сегодня три жалобы в абузу с утра

dns amplification ?

похожу что именно оно

днс амлификейшн работает так - злодей в ваш микрот кидает днс-запрос с поддельным адресом источника запроса. Ваш микрот радостно отвечает на этот самый поддельный адрес

потому стоит прикрыть 53 порт для запросов снаружи

стоит прикрыть все порты для адресов снаружи

и отключить провод от порта

Просто /ip firewall add chain=input action=drop :D

надеть durex на rj45

Ну хз, у меня все закрыто к херам собачим, кроме gre

Просто /ip firewall add chain=input action=drop :D

в общем случае не спасет. бывают такие уязвимости, которые еще на этапе до файрвола срабатывают

в общем случае не спасет. бывают такие уязвимости, которые еще на этапе до файрвола срабатывают

Пруфы?

днс амлификейшн работает так - злодей в ваш микрот кидает днс-запрос с поддельным адресом источника запроса. Ваш микрот радостно отвечает на этот самый поддельный адрес

просто странно что 99% - именно микроты. У остальных все ок, хотя я думаю что у нас в сети найдеться докуищща железок клиентских с открытым 53 и 389.

Пруфы?

ну вот из последнего https://www.bleepingcomputer.com/news/linux/two-ddos-friendly-bugs-fixed-in-linux-kernel/

просто странно что 99% - именно микроты. У остальных все ок, хотя я думаю что у нас в сети найдеться докуищща железок клиентских с открытым 53 и 389.

у 99% сохо железок днс наружу не отвечает

просто странно что 99% - именно микроты. У остальных все ок, хотя я думаю что у нас в сети найдеться докуищща железок клиентских с открытым 53 и 389.

просто у всех наружу 53 не открыт по дефолту. А у микротика, если вы разрешаете получать dns-Запросы галочкой, то ограничивать их нужно файрволом

Зачем вообще пускать кого-то и давать возможность прощупать почву. В первый день, как я начал отправлять в бан на 24 часа, в адрес-листе было 5к хостов, сейчас они опустили руки и там 1к

я думаю надо в фаере разрешить подключенение только для своих пиров

я думаю надо в фаере разрешить подключенение только для своих пиров

Для сотни /24 мегафоновских сеток?

просто странно что 99% - именно микроты. У остальных все ок, хотя я думаю что у нас в сети найдеться докуищща железок клиентских с открытым 53 и 389.

а про 389 в том письме, которое, как я вижу в своем хрустальном шаре, вы получили, написано так "53 or (and) 389" Так что 389 скорее всего нету - мало я встречал торчащих наружу ldap в жизни

ну я хз

у меня ипсекс в туннельном режиме

и там четко прописаны адреса пиров

иначе полиси не сработает

а если ipsec для сотрудников в полях и лесах?

ну тогда внутри л2тп

а про 389 в том письме, которое, как я вижу в своем хрустальном шаре, вы получили, написано так "53 or (and) 389" Так что 389 скорее всего нету - мало я встречал торчащих наружу ldap в жизни

в абузе говориться про атаки с 53 и 389 порта. там пишут как про днс так и про лдап амплификейшн

иначе заебешься ты на каждого сотруника добавлять полиси

в абузе говориться про атаки с 53 и 389 порта. там пишут как про днс так и про лдап амплификейшн

we did receive massive traffic from "ip удалил" udp port 389 and/or 53 to our network

у них одно письмо на две проблемы просто )

ну тогда внутри л2тп

что за новшество ipsec внутри l2tp? Обычно же вроде наоборот, ну и для роадворриоров есть ikev2, если уж про чистый иписек говорить

Подскажите что за Discovery такая опция в Quick Set

не могу найти, нужно на ней галочку ставить или нет :( я так понял по самой функции это определение микротика в сети

we did receive massive traffic from "ip удалил" udp port 389 and/or 53 to our network

ну тогда рил можно посоветовать просто закрыть 53) посмотрим чо оно буит

что за новшество ipsec внутри l2tp? Обычно же вроде наоборот, ну и для роадворриоров есть ikev2, если уж про чистый иписек говорить

Если клиент за натом

Если клиент за натом

ikev2 не имеет проблем с натом, если вы об этом

Ну всё, все переходим на ике

что за новшество ipsec внутри l2tp? Обычно же вроде наоборот, ну и для роадворриоров есть ikev2, если уж про чистый иписек говорить

ikev2 не очень удобно поднимается пока. оно как то странно.

возвращаясь к вопросу Stonesoft-IPsec-VPN-Client

при настройке на компе, он получает список маршрутов и хостов в удаленной сети

как это сделать на микротике?

как это сделать на микротике?

Stonesoft IPsec VPN Client is compliant with the IPsec, IKEv1, and IKEv2 standards. Stonesoft IPsec VPN Client can only be used with a Stonesoft Firewall/VPN gateway because of the proprietary automatic configuration methods.

Перевод - никак

юзеры говорят что еще можно это на макафи впн клиент поднять

янекс по словам mcafee vpn client первой же ссылкой выдает документ, озаглавенный "Установка и настройка VPN Client McAfee (StoneSoft)". Так что, видимо, корни у клиентов одни, просто название разное

лучше этого вы вряд ли найдете hide.me/ru

янекс по словам mcafee vpn client первой же ссылкой выдает документ, озаглавенный "Установка и настройка VPN Client McAfee (StoneSoft)". Так что, видимо, корни у клиентов одни, просто название разное

+1

сколько с ним работал, никогда проблем не было

лучше этого вы вряд ли найдете hide.me/ru

для подсоединения к какому-то приватному впн это вряд ли подойдет ))))

для подсоединения к какому-то приватному впн это вряд ли подойдет ))))

так человеку просто впн ведь нужен был, разве нет?

ну видимо нет, видимо нужен впн в определенное место, где дают стонесофт

ну видимо нет, видимо нужен впн в определенное место, где дают стонесофт

+2

там выдали для домашнего юзера, а мне микроофис надо посадить удаленщиков

доброго времени суток

кто-то сталкивался с спам базой CBL?

Ну есть такое

постоянно банит, говорит что идет розсилка с моего IP, но блин, все перекрыто, 25 порт наглухо закрыт

вот такая вот картина

Проверьте на mxtoolbox

Может ещё кто что скажет

может ли кто-то со стороны подменять 25 порт?

А как у вас наглухо закрыт 25?

Попробуйте правило фаера блокирующее 25 на верх перенести

И само правило покажите

как то так

мож неправильно прописал

ERROR: S client not available

ну там не только 25)

Вижу, поместите правило выше, не на 33-35 на на 1-2

више разрешающих?

ок

и винбокс отпадет )

не выше разрешающего для винбокса только

Дайте винбоксу только с бриджа доступ

Иль впн

А чего 22 открыт в мир?

он то закрит - в ip-sevices виключен

но все равно показывает что открыт

а вот правило номер 33 - оно зачем*? Если вы хотите трафик из локальной сети закрыть на эти вот порты - вам в src нужно диапазон локальной сети указывать. А у вас там внешний адрес.

1 дропаем все лишнее на интерфейсе 2 разрешаем нужное 3 оставшееся дропаем

И не адресами а интерфейсами

а вот правило номер 33 - оно зачем*? Если вы хотите трафик из локальной сети закрыть на эти вот порты - вам в src нужно диапазон локальной сети указывать. А у вас там внешний адрес.

в scr - записать нпр: 192.168.0.1-192.168.0.254??

192.168.0.0/24

Или бриджлокал

на одном интерфейсе несколько ip

разделённые влн

Только сделайте вверху в самом правило, разрешающее с этих адресов доступ к винбоксу. Ну, если нужно конечно

о, бридж - это да)

Только сделайте вверху в самом правило, разрешающее с этих адресов доступ к винбоксу. Ну, если нужно конечно

ок)

спс, за советы - буду наблюдать)

Перед любыми махинациями сделать бекап и импорт не забудь

спс, за советы - буду наблюдать)

я в диапазоне опечатался, исправил. Обратите внимание

и экспорт в смысле, наверное?

я в диапазоне опечатался, исправил. Обратите внимание

спс)

Перед любыми махинациями сделать бекап и импорт не забудь

експорт каждый день на почту) автоматом

коллеги, кто что посоветует для двух точек доступа, чтобы понадежнее, с гостевой сетью, желательно 2 диапазона (но не обязательно). Сейчас стоят три TP LINKA 3420. По одному на этаж, не устраивает скорость и стабильности нет, бывает не хочет подключатся, бывает в офлайн роутер уходит. Абонентов до 10-15 на точку в пике, в стандарте будет 1-3 постоянно. 3 этажа метров по 50-70 каждый, перекрытия деревянные

Микроч бекапить можно в образ (корректно работает только с таким же устройством) а можно через импорт и тогда конфиг можно залить на любой рб

Можете посоветовать решения резервирования инета с помощью 4G? Может поделитесь мануалами, или какой лучше взять микротик и 4G-модем?

e3372 с буковкой толь h толь R