всем ку :)) подскажите как запретить доступ к микротику из vlan ?( есть обычный vlan1 и vlan10 (vlan10 не видит хосты vlan1 но при этом может логиниться на роутер через винбокс :) ))

/stat@combot

combot.org/chat/-1001062683398

/stat@combot

combot.org/chat/-1001062683398

/stat@combot

combot.org/chat/-1001062683398

/stat@combot

combot.org/chat/-1001062683398

/stat@combot

combot.org/chat/-1001062683398

есть такая штука сервисы winbox available from

всем ку :)) подскажите как запретить доступ к микротику из vlan ?( есть обычный vlan1 и vlan10 (vlan10 не видит хосты vlan1 но при этом может логиниться на роутер через винбокс :) ))

фаервол инпут аут интерфейс влан , протокол тисипи, дст порт - порт винбокса экшн дропэ не работает?

можно и через эвэйлэбл (сач перфект инглиш пранансиейшын)

))

Добрый вечер всем! Есть из присутствующих здесь те, кто уже записался на предстоящий MUM?

В СПб оплатил mum

Разновидность EoIP?

Доступ к роутеру ...

Расскажите от какой именно Страшной Атаки Судного Дня в дефолтной конфигурации защищаются? ip firewall filter add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1

а то этот конфиг неочевидным образом мешает сделать из роутера собственно роутер. не роутит входящий

эт правило в самом низу и обчн его счетчики у меня по нулям...

Лучше бы DNS входящий запретили.

а то защищаются сами не знают от кого. От коммунистов поди.

днс в дефконфиге блочится извне...

в топку дефолт)

днс в дефконфиге блочится извне...

что-то не вижу: /system default-configuration print

что-то не вижу: /system default-configuration print

не явно он блочится, более универсально, для сокращения количества правил

не явно он блочится, более универсально, для сокращения количества правил

да ГДЕ? ну нету такой строчки

да ГДЕ? ну нету такой строчки

defconf: drop all not coming from LAN

коммент

ну это же не про DNS

там все блочится, даже капсман)

днс в него прекрасно попадает

а кто тогда создал большующий ботнет?)

dns приходит на input

создайте правило блока днс и поперетаскивайте его до и после дефолтного правила, посмотрите на счетчики

Я запрещаю все на 53 порт на ване

Капец там счетчик набегает

а у меня на одном провайдере набигает, а ну другом не набигает) УГАДАЙТЕ ЧТО

dns приходит на input

5 ;;; defconf: drop all not coming from LAN chain=input action=drop in-interface=pppoe-out1 log=no log-prefix=""

правильно - один провайдер посмотрел на это блядство и дропнул давно

а тут какая цепочка?

Да я тоже думаю, что это работа провайдера

А мы тут сами дропаем) )))

И ведь поддержке фиг что докажешь

Интернет есть, да и ладно

ну это было несколько сисадминов тому назад. наверняка по договоренности

в дефконфиге не все идеально, но днс извне он блочит, я за спаведливасть)

5 ;;; defconf: drop all not coming from LAN chain=input action=drop in-interface=pppoe-out1 log=no log-prefix=""

это правило DNS нет ограничит. факт в том что призрачные маловероятные "отаки" зачем-то ограничены , а dns нет.

А где взять дефолтные правила?

А то свои грохнул

: /system default-configuration print

О как, она хранится? Пасиб

перед этим правилом на инпут мы только разрешаем эстаблишед, коннектед, антрекед, дальше icmp а потом на инпут мы дропаем ВСЁ ОСТАЛЬНОЕ, как внешние запросы днса от ботов в него не попадут? Обьясните мне пожалуйста, может я поменяю своё мнение

внешние запросы на input приходят и они так же легетимны как ssh например

так, хорошо, и как Ваше утверждение конфликтует с моим сообщением выше?

дефолтная конфигурация НЕ ограничивает внешние запросы к DNS

потому что не совсем понятно который интерфейс внешний

я не знаю ответ на тот вопрос потому что не хочу знать

дефконфиг блочит !LAN, в него попадут внешние интерфейсы, а также динамические пппое и т.д.

"внешние запросы на input приходят и они так же легетимны как ssh например" и "дефолтная конфигурация НЕ ограничивает внешние запросы к DNS" вот между этими сообщениями я потерял связывающее звено логики для меня

днс запрос извне подпадает под эстаблишед?

да откуда мне знать что там поехавшие латыши думают? dns не ограничивается - это факт

коннектед?

антрекед?

тогда дроп всего остального

возникла ситуация когда микротики используются для усиления ddos

ERROR: S client not available

обьясните где не правильно

это тоже факт

звони в НАТО

хз кто там у них главный по БЕЗОПАСНОСТИ

у меня другие "факты" по блоку днс)

в общем прийду на работу и перепроверю

днс в дефконфиге блочится извне...

DNS в дефолт конфиге просто выключен. Админ его потом Включает и как бы админ должен бы соображать что ещё требуется сделать после этого.

а разве галка Allow Remote Request не выполняет функцию разрешения или запрещения внешних днс запросов?

в настроках днс

подскажите, пытаюсь траффик отправить на удаленный хост (packet sniffer), но он его не отправляет. У меня стоит RouterOS на virtualbox, причем когда я говорю отправлять на тот же интерфейс сетевой карты винды с другим адресом, все работает

почему правилами фаервола надо запрещать?

а разве галка Allow Remote Request не выполняет функцию разрешения или запрещения внешних днс запросов?

не только внешних, но и внутренних.

о как, я думаю, че у меня винбокс отваливался ))))

хотя с чего бы ...

DNS в дефолт конфиге просто выключен. Админ его потом Включает и как бы админ должен бы соображать что ещё требуется сделать после этого.

Согласен с Пашей, allow remote request мы уж сами ставим галку

а разве галка Allow Remote Request не выполняет функцию разрешения или запрещения внешних днс запросов?

НЕТ. это не же dns-сервер, а dns-прокси. Он не такой как люди ожидают.

НЕТ. это не же dns-сервер, а dns-прокси. Он не такой как люди ожидают.

Кэширующий DNS.

И пусть в нем неработающих first и second dns как нужно

А на тему фаервола )

https://youtu.be/3ESRncrnCM4

Мать его часть

НЕТ. это не же dns-сервер, а dns-прокси. Он не такой как люди ожидают.

Какие такие люди? Разве стандарт кэширующего DNS не приводится в RFC.?

сервер dns должен серверить. то есть выполнять запросы для для клиентов. для этого ему важно понимать кто клиент, а кто нет. Но такой настройки в нем нет. Сервер ли это вообще?

о как, я думаю, че у меня винбокс отваливался ))))

CPU на панель вверху выведи и /tools profile можно посмотреть что кушает ресурсы ... и зелёный квадратик справа вверху это не загрузка процессора ... это трафик между роутером и винбоксом

оооок, пасиб

я почему то думал это cpu ))

)) все так думают

бл... полезная инфа... видать это из виндового диспетчера задач в трее пошло :-)

CPU на панель вверху выведи и /tools profile можно посмотреть что кушает ресурсы ... и зелёный квадратик справа вверху это не загрузка процессора ... это трафик между роутером и винбоксом

да ладно ??

)) все так думают

+1 это точно! )))

Больше всего забавляет реакция на эту инфу)