сканеры щас хитрые, долбят с множества адресов и с интервалом от 2-до 10 мин, им спешить некуда :)

Как вариант всю подсеть в чс

Хотя можно нарваться и на нормальные ип

ну это уж совсем не по-людски

ну вот сейчас я включил опять это правило, dst-limit только увелиличл

и за час насобирал адресов 20-30

А как бороться? PSD?

среди них. например, шлюз моего провайдера 100.64.0.1

Пробовали, они таймаут больше ставят

да там не брутфорс

там просто какой-то левак льётся на интерфейс. И изредка пытаются на ipsec и pptp стучаться

Коллеги, насколько разумно вешать два ip-адреса из разных подсетей на бридж? Ситуация следующая. В качестве интернет шлюза в организации использовалась Win2008 с RRAS, предыдущий админ повесил на адрес локальной сетевой два ip 0.1/24 и 1.1/24. На входящем интерфейсе настроен DST-NAT на компьютеры из подсети 1.1, остальная работают в 0.1. Пока доступ к машинам из 1.1 не восстановлен хочу продублировать схему на Mikrotik, но не знаю как он поведёт себя с двумя адресами на одном бридже. Можно было бы развести сети по разным интерфейсам, но наблюдается некоторый дефицит свободных портов.

Коллеги, насколько разумно вешать два ip-адреса из разных подсетей на бридж? Ситуация следующая. В качестве интернет шлюза в организации использовалась Win2008 с RRAS, предыдущий админ повесил на адрес локальной сетевой два ip 0.1/24 и 1.1/24. На входящем интерфейсе настроен DST-NAT на компьютеры из подсети 1.1, остальная работают в 0.1. Пока доступ к машинам из 1.1 не восстановлен хочу продублировать схему на Mikrotik, но не знаю как он поведёт себя с двумя адресами на одном бридже. Можно было бы развести сети по разным интерфейсам, но наблюдается некоторый дефицит свободных портов.

э, в теории никак, он скажет "мол идите нахер, тут уже есть адрес", если я правильно понял, что Вы хотите сделать

э, в теории никак, он скажет "мол идите нахер, тут уже есть адрес", если я правильно понял, что Вы хотите сделать

не говорит, спокойно добавляются.

не говорит, спокойно добавляются.

IP -> Addresses?

IP -> Addresses?

да

а ну, да, чего бы ему, собственно, не добавляться

ну будет работать как алиас, скорее всего

и юзать арп роутера, при директли коннектед линке

и юзать арп роутера, при директли коннектед линке

на данный момент там лапша и гирлянда свитчей, микротик будет подключен в один из них. дальше вся надежда на то что "ну как-то же оно работало", потом наведение порядка, замена остального оборудования и т.д.

на данный момент там лапша и гирлянда свитчей, микротик будет подключен в один из них. дальше вся надежда на то что "ну как-то же оно работало", потом наведение порядка, замена остального оборудования и т.д.

Ну в теории.. что меняет добавление адреса? Создает в таблице маршрутизации соответсвие IP - MAC (грубо говоря)

и на тупарях и на умниках создаст запись в АРП, чтоб устройства знали где "адрес такой-то"

Главное в данной ситуации, чтоб присваемый адрес нигде не дублировался, по-сути

Коллеги, насколько разумно вешать два ip-адреса из разных подсетей на бридж? Ситуация следующая. В качестве интернет шлюза в организации использовалась Win2008 с RRAS, предыдущий админ повесил на адрес локальной сетевой два ip 0.1/24 и 1.1/24. На входящем интерфейсе настроен DST-NAT на компьютеры из подсети 1.1, остальная работают в 0.1. Пока доступ к машинам из 1.1 не восстановлен хочу продублировать схему на Mikrotik, но не знаю как он поведёт себя с двумя адресами на одном бридже. Можно было бы развести сети по разным интерфейсам, но наблюдается некоторый дефицит свободных портов.

Так можно, так работает. У меня по этому принципу защита от дурака кое где сделана: Dhcp выдаёт по динамике dmz-сеть, а по статике - внутреннюю. Сети изолированы друг от друга файрволлом, но находятся на одном и том же бридже.

Доброго утра всем, помогите советом. В /ip firewall connection> print наблюдаю следующее: 53 C tcp 192.168.30.189:50437 173.194.113.162:443 established 5h58m33s 0bps 0bps 8 0 416 0 54 C tcp 192.168.30.189:60457 173.194.113.163:443 established 5h58m25s 0bps 0bps 1 0 52 0 55 C tcp 192.168.30.189:54494 173.194.44.68:443 established 5h58m44s 0bps 0bps 8 0 416 0 На микротике интерефейсов в этой подсети нет, маршрутов до этой сети так же нет, uplink один, torch c таким src пакеты не видит, откуда берутся коннекты?

Доброго утра всем, помогите советом. В /ip firewall connection> print наблюдаю следующее: 53 C tcp 192.168.30.189:50437 173.194.113.162:443 established 5h58m33s 0bps 0bps 8 0 416 0 54 C tcp 192.168.30.189:60457 173.194.113.163:443 established 5h58m25s 0bps 0bps 1 0 52 0 55 C tcp 192.168.30.189:54494 173.194.44.68:443 established 5h58m44s 0bps 0bps 8 0 416 0 На микротике интерефейсов в этой подсети нет, маршрутов до этой сети так же нет, uplink один, torch c таким src пакеты не видит, откуда берутся коннекты?

Просканить из интернета эти порты на которые установлены соединения, если из интернета порты открыты то через фаервол эти порты закрыть

Коллеги, насколько разумно вешать два ip-адреса из разных подсетей на бридж? Ситуация следующая. В качестве интернет шлюза в организации использовалась Win2008 с RRAS, предыдущий админ повесил на адрес локальной сетевой два ip 0.1/24 и 1.1/24. На входящем интерфейсе настроен DST-NAT на компьютеры из подсети 1.1, остальная работают в 0.1. Пока доступ к машинам из 1.1 не восстановлен хочу продублировать схему на Mikrotik, но не знаю как он поведёт себя с двумя адресами на одном бридже. Можно было бы развести сети по разным интерфейсам, но наблюдается некоторый дефицит свободных портов.

похрен, абсолютно похрен. У меня 3-4 адреса висело в лучшие времена ?

Так можно, так работает. У меня по этому принципу защита от дурака кое где сделана: Dhcp выдаёт по динамике dmz-сеть, а по статике - внутреннюю. Сети изолированы друг от друга файрволлом, но находятся на одном и том же бридже.

а шо помешает человеку себе перебить другой адрес? Всё же ФИЗИЧЕСКИ это единый бродкаст-домен. Ушлый мудак может получить доступ во внутрянку

Просканить из интернета эти порты на которые установлены соединения, если из интернета порты открыты то через фаервол эти порты закрыть

все закрыто с внешки кроме chain=input action=accept protocol=udp dst-port=1701,500,4500

все закрыто с внешки кроме chain=input action=accept protocol=udp dst-port=1701,500,4500

WHOIS говорит что это GOOGLE

https://ipinfo.io/AS15169/173.194.113.0/24

а кто висит на том ойпи с которым сконнектился гугла? андроидофон ?

@it_jiocb @lopar @erazel Благодарю

так да гугл это dst, а меня интересует откуда src берется 192.168.30.189, его нет ни в ARP, даже такой подсетки нет на микроте, торч тоже не видит пакетов с таким src, а connection появляются.

так да гугл это dst, а меня интересует откуда src берется 192.168.30.189, его нет ни в ARP, даже такой подсетки нет на микроте, торч тоже не видит пакетов с таким src, а connection появляются.

а на пинг изнутри этот ойпи отвечает хоть?

нет

в общем забей

:D

?

rb sxt 2nd r3 подскажите он capsman подерживает

rb sxt 2nd r3 подскажите он capsman подерживает

Конечно ?

Гайз, я видимо туплю, как в консоли подсеть указывать? /ip address add address=10.10.110.1 network=10.10.110.0/24 interface=vlan110

говорит мол инвалид аргумент для нетворк

говорит мол инвалид аргумент для нетворк

а, всё

нетворк .0

без слешей

выключать пробовали?)

Зобань ип этот

выключать пробовали?)

равтер?

Порт закрой

Зобань ип этот

так другие попрут

они разные

выдернуть шнур, выдавить стекло

выдернуть шнур, выдавить стекло

:D

rb sxt 2nd r3 подскажите он capsman подерживает

По уровню лицензии смотрите... если l3, то это только радиомост точка-точка... если l4 и выше... то там уже ограничений по беспроводным интерфейсам нет.

/ip firewall filter add chain=input protocol=tcp connection-limit=LIMIT,32 action=add-src-to-address-list address-list=blacklist-ddos address-list-timeout=1d какой тут сделать LIMIT чтобы правило работало?

эээ

фильтровать ддос инпуте так себе затея

по сути митигации как таковой нет, ибо проц всё равно будет тратится

нужно на прероуте этим заниматься

по сути митигации как таковой нет, ибо проц всё равно будет тратится

дай внешний IP какого-нибудь своего роутера

ERROR: S client not available

http://srijit.com/how-to-protect-your-mikrotik-router-from-ddos-attacks/

вот тут например описано

дай внешний IP какого-нибудь своего роутера

зчм?)))

бахну трафика на него

:D

проверим как защищаться от дос )

гигабита хватит )

http://srijit.com/how-to-protect-your-mikrotik-router-from-ddos-attacks/

спасибо

дай внешний IP какого-нибудь своего роутера

127.0.0.1

бахну трафика на него

ну на, 92.249.70.70

:>

Внезапно

бахну трафика на него

взял?

сек ищу тулзу

ху из ис, жулики? 195.151.206.226

жулик не лезь в микрот

О, еще один 36.78.248.212

жулик не лезь в микрот

закопай на заднем дворе микрот

открывай микрот

открывай микрот

я на нём :D он особо не закрыт)

трафик есть ?

Что использовал?

Трафик генератор на тике??

44мбита?

поднимаем ?