Не рдп вообще то, но да, по ssh к 192.168.0.108 подключаюсь

Весь файрволл вырублен, в локалке доступ есть, правило создаю верное, но всё равно из внешки не открывает

внешка белая?

Да

ну я на всякий случай

)

экспорт конфига в студию

в терминале export

в терминале export

https://gist.github.com/Kylmakalle/3b9106dbf3fd9fea2977922c258e43b1

лол, правило ната из примера выше добавь на роутер

Добавлял, с ним не работало

ну тогда я всё, звони в техподдержку))

Ахахах

Такое дело, с маскарадом рабоатет оказывается

нет, серьёзно, это очень примитивная штука, решаемая в твоём случае одной строчкой

add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1 ether1 это wan интерфейс ?

add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1 ether1 это wan интерфейс ?

да

где ваше правило дст ната в экспорте ?

Добавлял, с ним не работало

.

но по внешнему айпишнику вместо интерфейса и с маскарадом /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.88.0/24 работает

ну у меня тоже из локальной сети на внешний ip получилось посредством этих настроек https://lantorg.com/article/kak-zajti-po-vneshnemu-ip-adresu-iz-lokalnoj-seti-dlya-mikrotik

ssh отключи

и telnet

ip -> service

Отключил, а как это я резко стал так широко известен, микротик продал мой айпишник?

ага?

ещё и погляди правила фаервола на дроп входящих, а то ещё и DNS будут юзать

ага?

Серьёзно?

Серьёзно?

Нет. Боты постоянно брутят по стандартным портам всего интернета

у меня одно время сервер радмина стоял на стандартном порту. Лог за полгода около 40 мегабайт был

чем меньше сервисов смотрит наружу, тем лучше.

я видел как загрузка CPU была под 100% когда роутер использовали китайцы как DNS сервер

я видел как загрузка CPU была под 100% когда роутер использовали китайцы как DNS сервер

по дефолту ДНС наружу работает тоже? Или какой им профит?

в квик сетапе дропает все запросы на wan

бывает люди просто с "нуля" настраивают и не прописывают ни каких правил фаервола

хм, надо будет у себя глянуть

ну и в логе (он же весь в одном месте, да?) ничего страшного не спамит

Drop all from wan, обычно последнее правило

последнее в чепочке

а как цепочку расположить только художнику известно

хм. капсман настроил. вечно отваливается винбокс. и dns недоступен становится

че зззаа

Drop all from wan, обычно последнее правило

а я уже не помню, что делают правила после него (ну кроме финального). И я ли их туда добавлял,а не автонастройка xD

Кто подскажет хороший captive portal, распространяющийся не по SaaS'у?

хм..закрашивать 192.168...сурово

хм..закрашивать 192.168...сурово

паранойа, ничего не могу с ней поделоть(

особенно если там 88.1)

я ещё админские пароли периодически меняю. все.

нет, там не 88

дефолтные сети не нужны

я параноидально в правиле drop all for WAN меняю ether-1 на !bridge)

просто иногда не 1 порт у меня wan)

я пока не столь подкован в сетях, чтоб туда лезть(

и кстати input icmp лучше ограничить)

оставить только свои ip

а то все кто не попадя будут пинговать

а у вас там 12к пингов

а у вас там 12к пингов

это много?

35дней аптайм

ну ...это зависит от аптайма

вряд ли же это все ваши

значит кто-то ещё пингует:)

ну, я не вижу вектора атаки через пинг

и треть-половина может быть моим, я пару раз WinMTR забывал выключить :D

пинганул микротик, он ответил, и начали долбить в 22 порт

который закрыт

вроде

лишняя нагрузка, микротику же нужно отвечать каждому что он закрыт

впрочем, я понял, буду думоть, как и с положением инпут-блока в фв

пинганул микротик, он ответил, и начали долбить в 22 порт

смени порт на 59722 например и повесь правила антидолбил и все ок будет

перенос порта ssh никак не повлияет на количество внешних подключений к 22 порту)

перенос порта ssh никак не повлияет на количество внешних подключений к 22 порту)

как сказать .... 90 проц долбил это дятлы и софт у них заточнет тока на порт 22 а от 10 проц оставшихся + с системой защиты от сканирования доставит много гемора в поиски нужного

Всем доброй ночи!

Друзья, может кто сталкивался? Микротик 2011, последняя стабильная прошивка. Валятся такие пакеты по WiFi :

Malformed packets

как сказать .... 90 проц долбил это дятлы и софт у них заточнет тока на порт 22 а от 10 проц оставшихся + с системой защиты от сканирования доставит много гемора в поиски нужного

Это не дятлы :) ищут непродвинутых. У них и пароль попроще

user manager не работает на 3011 o_O

вот это сюрприз

user manager не работает на 3011 o_O

вшмишли?

ну в смысле нет его под него

там типа арм и пакета нет

вот подстава )

Malformed packets

Размер?

"Петька, приборы"

Размер?

Все ровно 14 байт

https://www.mikrotik.com/testdocs/ros/2.8/ip/mndp.php дак вроде разжованно боше некуда

Всегда забавляло снять на мобилу, вместо того что нормальный скриншот вставить)

там типа арм и пакета нет

а, это не стоковая утилита? Я подумал речь о System > Users O_O

https://wiki.mikrotik.com/wiki/Manual:User_Manager

Всегда забавляло снять на мобилу, вместо того что нормальный скриншот вставить)

Так быстрее

Иногда

Все ровно 14 байт

Размер пакета при захвате увеличить бы. Это только с wifi так?

Размер пакета при захвате увеличить бы. Это только с wifi так?

Да...

Это не дятлы :) ищут непродвинутых. У них и пароль попроще

как покзывает практика такие действия снимают нагрузку на порт и появляется счастье