Смотри правила firewall на 450, возможно какое-то правило запрещает принимать входящий icmp или его пробрасывать

Смотрел, правила идентичны с 951, который я настраивал сегодня, отличия только в ip маршрутах для pptp и статике

Смотрел, правила идентичны с 951, который я настраивал сегодня, отличия только в ip маршрутах для pptp и статике

а адреса то для роутеров в РРР-Secrets разные хоть?

а адреса то для роутеров в РРР-Secrets разные хоть?

Естественно

а потом люди удивляются, кто ломает их пароли ? бесплатные утилиты на самом деле не все белые пушистые и служат только на благо человечества)

да-да, а pptp нельзя пользоваться, так как его сразу взломают

а ещё операционная система крадёт ваши пароли

мы все умрём

мы все умрём

эт факт

да-да, а pptp нельзя пользоваться, так как его сразу взломают

чем больше ты параноик - тем меньше у тебя гемороя (с)

чем больше ты параноик - тем меньше у тебя гемороя (с)

очень спорное утверждение. часто верно ровно обратное

ну так я даже исходящие порты для троянов не закрываю. Что уж говорить про пользование GPL-ного менеджера паролей

очень спорное утверждение. часто верно ровно обратное

ну если руки из 5ой точки, то да, обратное, 100%

свои особо уникальные пароли советую глянуть где-то тут) https://haveibeenpwned.com/Passwords

ну если руки из 5ой точки, то да, обратное, 100%

если руки не оттуда геморой будет вне зависимости от степени параноидальности

свои особо уникальные пароли советую глянуть где-то тут) https://haveibeenpwned.com/Passwords

Вбей свой пароль - получи ответ?

если руки не оттуда геморой будет вне зависимости от степени параноидальности

накиньте пару примеров, а то чет на ум ничего не приходит

Вбей свой пароль - получи ответ?

ну тот что не используется, вполне вариант проверить

свои особо уникальные пароли советую глянуть где-то тут) https://haveibeenpwned.com/Passwords

а где гарантия, что они их сами не собирают?)))

а где гарантия, что они их сами не собирают?)))

Первый раз вбил - ок Второй раз вбил - неок?

а где гарантия, что они их сами не собирают?)))

понятно что они их собирают, вы текущие пароли собрались вводить?)))))))

нет канеш)))

ппц) ребят) пойду работать)

а вордлисты у них качнуть нельзя?

а где гарантия, что они их сами не собирают?)))

А где гарантия, что фаерфокс/хром/вивальди/IE их не собирают? Аналогично - производители ОС

а вордлисты у них качнуть нельзя?

https://habr.com/post/357402/ может тут что-то найдется

накиньте пару примеров, а то чет на ум ничего не приходит

да тут половина вопросов такие примеры

А где гарантия, что фаерфокс/хром/вивальди/IE их не собирают? Аналогично - производители ОС

гарантии нет никакой, с такой паранойей надо свою ОСь писать и всё прикладное ПО

Аналогично - доверить пароли KeePass'у, который GPL

А где гарантия, что фаерфокс/хром/вивальди/IE их не собирают? Аналогично - производители ОС

ну Iron вроде как из сорцов собирается и выпиливает все что только можно, в плане трекинга, но опять же почему не делать это самому айрону)

гарантии нет никакой, с такой паранойей надо свою ОСь писать и всё прикладное ПО

ну так и я про что

Аналогично - доверить пароли KeePass'у, который GPL

я доверяю только своему мозгу и памяти))

а то люди тут боятся свои пароли доверить. А об ОС/браузере как бы забывают

а то люди тут боятся свои пароли доверить. А об ОС/браузере как бы забывают

ну если в ОС или браузере найдут что она уводит пароли, то репутацию потом ничем не отмыть

с лругой стороны спецслужбам в любом случае все сливают

сто сорок паролей

всякие дополнения к браузерам, которые пароли тырят, регулярно появляются

политика у всех разная, время жизни тоже

кипасс - гут.

держать один везде - и неудобно, и небезопасно

в первом случая общая блокировка UDP по 53 во втором блокировка TCP 53 для всего за исключением данной подсети

держать один везде - и неудобно, и небезопасно

прикол в том, что если все это в облаке держится, то ничего не мешает это облако ломануть, вроде как такие были, шедевры

в первом случая общая блокировка UDP по 53 во втором блокировка TCP 53 для всего за исключением данной подсети

вопрос что будет если не указать внутреннюю сеть , какие-то задержки или работать что-то не будет из-за полной блокировки?

хотя могу и ошибаться

прикол в том, что если все это в облаке держится, то ничего не мешает это облако ломануть, вроде как такие были, шедевры

я ж писал, что шифрованная база отдельно от ключа к базе

А ключ к базе защищён паролем в голове

вопрос что будет если не указать внутреннюю сеть , какие-то задержки или работать что-то не будет из-за полной блокировки?

у вас тсп правило работает для всего кроме определенной подсети, все зависит от того что вам нужно сделать.

Кстати, файл базы можно импортировать в nextcloud и иметь его отовсюду доступным через браузер

есть расширение keeweb для нехклауда

у вас тсп правило работает для всего кроме определенной подсети, все зависит от того что вам нужно сделать.

закрыть флуд из вне на днс портах) при этом чтоб изнутри все работало как раньше)

А ключ к базе защищён паролем в голове

не для меня такие вещи) ломанут считай можно пойти утопиться ? думаю часть самоубийств как раз на этой почве ?

закрыть флуд из вне на днс портах) при этом чтоб изнутри все работало как раньше)

ну вроде все правильно) но тот же TCP не везде используется

для вас - нормально-закрытый на output фаервол и разрешение в сеть только отдельным приложениям

т.е. у кого-то по нему-то что-то прилетает, у меня вот нет вообще) и я его перманентно для всего блочу, но он в некоторых случаях нужен

просто всегда указывал общий дроп, без исключения локалки, а тут наглулил, что многие исключают локлку в этих правилах

для вас - нормально-закрытый на output фаервол и разрешение в сеть только отдельным приложениям

это кому?)

вам-вам)

коллеги, приветсвую, нужна помощь гуру айписеков на микротиках

просто всегда указывал общий дроп, без исключения локалки, а тут наглулил, что многие исключают локлку в этих правилах

а емае, не, тсп в любом случае на вход блок)

cat /dev/urandom | strings -10 | head

а емае, не, тсп в любом случае на вход блок)

а для юдп можно исключить локалку чтоб днс запросы изнутри проходили?

закрыть флуд из вне на днс портах) при этом чтоб изнутри все работало как раньше)

укажи порт WAN, либо запрети отовсюду, кроме LAN

укажи порт WAN, либо запрети отовсюду, кроме LAN

порт указан, в интерфейс листе)

суть вопроса, есть коннекшн между микротиком и стронгсваном, все было не плохо до последней стейбл обновы, ща при инциализации тунеля, айписек подымает адрес с локальной сети но вешает его на аплинк интерфейс, причем локалка /23, а адрес который вешает айписек /24, потмоу ломаеться вся локалка. т.к. появляеться и маршрут. не могу разобраться почему айписек стал создавать адрес. может кто уже встречал такое

как все сложно) сначала промаркеровал а потом дропнул?

закрыть флуд из вне на днс портах) при этом чтоб изнутри все работало как раньше)

в адреслист вбиваете IP ваших DNS какие используете, 1.1.1.1 1.0.0.1 или 8.8.8.8 8.8.4.4 далее в RAW создаете два правила, вот как на картинках, блокировать вход по 53 порту для не ваших DNS

я тоже им пользуюсь.

ну и для TCP тоже самое

надо тоже так сделать

любой трафик прилетающий в этот диапазон отправляется в банлист

сообщание про voltage_too_low на PoE Out порту означает что на вход не хватает чтобы его дальше передать?

ну т.е. в легальные IP прилетает ДНС и НТП а все что не они просто блочится или летит в банлист, тут уж по желанию

сообщание про voltage_too_low на PoE Out порту означает что на вход не хватает чтобы его дальше передать?

ну судя по переводу именно так)

ну либо создать лист с 4 IP (DNS и NTP) и блочить на вход по Input все что не они, но красивее лично мне именно так как на скрине ?

так изменять сложно, в лист all_block_input_ip нужно забить весь ipv4 по /32, тогда если нужно какой-то из бана исключить - хоп, одним нажатием )))))

в адреслист вбиваете IP ваших DNS какие используете, 1.1.1.1 1.0.0.1 или 8.8.8.8 8.8.4.4 далее в RAW создаете два правила, вот как на картинках, блокировать вход по 53 порту для не ваших DNS

а какие джва правила? Я на картинках одно вижу ?

а какие джва правила? Я на картинках одно вижу ?

ну тоже самое только TCP вместо UDP

ну тоже самое только TCP вместо UDP

ой. Спасибо

ой. Спасибо

спрашивайте) можно и в лс, если что непонятно)

а сканится то что?

а сканится то что?

свой же микрот

а сканится то что?

его микр снаружи

а почему богон в середине блочится?)

icpm reject закрыл от ping type - TCP & ICMP

а почему богон в середине блочится?)

а где его размещать?

а где его размещать?

ну богон сети в начало всегда ставят, они в любом виде блочаться, и вообще их в RAW надо

а где его размещать?

ICMP на вход блок туда же я бы к ICMP и IGMP добавил

да хрен с ним с богоном, как стать Host seems down

ICMP на вход блок туда же я бы к ICMP и IGMP добавил

какой смысл в этом правиле при нижнем запрещающем все?