У меня такой херни нет кароч))

всю башку уже сломал..

Может точка не прошилась?

всё ок, всё прошилось

Телефон при обнаружении сети цепляется к 5Ghz и через пару секунд падает в 2.4

А если контроллер в L2 вместе с токой - то всё взлетает)

Где это 5жи

хм

чет я не пойму, че за хрень происходит. вайфай линк, запускаю btest - скорость 20 мбит

запускаю speedtest.org или торенты - 2 мбита

или меньше

А если контроллер в L2 вместе с токой - то всё взлетает)

Проверь все ли нужные порты открыты и ребутни всё))

У меня asus pce-ac88 не одуплялась пока по питанию не бутнул, цеплялась только в 2.4; сбросил питание нормально и сразу в ац подключилась

Господа, это показывает 109 Мбит или 10,9 Мбит?

10.9

Значит у меня интернет тормозит, не могу понять с чего так у меня

И вот так до сих пор делает

цпу не загружен?

График смотрели? Так же всё? Может касяк в опросе тика

Проверь все ли нужные порты открыты и ребутни всё))

Отключил фв вообще. Все устройства уже несколько раз ребутал.

цпу не загружен?

Точно, 94%

Что делать?

Точно, 94%

смотри /tool profiler что именно грузит

вангую что днс :D

Ванга ?

Что делать?

добавляй в фаерволле правило дропать пакеты на 53 порт удп с интернет интерфейса

https://mikrotiknetworking.wordpress.com/2016/03/18/dns-amplification-attack/ вот рассказ про это, но еще раз обращаю внимание: не забывай указать in-interface, если юзаешь днс микротика

добавляй в фаерволле правило дропать пакеты на 53 порт удп с интернет интерфейса

СПАСИБО! Это я DDoS заблокировал да?

Это ты делал ддос атаку на кого-то. не надо больше так

:)

открытый в мир сервис - всегда потенциальный источник ада

А как узнать с какого компа у меня сеть атакует?

смотри откуда трафик летит и все

Ок

смотри откуда трафик летит и все

Это в Torch смотреть надо?

можно и в торч

но смысла смотреть кто там на 53 порт долбился как правило мало, потому как запросы шлют с кучи адресов ибо ботнет

ну так если кеширующий разрешить только слать с адресов провайдера , тоесть разрешить ответы только dns провайдера

ну так если кеширующий разрешить только слать с адресов провайдера , тоесть разрешить ответы только dns провайдера

тшшш тшшш. все в порядке. все нормально. не надо ничего выдумывать - просто запрещаем запросы на 53 порт к микротику и живем счастливо

Я как-то на оффоруме Тиков поднимал вопрос -- по умолчанию не принимать запросы к DNS-серверу снаружи... они ответили, что нет смысла, ибо умолчальная настройка фаера от этого закрыта (вообще, заодно и DNS). Трабла в том, что народ потом лезет руками фаервол строить под себя, и в итоге 80% оставляют эту дыру, ибо в офисе DNS тоже нужен, а правило забывают... когда 99% ловят DNS Amplification -- жалуются на CPU в полку... Добавили бы уж дефолтом в RAW это правило (туда многие не полезут ковырять) или лучше галкой в самом DNS-сервисе.

Зачем предлагаешь решать проблему, которую пользователи сами себе создают?

это не правильный подход

Статистика. Хомячки не лезут и не страдают -- но они, как правило, и не покупают Тик осознанно. А если полезли учиться, исследовать -- постоянно попадают на грабли, но оно сразу так явно НЕ ВИДНО -- и начинается (несправедливый) гон на всю марку, типа загружен в полку, не тянет... вот накой, если можно лёгким движением в дефолте ЯВНО добавить это правило?

Закрыть явно днс?

Ты статистически от всех атак не закроешься. Тогда сразу надо и f2b и прочие portknoking

Зачем предлагаешь решать проблему, которую пользователи сами себе создают?

Поздравляю, вы приняты! *отдел кадров Яндекс*

и ридми на 300 кб к конфигу в 30кб.

Поздравляю, вы приняты! *отдел кадров Яндекс*

Жду оффер на почту!

Пользователи не создают это себе. Они вообще о существовании такой атаки узнают сильно позже. IMHO они и не обязаны ЗАРАНЕЕ знать все возможные типы атак -- тем более если другие марки роутеров от такой фигни не страдают массово.

надо сервисов не вешать жопой на внешку лишних

надо сервисов не вешать жопой на внешку лишних

++

Не страдают, потому что тот же набор правил в дефолте.

Поздравляю, вы приняты! *отдел кадров Яндекс*

ну не че себе)

Я ещё и SIP-сканы в этом же правиле закрываю, через запятую -- ибо нашли, задалбывают.

А вообще можно DNS и в IP -- Services отдельной строчкой вывести, с разрешёнными адресами/подсетями. Чем оно хуже ssh или telnet?

ну не че себе)

Ты не умеешь в юмор)

Ты не умеешь в юмор)

ну не местный же)

https://mikrotiknetworking.wordpress.com/2016/03/18/dns-amplification-attack/ вот рассказ про это, но еще раз обращаю внимание: не забывай указать in-interface, если юзаешь днс микротика

Крутой блог.

А вообще можно DNS и в IP -- Services отдельной строчкой вывести, с разрешёнными адресами/подсетями. Чем оно хуже ssh или telnet?

Его бы как ntp в отдельный пакет.

Воу воу

И из пакета уже как полноценный сервер с сервисами и прочим. :) ;).

Что это вы тут с утра начали за безопасность?

У меня уже обед.

Когда дойдёте до ICMP - дайте знать.

Отдельную прошивку для работы с icmp? :).

Отдельную прошивку для работы с icmp? :).

Тебя Антон покусал?

надо сервисов не вешать жопой на внешку лишних

Трабла лишь в том, что DNS на внешний порт вешается НЕЯВНО. Админ настроил фаер, всё зашибись. Но в офисе приспичило DNS для своих, статики там -- не поднимать же отдельный сервер из-за мелочи, в роутере же есть! Включаем, свою локалку прописываем, чтоб не вспоминать адреса... а через недельку оно ррраз -- и голой жопой в Инете оказывается, и проц в полку... Ну блин, чего сусолить -- статистика же, вангует каждый первый в точку ;)

@nimbo78 я так и не победил этот band steering, как ни старался. Разделил на разные SSID от безвыходности и теперь весь чешусь и не могу спать(

Трабла лишь в том, что DNS на внешний порт вешается НЕЯВНО. Админ настроил фаер, всё зашибись. Но в офисе приспичило DNS для своих, статики там -- не поднимать же отдельный сервер из-за мелочи, в роутере же есть! Включаем, свою локалку прописываем, чтоб не вспоминать адреса... а через недельку оно ррраз -- и голой жопой в Инете оказывается, и проц в полку... Ну блин, чего сусолить -- статистика же, вангует каждый первый в точку ;)

При этом судя по тексту админ кхуям вырубил файрвол

Тебя Антон покусал?

Антон?

Антон?

тебя кусали Антоны?

Про ицмп конечно шутка, но в целом, днс сервер отдельный с настройками было бы прикольно. Но не факт, что юзабельно.

тебя кусали Антоны?

Согласен на Антонин.

Его бы как ntp в отдельный пакет.

Вот кстати да. И с доп. функциями. Я бы от нормальных записей полноценных не отказался, и от RPZ -- в духе dnsmasq, tinydns/dnscache. Но Тики не хотят, ибо это -- РОУТЕР жи...

Про ицмп конечно шутка, но в целом, днс сервер отдельный с настройками было бы прикольно. Но не факт, что юзабельно.

ну так сплит днс для этого есть такто

Трабла лишь в том, что DNS на внешний порт вешается НЕЯВНО. Админ настроил фаер, всё зашибись. Но в офисе приспичило DNS для своих, статики там -- не поднимать же отдельный сервер из-за мелочи, в роутере же есть! Включаем, свою локалку прописываем, чтоб не вспоминать адреса... а через недельку оно ррраз -- и голой жопой в Инете оказывается, и проц в полку... Ну блин, чего сусолить -- статистика же, вангует каждый первый в точку ;)

Трабла в том что люди рукожопы и это ни одной настройкой не исправить

ну так сплит днс для этого есть такто

На микротике?

На микротике?

нэ , я про бинд какойнить

Берите уже эджроутер и ставьте нормальный бинд

Всем привет, ребята подскажите пожалуйста seo чаты зарубежные

Всем привет, ребята подскажите пожалуйста seo чаты зарубежные

оО?

нэ , я про бинд какойнить

Это-то понятно.

Всем привет, ребята подскажите пожалуйста seo чаты зарубежные

СЖЕЧЬ ВЕДЬМУ!

Ну а чего они плачутся? Пусть ждут рос7 и там все будет

ROS7 тож конфирмед... дата выхода не конфирмед :(

ROS7 тож конфирмед... дата выхода не конфирмед :(

а кто её конфирмед?

пруфы

Ну обсуждения наоффоруме, приём пожеланий есть же ;)

или пойдете по статье об оскорблении чувств верующих

Ну обсуждения наоффоруме, приём пожеланий есть же ;)

они там с 2014

Чо, сомневаетесь, что её пилят вообще?

Чо, сомневаетесь, что её пилят вообще?

дату выхода объявили, кстати

Пока альфу-бету не выкатят...

Пока альфу-бету не выкатят...

сразу после выхода Half-Life 3