додуматься же - скриптами с брутфорсом бороться ?

А есть другие нормальные способы?

нет

есть просто НОРМАЛЬНЫЕ СПОСОБЫ

ты как собрался скриптами то работать?

раз в 5 минут запускать и проверять "а не брутфорсят ли меня?" ?

есть просто НОРМАЛЬНЫЕ СПОСОБЫ

Правило в фаерволе и add to address list?

фантазия, только она ограничивает

раз в 5 минут запускать и проверять "а не брутфорсят ли меня?" ?

перманентно ?

Правило в фаерволе и add to address list?

https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

но Серж прав, лучше всего помогает стучание в порт

постучался и тебя добавило в белый список

а там уже работай с нужным сервисом

но Серж прав, лучше всего помогает стучание в порт

с мобилки не удобно

Но бесспорно секьюрно

с мобилки не удобно

А что с мобилки удобно?

А что с мобилки удобно?

по ssh стучаться)

по ssh стучаться)

А если у тебя десять микротиков?

А если у тебя десять микротиков?

На это у меня есть ансибл

с мобилки не удобно

тебя кто то пинговать заставляет? делай по запросу на 36742 порт ?

думаю порт в браузере ты набрать можешь ?

думаю порт в браузере ты набрать можешь ?

зачем браузер?

ssh же

И мы говорим о нестандартном порте или о порткнокинге?

Или ты через браузер предлагаешь стучаться?

на 5-8 портов?

по ssh стучаться)

а кто о SSH говорит? любой порт можно заюзать. главное что бы было чем на него постучать. Да хоть браузером, как писал выше

ненене, я против таких мероприятий

На это у меня есть ансибл

А у меня есть termux и возможность делать скрипты прямо на мобилке. Для порткнокинга в том числе.

И мы говорим о нестандартном порте или о порткнокинге?

о порт кнокинге

но ты не воспринимай буквально название. Суть в том что ты идентифицируешь свой адрес по хитрому послав запрос на порт, или банально послав запрос на нужный порт. тебя заносит в СРЦ. адрес лист разрешенных адресов . дальше уже работай через что хочешь

а вы что то тут усложняете всё ?

но ты не воспринимай буквально название. Суть в том что ты идентифицируешь свой адрес по хитрому послав запрос на порт, или банально послав запрос на нужный порт. тебя заносит в СРЦ. адрес лист разрешенных адресов . дальше уже работай через что хочешь

я знаю как работает поркнокинг, я просто думал что ты для мобилки мне предлагаешь просто нестандартный порт)

ааа, нафига. мы же о фразе Сержа говорили ?

А у меня есть termux и возможность делать скрипты прямо на мобилке. Для порткнокинга в том числе.

А у меня яблокофон и мне недоступны такие прелести

тебе же написали - что напишешь то и получишь

Нет

да

ну да, пишешь пару правил и все

ну да, пишешь пару правил и все

Ты так говоришь, будто я не поверил еще раз свой вопрос задал

ну да, пишешь пару правил и все

Там я написал что ошибся комнатой

А у меня яблокофон и мне недоступны такие прелести

Яблоколюбы должны страдать.

(о_О) сбил меня своим пристуствием

(о_О) сбил меня своим пристуствием

охуеть не встать

в общем, суть ты понял. что напишешь то и получишь

Ну да, сам вот еще сижу

в общем, суть ты понял. что напишешь то и получишь

Да , понял

чисто ИМХО проще всего порт кнокинг сделать

Проще закрыть снаружи

с брутфорсом-защитой по методу вики писанины много

ну или если конектов много от одного адреса то заносить в черный список

правда я так и не разобрался как в конекшн. лимите задать время за которое считать. наверное там одновременных конектов считает

Понял

Спасибо

Доброго времени суток, подскажите пожалуйста, почему галочка IPv4 fasttrack active может быть не активна?

Доброе утро Коллеги подскажите плз Нужно скриптом поменять out-interface в правилах nat /ip firewall nat set [find out-interface=ether1 ] out-interface-list=wan что я делаю неверно? ROS 6.39.1

Доброго времени суток, подскажите пожалуйста, почему галочка IPv4 fasttrack active может быть не активна?

https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack начни с Requirements и Supported hardware

https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack начни с Requirements и Supported hardware

благодарю

Доброе утро Коллеги подскажите плз Нужно скриптом поменять out-interface в правилах nat /ip firewall nat set [find out-interface=ether1 ] out-interface-list=wan что я делаю неверно? ROS 6.39.1

Конструкция у тебя для конкретного правила

И если из там больше чем одно - то ничего не выйдет

Больше чем много

И если из там больше чем одно - то ничего не выйдет

Да, много. Как быть тогда? foreach ?

Ога

По логике вещей именно так

Да, много. Как быть тогда? foreach ?

https://wiki.mikrotik.com/wiki/Manual:Scripting-examples

Тут есть примеры

И если из там больше чем одно - то ничего не выйдет

не говори ерунду, оно поменяет всюда где аут-интерфейс равен езер1

Доброе утро Коллеги подскажите плз Нужно скриптом поменять out-interface в правилах nat /ip firewall nat set [find out-interface=ether1 ] out-interface-list=wan что я делаю неверно? ROS 6.39.1

то что аут интерфейс остается заданым

ERROR: S client not available

и есть такой момент что по аут-интерфейсу почему то не матчит, щас разберусь в чем дело

так-с, имя в кавычки надо брать

/ip firewall nat set [find out-interface="sfp1"] out-interface-list=er

/ip firewall nat set [find out-interface="sfp1"] out-interface-list=er

/ip firewall nat set [find out-interface="ether1" ] out-interface-list=wan - не отрабатывает

но всеравно твоя конструкция не имеет смысла пока что, так как мы не ЗАМЕНЯЕМ критерий, а додаем. а проверка по интерфейсу и интерфейс листу не имеет логчного смысла

оу

/ip firewall nat set [find out-interface="ether1" ] out-interface-list=wan - не отрабатывает

у меня отработала

ether10 - работает

out-interface-list=wan - не работает out-interface=ether10 - работает

ip firewall nat unset [find out-interface="sfp1"] out-interface

но всеравно твоя конструкция не имеет смысла пока что, так как мы не ЗАМЕНЯЕМ критерий, а додаем. а проверка по интерфейсу и интерфейс листу не имеет логчного смысла

ага, осознал

это в дополнение ?. тоесть сначала задаем аутинтерфейс-лист, а потом убираем аутинтерфейс

ыыы ))

это в дополнение ?. тоесть сначала задаем аутинтерфейс-лист, а потом убираем аутинтерфейс

спасибо

Я напоролся на глюк недавно, что 6.39.1 работала строго с кавычками, а 6.39 строго без них. Такая вот засада... на форуме Тика отписывал по той версии.

Или наоборот? Кароч, универсального решения не оказалось между версиями, кроме как вообще не матчить (просто [find] по задаче хватило).

день добрый, товарищи вопрос, так сказать, за тыщу у меня с одной стороны стоит mikrotik RB1100AHx2 и везде стоят RB951Ui-2HnD и прочие 952 и 2011UiAS-2HnD подскажите, пожалуйста, могу ли я указывать какой ширины канал у меня между головным 1100 и всеми филиальными дабы тонко настроить очереди и да, между некоторыми филиалами и центральным сайтом у меня shared L2 и очень хочется нарезать отдельные каналы CIR

день добрый, товарищи вопрос, так сказать, за тыщу у меня с одной стороны стоит mikrotik RB1100AHx2 и везде стоят RB951Ui-2HnD и прочие 952 и 2011UiAS-2HnD подскажите, пожалуйста, могу ли я указывать какой ширины канал у меня между головным 1100 и всеми филиальными дабы тонко настроить очереди и да, между некоторыми филиалами и центральным сайтом у меня shared L2 и очень хочется нарезать отдельные каналы CIR

давай тыщу. пойду напьюсь

А в чем смысл тонко настраивать очереди? Какую проблему решаете?

приоритезация трафика voip, cctv, rdp и загнать интернет в чёрное тело там, где нет задач в он-лайне

приоритезация трафика voip, cctv, rdp и загнать интернет в чёрное тело там, где нет задач в он-лайне

на стороне офисов в мангле маркать соединения-пакеты по условиям (voip, cctv, rdp) и назвать допустим vip-con все остальное маркать как non-vip-con создать queue tree с двумя или сколько вам нужно дочерними полосами. и queue tree указывать дочернюю queue гарантированную для важного трафика + высокий приоритет, для vip-con ну а для non-vip-con выбрать дочернуюю queue с другими условиями

гугли mikrotik queue tree htb

не просто гуглю, а сижу и курю ман этот думал, вдруг, я что-то упускаю но моя мысль, конечно, тянется от pstn каналов )

день добрый, товарищи вопрос, так сказать, за тыщу у меня с одной стороны стоит mikrotik RB1100AHx2 и везде стоят RB951Ui-2HnD и прочие 952 и 2011UiAS-2HnD подскажите, пожалуйста, могу ли я указывать какой ширины канал у меня между головным 1100 и всеми филиальными дабы тонко настроить очереди и да, между некоторыми филиалами и центральным сайтом у меня shared L2 и очень хочется нарезать отдельные каналы CIR

если канал шифрованый то 20 мегабит

ipip ipsec, да вопрос в том, могу ли я указать центральной железке что до вот этого хоста у меня канал, к примеру, 10М и его нужно делить вот так

на стороне офисов в мангле маркать соединения-пакеты по условиям (voip, cctv, rdp) и назвать допустим vip-con все остальное маркать как non-vip-con создать queue tree с двумя или сколько вам нужно дочерними полосами. и queue tree указывать дочернюю queue гарантированную для важного трафика + высокий приоритет, для vip-con ну а для non-vip-con выбрать дочернуюю queue с другими условиями

что бы раздавать приоритеты надо знать ширину полосы, при достижении которой в дело вступают приоритеты. без достижения этой границы приоритеты не играют роли

ipip ipsec, да вопрос в том, могу ли я указать центральной железке что до вот этого хоста у меня канал, к примеру, 10М и его нужно делить вот так

да, по железу процесор 2011/951 вытягивает около 20 мегабит айписека

да, по железу процесор 2011/951 вытягивает около 20 мегабит айписека

в моих местных условиях, у меня 15М это максимальная ёмкость канала

так что спокойно можно зажимать до 15 мегабит(нужно же процу еще что то обрабатывать) на канал ?

наверное, я не совсем точно выразился при работе с оборудованием связи можно задать, что данный канал связи = E1 = 2M и можно дробить его с кратностью по 64К на каждый нужный сервис

т.е. я могу объявлять ёмкость каждого канала

что бы раздавать приоритеты надо знать ширину полосы, при достижении которой в дело вступают приоритеты. без достижения этой границы приоритеты не играют роли

Согласен и по умолчанию предлагаю что канал известен. Ещё есть мнение что sfq помогает в случае неизвестной ширине канала, об этом упоминал Илья на форуме каком то, но сам я не пробовал