Evgeniy
Еще
Oleg
Это сам делал
Korolev
Oleg
Может ошибся
Oleg
Не тот послал. Поищите в ветке - раньше кидал
Evgeniy
парни, подскажите как это из-за чего это и как лечится ?
Evgeniy
Evgeniy
по гуглу сигнал уменьшал, но все также
vsevolod
Доброе утро! Если запустить pppoe скан активные подключения pppoe отвалятся?
Anton
День добрый! Господа, буду признателен за помощь. Нужно чуть кастомизировать правила анти-брутфорса smtp и/или imap/pop3. Гребаные китайцы безбожно бомбят сервак и рано или поздно подберут комбинации. Сейчас есть почти стандартная цепочка для обнаружения брутфорса, но в нее попадают еще и нормальные почтари, а-ля яндекс и прочие. Как можно подтюнить правила, может кто занимался подобным?
Anton
add action=jump chain=forward comment="anti-bruteforce smtp policy" connection-mark=smtp fragment=no jump-target=smtp-bruteforce-scan \
src-address=!192.168.0.0/24
add action=drop chain=smtp-bruteforce-scan disabled=yes src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=1d chain=smtp-bruteforce-scan src-address-list=\
smtp-stage-3
add action=add-src-to-address-list address-list=smtp-stage-3 address-list-timeout=1m chain=smtp-bruteforce-scan src-address-list=\
smtp-stage-2
add action=add-src-to-address-list address-list=smtp-stage-2 address-list-timeout=1m chain=smtp-bruteforce-scan src-address-list=\
smtp-stage-1
add action=add-src-to-address-list address-list=smtp-stage-1 address-list-timeout=1m chain=smtp-bruteforce-scan
Anton
Вот такие правила есть + mangle для маркировки
Evgenii
по идее тут надо именно неудачные попытки логина отлавливать
Anton
add action=mark-connection chain=prerouting connection-state=new dst-port=25,465,587 new-connection-mark=smtp passthrough=yes protocol=tcp src-address-list=\
"!VPN subnets"
Evgenii
если SMTP не защещен SSL, попробуйте использовать L7 фаервол
Evgenii
или делайте это на стороне сервера SMTP, через fail2ban, если он на линуксе
Anton
Именно, но бОльшая часть соединений идет с TLS и иже с ними
Anton
Проблема как раз в том, что это Керио и на винде, с которой я пытаюсь его увезти, но это другая история
Evgenii
У вас используется 25й порт в реальности?
Evgenii
вероятно нет
Evgenii
тогда попробуйте использовать 25 порт для honewpot
Evgenii
хотя клиенты, которые будут пытаться делать автонастройку, могут на него постучать тоже..
Evgenii
вам нужна цепочка - керио - лог сервер - микротик
Evgenii
на одном из МУМ описывали подобное, по моему даже на последнем
Evgenii
Керио должен куда то складывать инфу о неудачных попытках
Anton
я тоже пока остановился на варианте небольшого парсера логов, который динамически добавляет ip в блэклист микротика через api
Evgenii
я тоже пока остановился на варианте небольшого парсера логов, который динамически добавляет ip в блэклист микротика через api
по идее так и надо.. стандартный fail2ban так и работает
Evgenii
на линуксе любая программа пишет секьюрити логи
Evgenii
а fail2ban их читает и исходя из настроек меняет фаервол
Anton
да, второй почтарь как раз на убунте, там fail2ban решает все проблемы
😷Драничек
В 3.4 заббиксе есть темплейт к микротику штатный
Обновился с 3.0 на 3.4, че-т не вижу нового шаблона для МТ. Только мой
AG
почему эта anti-bruteforce smtp policy пилится на микроте, а не на стороне smtp сервера?
Алексей
Обновился с 3.0 на 3.4, че-т не вижу нового шаблона для МТ. Только мой
А если обновляться, да, его нету.
Evgenii
А есть темплейт?
в забиксе есть дефолтный темплейт snmp interfaces , подходит почти для всего
😷Драничек
Во время вы отписались)
Evgenii
ну так это же не форум, а чатик. Я мог вообще не увидеть вашего сообщения ))
Алексей
Алексей
микротиковский как раз на базе snmp основан
Алексей
могу выгрузить у себя
Алексей
https://share.zabbix.com/network_devices/mikrotik/template-net-mikrotik-snmpv2
Алексей
хотя он есть у них в официальной репе
Алексей
сперва надо этот установить, если его нет
https://share.zabbix.com/official-templates/template-modules-pack
Алексей
в 3.4 они много чего добавили, из сетевого оборудования.
Anton
почему эта anti-bruteforce smtp policy пилится на микроте, а не на стороне smtp сервера?
Я там выше написал. Kerio Connect древний и возможности его крайне скудны. Как только допилю новый на убунте и добьюсь нормального экспорта писем - сразу забуду его как страшный сон.
AG
ясно, пропустил видимо про древний kerio
😷Драничек
в 3.4 они много чего добавили, из сетевого оборудования.
Спасибо за шаблончик. Очень детальный
Алексей
Всем привет, подскажите пожалуйста а это нормально (на прошивке 6.40.4) когда например 3 порту указываешь мастер порт - 2 , то горит индикация что линк есть соответственно на 3 порту и почему-то на 2...Когда вынимаешь кабель то оба гаснут..
Evgeny
Да, мастер порт всегда активен когда активен любой из портов свитч-группы
Evgeny
Это иногда сбивает с толку
Алексей
Спасибо! Я за 1 год плотный работы не разу не замечал 😄
Сергей
Доброго вечера
Помниться кто то писал как уменьшить мощность WI-FI на RB951G-2HnD дабы лысым не стать в квартире
LeXX
Всем привет, подскажите пожалуйста а это нормально (на прошивке 6.40.4) когда например 3 порту указываешь мастер порт - 2 , то горит индикация что линк есть соответственно на 3 порту и почему-то на 2...Когда вынимаешь кабель то оба гаснут..
Отказывайтесь от мастер-слэйв портов. В прошивке 6.41 этот функционал удалён
Алексей
Отказывайтесь от мастер-слэйв портов. В прошивке 6.41 этот функционал удалён
Как сделать менее жесткий переход? Микроты стоят в разных городах
LeXX
Ну это Вам проектировать. Вообще-то бридж решает все задачи, которые предоставлял мастер-порт
Алексей
Большое спасибо @Morgens , @monoceros
Владислав
Всем привет. Прошу прощения что не по теме, но кто то когда то кидал ссылку на чат в телеге с zabbix, можно повторить?
Dmitriy
Ребят, посоветуйте
В дом на 3 этаджа нужен вифи.
Бюджет 20к, провайдер дает канал по оптике. Посоветуйте оптимальное решение
Dmitriy
Что в голову ставить а что как точки использовать?
Bulakhovskiy
Hex + 2 hap ac 😜
🧙♂️
blyumazeiko
А главное чем отделан
blyumazeiko
Штукатурки много?
Dmitriy
Хз
Dmitriy
Уже все укатано
blyumazeiko
Просто смотри штукатурка хорошо гасит вифи
Bulakhovskiy
С какого?)
blyumazeiko
blyumazeiko
А красный кирпич 5ку у АС схавает
Bulakhovskiy
Сохраню на всяк. Но про штукатурку нипанятна
😷Драничек
Hap ac
Anonymous
Сохраню на всяк. Но про штукатурку нипанятна
А вот она тоже разная бывает, вплоть до специальной волнозащитной :) но это скорее исключение.
Bulakhovskiy
kyysu
Коллеги, почему DHCP отрабатывает при следующем правиле? /ip firewall filter
add action=drop chain=input protocol=!icmp in-interface-list=local-outlaw
Andrey
Ребят, посоветуйте
В дом на 3 этаджа нужен вифи.
Бюджет 20к, провайдер дает канал по оптике. Посоветуйте оптимальное решение
PowerBox + несколько wap/wap ac с улицы в дом
Evgeny