol=udp in-interface=Telekom dst-port=53 log=no log-prefix=""
Ennél a sornál tiltod a UDP DNS lekéréseket a Telekom interfészen.
17 ;;; Drop Invalid
chain=input action=drop connection-state=invalid log=no log-prefix="Invalid"Ennél a sornál tiltod(eldobod) a hibás kapcsolatokat
22 chain=input action=drop log=yes log-prefix="Drop"
Ennél a sornál minden egyébb csomagot, kapcsolatot eldobsz(tiltod), amit előtte nem engedélyeztél.
Ha most így ebben a formában végignézed az input lánc sorait és értelmezed őket akkor miért kellene működnie az "internetnek" ha tiltod azt a szabályt?
Logikázzunk(ha jól sejtem az egyéb beállításaidat):
- Te szeretnél egy weboldalt megnyitni, ez valahogy sacc. így néz ki:
1. a géped megpróbálja feloldani a DNS címet,
2. mivel ő nem tudja, a routeredhez fordul,
3. a routerd kiküldi a DNS szervernek a kérést,
4. a DNS szerver elméletileg lesz olyan jó fej, hogy válaszol a kérésedre,
5. DE mivel te befogod a "fülét" a routernek(mivel kikapcsolod a "10"-es szabályt) így ő nem hallja meg a választ, ezért a te géped nem tudja feloldani a DNS-t, így nem tudod megnézni a weboldalt...Megpróbáltam "egyszerűsíteni" a tűzfalad picit saját logika alapján(ez lehet nem teljesen megfelelő neked)...
Remélem érzékeled a különbséget(lehet ezt még jobban is egyszerűsíteni de most nem kavarlak bele).../ip firewall filter
add action=accept chain=input connection-state=established,related \
comment="Enged\E9lyezz\FCk a m\E1r fel\E9p\FClt \E9s a hozz\E1(juk) kapcsol\F3d\F3 kapcsolato(ka)t. [ Forr\E1s: https://wiki.mikrotik.com/wiki/Tips_and_Tricks_for_Beginners_and_Experienced_Users_of_RouterOS#Firewall ]"
add action=drop chain=input comment="Hib\E1s csomagok eldob\E1sa" connection-state=invalid
add action=accept chain=Internet comment="ICMP csomagok enged\E9lyez\E9se" protocol=icmp
add action=accept chain=Internet comment="MikroTik FTP" disabled=yes dst-port=21 protocol=tcp
add action=accept chain=Internet comment="MikroTik SSH" disabled=yes dst-port=22 protocol=tcp
add action=accept chain=Internet comment="MikroTik DNS" disabled=yes dst-port=53 protocol=tcp
add action=accept chain=Internet comment="MikroTik DNS" disabled=yes dst-port=53 protocol=udp
add action=accept chain=Internet comment="MikroTik HTTP" disabled=yes dst-port=80 protocol=tcp
add action=accept chain=Internet comment="MikroTik HTTPS" disabled=yes dst-port=443 protocol=tcp
add action=accept chain=Internet comment="MikroTik Bandwidth Test" dst-port=2000 protocol=tcp
add action=accept chain=Internet comment="MikroTik Bandwidth Test" dst-port=2000 protocol=udp
add action=accept chain=Internet comment="MikroTik WinBox" dst-port=8291 protocol=tcp
add action=drop chain=Internet comment="Internet fel\F5l minden m\E1s csomag logol\E1s \E9s eldob\E1s" log=yes log-prefix=\
"DROP[Internet]: "
add action=jump chain=input comment=Digi in-interface=pppoe-out1 jump-target=Internet
add action=jump chain=input comment=Telekom in-interface=pppoe-out2 jump-target=InternetEbben a megoldásban létrehozok egy láncot "Internet" néven, és a két internet kapcsolat interfészét átirányítom és csak egyszer hozom létre a szabályaimat.
Ami kell azt bekapcsolom ami nem kell az marad kikapcsolva.
Az utolsó szabály így is úgyis eldobja az összes előtte nem engedélyezett csomagot, kapcsolatot, így nem dobálgatok szolgáltatásonként el(nálad DNS)...
Itt az internet felől bekapcsolva hagytam a WinBox-ot ill. Bandwidth Test portjait...
Mivel nem tudom a belsőhálózatod, hogy épül fel így azzal nem foglalkoztam most.Remélem segít valamit ez a kesze-kusza hozzászólás...
Nem épp jó a fogalmazócskám így kérek mindenkit, hogy ezt nézze el nekem.
Illetve, ha valaki valami rosszat sejt a hozzászólásomban, akár bántást, esetleg negatív hullámokat, attól elnézést kérek, mert nem állt szándékomban!!!Üdv. Slys!
Üdv. Slys!
-
Sly\'s
csendes tag
válasz Core2duo6600 #4350 üzenetére
WinBox -> Interfaces -> interface -> [pl.: ether1] -> Traffic
Üdv. Slys!
Üdv. Slys!
-
Sly\'s
csendes tag
-
Sly\'s
csendes tag
válasz Core2duo6600 #4356 üzenetére
Igen, nagyjából...
Viszont azért én az ICMP protokollt nem tiltanám ki...
Üdv. Slys!
-
Sly\'s
csendes tag
válasz bakonyip95 #5837 üzenetére
Szia!
Ha "külön külön értem a Local Forwarding és a Client To Client Forwarding lényegét" akkor egyszerre miért is nem érted?
A "client-to-client-forwarding" az, az ügyfelek kommunikációját engedélyezi(vagy tiltja) az AP-n keresztül, megkerülve a cAPsMAN-t és a forgalom irányító routert. Tehát az AP bonyolítja "korlátlanul" a forgalmat a kliensek között...( Egyik WiFi-s eszközről a másikra másolhatsz direktben, megkerülve az esetleges sávszélesség menedzsmentet... )
A "local-forwarding" azt szabályozza, hogy az AP forgalmát direktbe kiküldje-e a CAP-en beállított porton az ottani hálózatba vagy tunnelezze el a cAPsMAN vezérlőhöz és onnan mennyen tovább úgy ahogy ott be van állítva az eszközön...
Remélem ez így érthető...
[ Szerkesztve ]
Üdv. Slys!
-
Sly\'s
csendes tag
"Mennyire safe?"
PPTP Biztonság(angolul):
Angol Wikipédia
Arch linux wiki PPTP >>> Arch linux wiki felhívás
vpncrewPPTP Biztonság(magyarul):
Ezek ellenére használható, de mindenki saját felelősségére és az adai biztonságának megfelelően, mérlegelve használja!
[ Szerkesztve ]
Üdv. Slys!
-
Sly\'s
csendes tag
Ha esetleg valakit érdekel egy próba mérés, 2 DB RB3011UiAS-RM között, Telekom Net L 1000/1000(optika) és Invitel 250M le / 50M fel(optika) között EoIP és IPsec-en keresztül belső Bandwidth teszter-el:
Router[1]:
Interfészek:
1 PPPOE kapcsolaton keresztül(1492 MTU/MRU),
2 Bridge interface(belsőhálózat, iptv),
3 vlan
sfp port kikapcsolva
6 EoIP Tunnel-el(számottevő forgalom nem volt a mérés közben(~10-30Kbps),IPsec:
6 IPsec: Peer (Hash: sha512, Encrypt: aes-256, DH-Group: modp3072),
Policy (Auth: sha256, Encrypt: aes-256-cbc, DH-Group: modp3072)Firewall:
258 Filter rules, 26 Nat, 6 Mangle szabályRouting:
RIP Routing használatávalDude server.
Router[2]:
Ugyan az mint az előző kivétel hogy,
1db EoIP Tunnel,
1db IPsec,
nincs vlan,
nincs Dude server.Send irány: Invitel > Telekom
Receive irány: Telekom > InvitelEzt sikerült kicsikarni:
[ Szerkesztve ]
Üdv. Slys!
-
Sly\'s
csendes tag
válasz bambano #5892 üzenetére
Sacc. 10-14 éve még érdemesebb volt PC-t használni mert megfizethetőbb volt és sokkal nagyobb teljesítményt adott...
Arról nem beszélve, hogy "sokan" akkor ismerkedtek vele, és hát az akkori letöltött verziókat tesztelgették...
Nekem az első MikroTik-em még egy intel P3 1100 MHz-es Tualatin gépen 128MB RAM-al, 2 DB Realtek 8139 10/100Mbps -s kártyával ketyegett...
Anno kétféle megoldással futottam össze, az első volt az EisFair a másik pedig a MikroTik...
Utóbbi hamar a szívembe lopta magát a kis "csicsás" küllemével, és a visszajelzéssel, hogy éppen mi is történik a hálózaton, és mennyi az annyi amivel kommunikálunk, igen és a sávszélesség korlát, ami anno igen jól jött a 64Kbit/384Kbit ADSL-en...
Megvan az értelme a gépen futtatott MikroTik-nek is, de én ezt én nem fogom tudni elmagyarázni, hogy miért...
"Sok" szolgáltató használt, vagy használ még gépen MT-t okkal...
Esetleg dobd fel a régi fórumomon(már nem az enyém) a kérdést, ha még él, és hajlandó válaszolni valaki. (M.M.H.C.)
Üdv. Slys!
-
Sly\'s
csendes tag
válasz Zwodkassy #5894 üzenetére
A szkriptelést én is csak javallani tudom, jó dolgokat lehet összehozni vele...
Viszont egy kérdés mennyire jók(beváltak) az általad ajánlott oldalak(menyire tesztelted), mert amit én eddig ipaddresslocation.org használtam, és amit ajánlottál, erőteljesen diferál? Az álltalad mutatott oldalak "csak" kb. fele annyi IP-t / IP tartományt adtak vissza.
[ Szerkesztve ]
Üdv. Slys!
-
Sly\'s
csendes tag
The UPS monitor feature works with APC UPS units that support “smart” signalling over serial RS232 or USB connection.
Google fordítva: Az UPS monitor funkció az APC UPS egységgel működik, amely "intelligens" jelátvitelt biztosít soros RS232 vagy USB csatlakozáson keresztül.
Üdv. Slys!
-
Sly\'s
csendes tag
Sziasztok!
Megjelölt hozzászólásom tartalma nem a levelezésről szólt, inkább a router(ek) védelméről és a magyar IP-k beszerzésének lehetőségéről...
Többszöri kiválasztás(ipaddresslocation.org): Írsz egy szkriptet...
- Egy tömbbe össze szeded az országkódokat
- Egy ciklussal és curl-el letöltögeted
- sort, grep, sed, stb. rendezgeted, igazítod
- ciklussal MikroTik-nek emészthetővé varázsolod
- ssh-n feltöltöd, vagy MikroTik letölti webről és importáljaZanzásítva ennyi...
A leírtak gyönyörűen automatizálható feladatok és semmi horror nincs benne...
Ha mások által készített listát használsz, akkor mindig a lista készítőire leszel utalva.
Ennek köszönhetően, ha lassan frissítik, esetleg elhanyagolják akkor sajnos így jártál...
Az az igazság, hogy egy ingyenes listától ne is akarj várni semmit, mert nincs jogalapod, illetve az csak(!) egy ajándék... És mindenki tudja, ajándék lónak...
Ha annyira biztosra szeretnél menni, akkor keress fizetős szolgáltatót és ott már lesz a szerződésben vállaltaknak megfelelő reklamációs lehetőséged.Mail szerver elé miért akarsz MikroTik-et védelem gyanánt?
Mail szerver általában lényegesen erősebb hardvert tartalmaz abban optimálisabb lehet(eddigi tudásom alapján) a védelem kialakítása...Levelezéshez meg inkább spamhause.org listát használj, mert ezt állítólag erre találták ki(tudomásom szerint).
Üdv. Slys!
-
Sly\'s
csendes tag
Igen, de en nem linuxon elek, igy a scriptelgetes nem az en mufajom
Nem muszáj linux-on élni, használhatsz Cygwin-t is...
Én is win.ost használtam 2 évvel ezelőttig, ennek ellenére ott is szkriptelgettem(igaz nem elsősorban Cygwin-el)... Esetleg elketyeghet a háttérben egy Raspberry Pi...De nem muszáj, csak néhány tipp volt...
Üdv. Slys!
Új hozzászólás Aktív témák
- Anglia - élmények, tapasztalatok
- Konzolokról KULTURÁLT módon
- BestBuy ruhás topik
- Milyen billentyűzetet vegyek?
- 3D nyomtatás
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- Kihívás a középkategóriában: teszten a Radeon RX 7600 XT
- NVIDIA GeForce RTX 4080 /4080S / 4090 (AD103 / 102)
- Microsoft Excel topic
- Fujifilm X
- További aktív témák...
- 1151 V2 CPU-k / I5-8500 / I5-8400 / BESZÁMÍTOK!
- Intel i5-10400 hatmagos processzor + doboz + gyári új hűtő
- Nintendo Switch játékok (ง '-' )ง Budapest Nyugatinál
- Fekete Sony PlayStation 5 Cover (Lemezes változat)
- Samsung Galaxy S23 Ultra 5G 256GB Dual SIM Phantom Black Gyárilag független Csere/beszámítás is!