con state new...

в первом случае ставил !established, !related

ну дак я типа ддос хочу блокировать

о как

инпут на ВАН интерфейс в статусе NEW

дос.. а на порту

как флуд дропать?

pps все равно не резиновый.

Ну флуд да. На 500, 4500, наприсер, долбятся постоянно. На 1723

Ну я решил пойти дальше и всех долбёжников в лист, а потом в raw дропать

Но вот это правило почему-то то rzd, то Пикабу мне добавляет.

В Raw дропается все gre кроме разрешенных хостов

ну пптп соединение установилось

Я чект кажись допер. Как обычно стоило только в чат написать

pptp же не по gre работает

pptp же не по gre работает

PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation. Второе соединение на TCP-порту 1723 используется для инициации и управления GRE-соединением

PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation. Второе соединение на TCP-порту 1723 используется для инициации и управления GRE-соединением

Да, я прочитал. У меня как оказалось зачем-то 1723 порт был разрешен в фаере. Наркоман какой-то настраивал)

Ну я решил пойти дальше и всех долбёжников в лист, а потом в raw дропать

Я сильно упоролся и скрипт мой теперь пропускает попытки подключиться, если логин стоит нестандартный (задаётся в дефайнах), и если таких попыток было несколько (кол-во задаётся), то он блочит адрес и пишет ругательства в логах. Хотел ещё сделать сравнение времени между попытками подключения, но в логах хранится только время, без даты ?

И сейчас роутер стоит практически без фаервола. Собираю базу адресов брутящих ботов?

Я решил проблему с йотой )

поменял микрот на кинетик. ахахахах

для обычной аптеки и так сойдет

всем привет ! кто-нибудь дружил usermanager и unify ap ? \

На объекте разложили все кабеля ю/ютп 6. Хотят, чтобы все были обжаты коннекторами под 5е. Куда бы их послать?

разложенные кабеля обжимаются в патч панели, ане коннекторами

И сейчас роутер стоит практически без фаервола. Собираю базу адресов брутящих ботов?

Очень полезное занятие

Когда собирешь - продавай. Заработаешь трилионы

разложенные кабеля обжимаются в патч панели, ане коннекторами

Ещё скажите, что VLAN нужно сделать. =)

Ещё скажите, что VLAN нужно сделать. =)

ну это уже от специфики )

А вот за обжатый толстый коммуникационный кабель, воткнутый прямо в компьютер надо того... по рукам))

экономия на патчкордах дело стремное

ребят, такая ситуация: если на порту half duplex, и я запукаю nmap, пропадает аплинк до следующего маршрутизатора.

фул дуплекс ставлю nmap отрабатывает нормально

nmap запускаю на обычную машину в сети, не на сам микротик

экономия на патчкордах дело стремное

http://thomas.pp.ua/?p=481

А вот за обжатый толстый коммуникационный кабель, воткнутый прямо в компьютер надо того... по рукам))

Когда эти кабеля разводят без консультации с айтиотделом, который потом, после сдачи объекта будет доводить это до ума — вот за это по рукам надо. Хуже было только три года назад, когда на одном объекте заложили в общем количестве несколько километров коаксиала для камер, а потом сильно удивились, когда узнали, что камеры цифровые.

Когда эти кабеля разводят без консультации с айтиотделом, который потом, после сдачи объекта будет доводить это до ума — вот за это по рукам надо. Хуже было только три года назад, когда на одном объекте заложили в общем количестве несколько километров коаксиала для камер, а потом сильно удивились, когда узнали, что камеры цифровые.

Ору с камер

Когда эти кабеля разводят без консультации с айтиотделом, который потом, после сдачи объекта будет доводить это до ума — вот за это по рукам надо. Хуже было только три года назад, когда на одном объекте заложили в общем количестве несколько километров коаксиала для камер, а потом сильно удивились, когда узнали, что камеры цифровые.

норм дичь

есть mt-сервер-l2tp. у него несколько mt-l2tp-клиентов. после того, как пропадал интернет у одного из этих клиентов - он (hap lite) перестал при подключении l2tp создавать connected-маршрут для адреса с другой стороны туннеля. остальные без проблем переподключаются и создают его (исключаю настройки серверной стороны). что с ним могло произойти? вероятнее всего, мне поможет перезагрузка. но ошибка из ряда вон выходящая - l2tp поднимается, а connected route для /32 внутри туннеля - нет. (причем, замечу, что адрес туннеля ему выдавался без вопросов, в логах l2tp даже фигурировал network-адрес другой стороны, а вот dc route - хер - не создавался) update: ребут помог. отправил supout к ним в суппорт. не люблю проблемы, решаемые ребутом

Да это у микротика всегда так

Он еще любит после ребута порядрк правил в фаерволе менять

ты используешь несколько мониторов? это прозвучит странно. но я заметил, что проблема с тасованием правил случается, когда юзаешь винбокс на несколько мониторов и перетаскиваешь его окно из одного в другой (если в этот момент внутри него открыта вкладка с какими-либо строками, которые через винбокс можно перемещать)

да бывает

а виртуальные в линуксе считается?

-)

Как разрешить пользователю с ограниченными правами, выполнять скрипт?

Как разрешить пользователю с ограниченными правами, выполнять скрипт?

Эм. Разрешить выполнение скриптов?

хм. хап ац второй раз уже на ровном месте виснет с 6.43.2

Когда эти кабеля разводят без консультации с айтиотделом, который потом, после сдачи объекта будет доводить это до ума — вот за это по рукам надо. Хуже было только три года назад, когда на одном объекте заложили в общем количестве несколько километров коаксиала для камер, а потом сильно удивились, когда узнали, что камеры цифровые.

Про камеры реально смешно. Когда не у тебя :)

Эм. Разрешить выполнение скриптов?

Разрешить нажимать кнопку run scripr

[admin@MikroTik] /ip dns static> remove all syntax error (line 1 column 8) [admin@MikroTik] /ip dns static> remove numbers: 1-99999 Script Error: action cancelled [admin@MikroTik] /ip dns static> remove numbers: 1:999999 Script Error: action cancelled [admin@MikroTik] /ip dns static>

Подскажите как правильно снести все статические записи?

Сам себе отвечу, если есть комментарий то можно вот так: /ip dns static remove [/ip dns static find comment=ADBlock]

хм. хап ац второй раз уже на ровном месте виснет с 6.43.2

исключаешь аппаратное?

исключаешь аппаратное?

пока не вижу признаков. стоит, работает, вдруг раз - и недоступен со всех сторон. светодиоды продолжают мигать как обычно, только трафик не проходит.

пока не вижу признаков. стоит, работает, вдруг раз - и недоступен со всех сторон. светодиоды продолжают мигать как обычно, только трафик не проходит.

Может лог на флешку?

В смысле начать писать на флешку а не в память и после ребута посмотреть

В смысле начать писать на флешку а не в память и после ребута посмотреть

в целом мысль хорошая, спасибо. правда придется резервный усб-модем выдрать. но если других вариантов не найду - буду пробовать так.

Кхм. Я наверное знаю почему виснет :) У нас на лифтовом оборудовании есть lte модемы. Виснут. Поэтому стоит планировщик на перезапуск раз в сутки

ERROR: S client not available

Интересно. Но чсх, началось это только после обновления на 6.43.2, а до того такая проблема не наблюдалась года два.

Может и не в этом дело. Но у нас так и мы смирились.

Притом так пару лет.

Здравствуйте, коллеги. Может кто подскажет почему winbox перестал заходить по MAC? Включаю в свитч hap ac lite из коробки, в тот же свитч подключена сетевая моего пк - коннекта по MAC нет. winbox 3.18. В Neighbors девайс определяется версия RouterOS 6.40.4 В процессе подключения проскакивает строчка Logging In... и отвал.

Здравствуйте, коллеги. Может кто подскажет почему winbox перестал заходить по MAC? Включаю в свитч hap ac lite из коробки, в тот же свитч подключена сетевая моего пк - коннекта по MAC нет. winbox 3.18. В Neighbors девайс определяется версия RouterOS 6.40.4 В процессе подключения проскакивает строчка Logging In... и отвал.

Попробуйте версию винбокс пониже

Хотя... 6.40.9 вроде BF, должно работать А, не, там 6.42.9 Да, попробуйте версию винбокса помоложе

Хотя... 6.40.9 вроде BF, должно работать А, не, там 6.42.9 Да, попробуйте версию винбокса помоложе

попробовал на 3.16 - та же ситуация, но похоже собака зарыта в галочке Open In New Window, снял её и процесс пошёл, и в 3.16 и в 3.18 Благодарю за помощь.

Кхм. Я наверное знаю почему виснет :) У нас на лифтовом оборудовании есть lte модемы. Виснут. Поэтому стоит планировщик на перезапуск раз в сутки

С модемами проблема немного решается, если воткнуть их в USB хаб с внешним питанием. Телефония с GSM-шлюзом из 10 модемов иначе вообще не работает, например.

С модемами проблема немного решается, если воткнуть их в USB хаб с внешним питанием. Телефония с GSM-шлюзом из 10 модемов иначе вообще не работает, например.

Не думаю что дело в питании. Хотя всякое бывает Но ставить хаб с дополнительным питанием мы точно не будем. Эти старый фонд лифты. Да и то как времянка. Нормальное подключение это витуха от провайдеров на доме. Именно по этому нас не особо и парит эта проблема.

Интересно. Но чсх, началось это только после обновления на 6.43.2, а до того такая проблема не наблюдалась года два.

мб железо помирает?

Согласен, что вариант так себе, но сколько сталкивался с модемами в телефонии - вечная проблема именно с питанием. В момент принятия звонка(есть модемы с поддержкой голоса) могут отвалиться просто и все, решается только хардварно - вытащить и вставить.

Согласен, что вариант так себе, но сколько сталкивался с модемами в телефонии - вечная проблема именно с питанием. В момент принятия звонка(есть модемы с поддержкой голоса) могут отвалиться просто и все, решается только хардварно - вытащить и вставить.

у нас не телефоноия - lte и пересылка телеметрии на сервер

С какого-то перепугу вот такая комбинация правил периодически добавляет адреса некоторых просматриваемых сайтов в адресс-лист:

Есть у кого идеи, почему добавляет сайты в лист?

То есть, я расчитываю, что NEW подключения на мой WAN будут попадать в список для дальнейшей блокировки. Но внезапно выходит, что туда попадают адреса, например, rzd в процессе лазания по личному кабинету, или пикабу, реддит. Последний - далеко не сразу

А без него у меня в фильтре дроп на инпут в самом низу списка набирает под 100м за неделю-полторы.

Хочу это через лист делать в RAW

это нормально

что именно? Что валидные сайты попадают в лист? Но почему, я же только NEW подключения извне на роутер отбираю.

не, это я про 100М за неделю, полторы

Не, ну пускай. Меня больше интересует логика добавления в список.

Явно происходит не то, чего я ожидаю

может limit поднять в правиле, очевидно что соединение закрывается, но прилетает еще что-то с сайта что имеет статус NEW, вот и попадает в правило

chain=anti-bruteforce action=return dst-limit=2/1m,1,src-address/1m40s

вот уж думал над этим

Маловато, наверное, 2 в минуту ?

если будет скан, то эта цифра будет на порядок больше

07:55:21 pptp,info TCP connection established from 5.188.10.176 07:55:21 pptp,ppp,error <1589>: user admin authentication failed 07:55:21 pptp,info TCP connection established from 5.188.10.176 07:55:22 pptp,ppp,error <1590>: user admin authentication failed 07:55:24 pptp,info TCP connection established from 5.188.10.176 07:55:25 pptp,ppp,error <1591>: user guest authentication failed

вот они, голубчики

а то и на 2