Что за прога?

Я просто поришел недавно в компанию одну и охуел с того, что они как бы с микротиками работают, но при этом там ни фаервола нет на большинстве, ни прошивка не обновляется уже где-то с 5.25 примерно

Что за прога?

там же титл есть

по имени скрипта значит было 3 штуки, сейчас жив один...

Я просто поришел недавно в компанию одну и охуел с того, что они как бы с микротиками работают, но при этом там ни фаервола нет на большинстве, ни прошивка не обновляется уже где-то с 5.25 примерно

работает - не трогай

там же титл есть

Читать умею, дискрипшн бы какой

^ вот в общем сканили сетку провайдерскую

провайдерскую внутреннюю - ещё куда не шло. А вот у дом.ру вообще белые адреса у всех в Казани, по-крайней мере. Эти ребятушки на весь мир видны)

работает - не трогай

?

Подскажите с DNS на микротике

ну, я видел и получше. Один чел настраивал несколько аццептов и ни одного дропа

кстати, видал ещё, когда на ether1 стоит drop, но аплинк на самом деле - pppoe-out )

провайдерскую внутреннюю - ещё куда не шло. А вот у дом.ру вообще белые адреса у всех в Казани, по-крайней мере. Эти ребятушки на весь мир видны)

Так вот откуда весь хоум порн контент

провайдерскую внутреннюю - ещё куда не шло. А вот у дом.ру вообще белые адреса у всех в Казани, по-крайней мере. Эти ребятушки на весь мир видны)

Я как-то находил список открытых домрушных роутеров SNR Когда работал там, отдал список в службу безопасности. В общем до сих пор 90% списка доступно. А уволился в начале этого года

Так вообще можно делать? Все адреса мне выдаются на 1.2.3.4

Цель: заблокировать все, кроме пары сайтов

Читать умею, дискрипшн бы какой

а. Ну сканит заданную сеть(и) по заданным портам, выдает данные для авторизации на уязвимых устройствах, название устройства. Если не может достать авторизацию ,пытается достать данные от вайфая и прочие штуки.

Так вообще можно делать? Все адреса мне выдаются на 1.2.3.4

А я возьму себе впишу днс на компе руками и все.

а. Ну сканит заданную сеть(и) по заданным портам, выдает данные для авторизации на уязвимых устройствах, название устройства. Если не может достать авторизацию ,пытается достать данные от вайфая и прочие штуки.

Перебором стандартным форсит?

А я возьму себе впишу днс на компе руками и все.

Дохрена компов И как я на них заблокирую ВСЕ ?

А я возьму себе впишу днс на компе руками и все.

Хитрый?

Перебором стандартным форсит?

Словарями тоже орудует, да. А пароли на уязвимых меньше секунды достает, он там какой-то заумный запрос выполняет и получает базу с логинами-паролями, , какой-то баг бузибокса

А я возьму себе впишу днс на компе руками и все.

А, ты наверно говоришь об обходе. Это не нужно, пользователи - хомячки

А, ты наверно говоришь об обходе. Это не нужно, пользователи - хомячки

Ну вот именно потому, что хомячки, надо не днсы прописывать, а на всякий случай по регэкспам соединения маркировать и дропать к чертям, или reject

а то потом 1.2.3.4 на тебя наедет (нет)

А еще в фаерволе сделать правило редиректа 53 порта на микрот

н6о все равно это можно обмануть. Но там уже думать надо

Ну вот именно потому, что хомячки, надо не днсы прописывать, а на всякий случай по регэкспам соединения маркировать и дропать к чертям, или reject

Биллинг же именно по маркерам делают?

Биллинг же именно по маркерам делают?

Смотря у кого какой билинг, я ни разу не юзал билинг на микротики)

Но мне кажется билинг на маркерах будет дико отжирать проц

Ну вот именно потому, что хомячки, надо не днсы прописывать, а на всякий случай по регэкспам соединения маркировать и дропать к чертям, или reject

А как мне белый список на этом сделать?

А еще в фаерволе сделать правило редиректа 53 порта на микрот

Во, надо сделать. А как тиком игнорить провайдерские днс? А то у меня ростелекомовский чёрный список у прова тупо в днс ?

создать address-list с разрешёнными сайтами. в фаерволе сначала forward allow с destination address list <разрешённый> и forward drop все остальные на dst port 443,80

А как мне белый список на этом сделать?

сделать адрес-лист с белыми списком и в фаерволе сделать правило, чтоб пропускал этот список - через аццепт, джампы или как хочешь

Смотря у кого какой билинг, я ни разу не юзал билинг на микротики)

Я тоже тока читал. Руки не дошли

Во, надо сделать. А как тиком игнорить провайдерские днс? А то у меня ростелекомовский чёрный список у прова тупо в днс ?

DNSSEC, либо DNS запросы слать через vpn

У меня не блочат, а даже когда блочили, я через впн кидал запросы. но благо я на ростелекоме всего два месяца пробыл, пока нормальный провайдер мне кабель тянул

DNSSEC, либо DNS запросы слать через vpn

Где почитать?

Policy based routing

статья в вики на латышском английском

статья в вики на латышском английском

Спс. Позырю. Надеюсь читабельно

"In this article you can know what is PBR ( Policy Base Routing ) and how it work with One Example"

создать address-list с разрешёнными сайтами. в фаерволе сначала forward allow с destination address list <разрешённый> и forward drop все остальные на dst port 443,80

А как список адресов ввести? На запятую ругается

терибол рашен акцэнт прям слышу в цитате

Где почитать?

скажу честно, dnssec не поднимал. А как днсы в впн пихать - легко: Маркируешь все днс-запросы, потом отмаркированные отправляешь в впн. Ну и натить надо не забывать.

Сложнее это когда тебе надо днс-запросы только на определенную зону в впн пихать, но с этим тоже можно разобраться в целом

терибол рашен акцэнт прям слышу в цитате

Лондон из э греат...

Но вот по поводу dnssec знаю, что микротик его сам по себе не поддерживает, но можно поднять на каком-нибудь сервачке и его юзать как днс

Сложнее это когда тебе надо днс-запросы только на определенную зону в впн пихать, но с этим тоже можно разобраться в целом

Я хотел луковицу поднять. Не смог ? мозгов маловато

@iMarkin я нашел твой NAS

Э! А мой?

94.19.209.244

https://www.shodan.io/host/94.19.209.244

@iMarkin я нашел твой NAS

На 443??

На 443??

да и на 8080 тоже)

а вот btest лучше спрятать на самом деле

Есть такое

2000?

+

https://www.shodan.io/host/94.19.209.244

qnap )

хм, пентестеры, го 84.39.246.60

ага

имя - это имя списка, в который добавляете сайт

можно скриптом уж

хм, пентестеры, го 84.39.246.60

Не твоя личная армия.

https://www.shodan.io/host/94.19.209.244

"вычислить по айпи") такая себе точность, с точностью до провайдера, не более)

ERROR: S client not available

зачем вообще выставлять управление в мир?

Что бы удалённо управлять. Иногда так надо

Теперь понятно. Я думал что будет ругаться на одинаковое имя

+

Дропать или где-то можно отключить?

Не твоя личная армия.

я за интернет плачу не для того, чтобы управлять, что ли?

Что бы удалённо управлять. Иногда так надо

сделать точку входа

например, ssh по ключам

"вычислить по айпи") такая себе точность, с точностью до провайдера, не более)

по какому айпи? он сканит все порты и сервисы открывает. В качестве ресурса, чтоб посмотреть, не торчит ли у тебя из сети где-то голая жопа через дыру, сойдет

и оттуда уже всё

например, ssh по ключам

Ограничение по айпи вполне удобно работает.

вполне удобно, пока нет информации, что в нём уязвимость

по какому айпи? он сканит все порты и сервисы открывает. В качестве ресурса, чтоб посмотреть, не торчит ли у тебя из сети где-то голая жопа через дыру, сойдет

а, я увидел карту и больше ничего)

шодан чот не алё

а, я увидел карту и больше ничего)

значит что-то не так сработало

даже dnat порт для i2p не нашёл

сканит только стандартные порты, похоже

https://www.shodan.io/host/94.19.209.244

Кстати, не все порты сосканил ?

вполне удобно, пока нет информации, что в нём уязвимость

В смысле вход с 3 айпи. А остальное в дроп.

шодан чот не алё

Угу

подождите, ещё пол часика зенмап сканить будет)

подождите, ещё пол часика зенмап сканить будет)

Я тебя могу уже поздравить. Ты в блэк листе если чо

Я тебя могу уже поздравить. Ты в блэк листе если чо

и это правильно)

Я тебя могу уже поздравить. Ты в блэк листе если чо

это уже не "из коробки достал и в розетку воткнул"

значит что-то не так сработало

а как этой тулзой пользоваться?

Кто-то пытался меня наебать

Все, не буду ничего брутить)

это уже не "из коробки достал и в розетку воткнул"

То ирония была

Все, не буду ничего брутить)

?

Не, нет в блэк листе

Продолжайте?

Кстати, а почему у меня не маркируется в фаерволе коннект к 22 порту когда форсят?

Раньше вроде работало.