Паранойя зашкаливает

Не, удаляется правильно, поэтому и спросил - а то так весь ipv4 рано или поздно в белом списке окажется :-)

у меня сервисы и так на не стандартных портах =) наружу стоят ловушки на СТАНДАРТНЫХ портах, которые отправляют адреса в блек лист

А ноут из рандомных точек планеты подключается? Ну типа там вайфай в кафе и т.п.?

рандомных точек города

Ну я образно. Если сервисы не обязательно должны висеть на белом адресе (я так понимаю dstnat), то я бы сделал впн и ходил на них уже в локалке.

а чем отличается открытие наружу VPN от SSH? Ведь в обоих случаях дыра дырой, но SSH все прячут

Будет секурней в любом случае, тем более что с портнокингом трафик можно просниффать

Ssh конкретная технология, реализаций впн множество. Ssh туннель вполне себе впн, а по ключам и на нестандартном порту не назвал бы дырой

Порнокинг моднее

Ссш устаревшая технология

В случае с портнокингом защита твоих сервисов заключается в том, что вражина не знает порты, в случае с vpn - закрытый ключ

тут человек шуткует, почему никто не смеется?

Как думаешь, что секурней?

Я смеюсь, просто не слышно

Поэтому предлагаю все же впн

тоесть по факту предлагаешь ВПН выводить изза порткнокинга

Порнокинг можно выследить

Лучше хеувые шутки чем хуйней страдать в реале

При желании

Там Петросян состарился, попробуйте на его место

Он смешнее был

Добрый вечер! Кто нибудь прикручивал Arduino к Mikrotik?

субъективное мнение

У тебя защита основывается не на знании пароля/ключа, а на незнании алгоритма (в данном случае портов). Моветон. Поэтому предлагаю не страдать фигнёй и поднять впн.

нууу, помимо всего прочего перебрать мой порткнокинг нельзя, просто потому что в случае перебора попадешь на порт который отпаравляет в блеклист

Мне нечего больше добавить, спорить не буду :-)

эм, сорян я не совсем не спорил, я просто разобраться пытаюсь

Про сниффер уже говорил (хотя тут скорей вступает известный в ИБ принцип неуловимого Джо)

Решение предложил

за то и спасибо

Прикольно что ты мутишь порнокинг но не догоняешь что мак адрес не видно по л3

Профи видно сразу

Человек и не говорил, что он профи :-) А основы сетей надо бы изучить, да

Модель OSI - рулит

Алексей, попробуй с впн все же поковыряться

Дак видно без слов

хоспади до чего людей доводит интернет, кидаются на людей...

Добрый вечер! Кто нибудь прикручивал Arduino к Mikrotik?

Разрешите апнуть

Добрый вечер! Кто нибудь прикручивал Arduino к Mikrotik?

Нет, но на хабре есть статейка и на форуме некротика.

Для каких целей, интересно??

Хотел, чтобы но показывал логи или список подключенных устройств.

Где взять минимальные настройки фаервола для Ipv6

Где взять минимальные настройки фаервола для Ipv6

/ipv6 firewall filter add action=drop chain=input connection-state=new in-interface=sit1 protocol=!icmpv6 add action=drop chain=forward connection-state=new in-interface=sit1

Интерфейс только поменяйте

сп

ИМХО, достаточно

ИМХО, достаточно

Стоп. В WAN есть ipv6?

У меня ipv6 через туннель 6to4 sit1. Вместо sit1 вписывайте ваш интерфейс.

У меня ipv6 через туннель 6to4 sit1. Вместо sit1 вписывайте ваш интерфейс.

Разрешите спросить, зачем он нужен и нужно ли обычному хомячку как-то защищать локалку и маршрутизатор по ipv6?

Разрешите спросить, зачем он нужен и нужно ли обычному хомячку как-то защищать локалку и маршрутизатор по ipv6?

Хомячкам, как раз-таки, нужно, чтобы чайники потом пентагон не ломали ))

Так в интернетах ipv6 еще нет, верно?

Есть, но не глобально

Есть, и довольно глобально. Уже есть смысл его изучать.

У меня серверная ферма на в6

С неё много чего видно напрямую, но большую часть всё ещё нет

Есть, и довольно глобально. Уже есть смысл его изучать.

нам на курсах cysco в 2008 то же самое говорили )

нам на курсах cysco в 2008 то же самое говорили )

https://www.google.com/intl/en/ipv6/statistics.html

https://www.google.com/intl/en/ipv6/statistics.html

а теперь глянь per country там же )

То что до нас прогресс доходит неспеша — не значит, что можно не знать технологии и протоколы

кстати, странно почему Китай там всего 0.1%

там же ipv6 во все поля

То что до нас прогресс доходит неспеша — не значит, что можно не знать технологии и протоколы

да кто ж спорит

ERROR: S client not available

какие-то неточные данные

нет как раз из вне

Напиши скрипт телнет с тайм-аутом в 1 сек

Храни на компе и запускай

Чят, а через веб wol не доступен или я его где-то не там ищу?

А провайдер пустит?

Это мне вопрос? 0_о

Ну да. Отлови сниффером входящий wol пакет

Давай уточним. Я ищу /tool wol в вебфиге и не нахожу в очевидном месте. Не улавливаю при чём тут сниффер и провайдер

Ааа, вот оно что

Тут не подскажу

Кстати, имею сказать, что wol не сработал =(

При том, что на машине он заведомо рабочий, я проверял

Таки да, всё нормально проснулось, когда я wakeonlan локально поставил. Это повод для багрепорта?

Да

На 37 wol рабочий, сам бужу комп через него. Главное интерфейс верно указать

Давай уточним. Я ищу /tool wol в вебфиге и не нахожу в очевидном месте. Не улавливаю при чём тут сниффер и провайдер

Он чисто консольный

У меня wol перестал работать когда на 10ку обновился

ну да, для секурности удаляется. Делать постоянный доступ для ип адреса мобильного оператора не хочется. ВПН поднят но он так же защищен ЗА порткнокингом

Разрешите апнуть вчерашний спор, а то мне кажется что не все поняли человека и сделали неправильные выводы. Насколько я понял, у него и так уже поднят VPN и без наших советов. Но для большей секурности он ещё и порткнокинг прикрутил и за него и спрашивал. А вы все ему VPN втюхивать повторно начали ?

Или я не прав и там действительно были сервисы которые только нокингом и прикрыты?

все правильно поняли, VPN поднят но так же защищен порткнокингом, я искал альтернативный метод доступа для конкретного ноутбука из разных сетей.

Альтернативный портнокингу же, но не VPNу, так?

Открывая портнокингом на сутки порты для всех, кто из за ната в кафешке, ага)

Про впн пропустил если честно, думал там тупо сервисы дстнатом наружу смотрят

Ну то что на сутки, то понятно. Но как минимум от брутфорса из разных бот-нетов это всё же немного прикрывает. Хотя я не помню случаев подбора паролей на l2tp+ipsec или даже openvpn

Да даже на ssh с открытым root у меня и моих знакомых, при нормальном меняемом, хоть раз в год, пароле, не помню случаев подбора

Аффтар не совсем внятно сформулировал задачу изначально, в личке я ему посоветовал впн по ключу и портнокинг сверху если надо. Если уже так сделано, то что еще нужно?)

Смена порта ссш практически убирает брутфорс кстати

Ну и нормальный пароль перебирать тоже чуть-чуть долго конечно :-)

А если ещё ssh только с ключами, то пусть брутят на здоровье, главное канал что б не забивали)

все так и есть, LT2P+ipsec, ssh на нестандартном порту с сертификатом, все вообще сервисы которые смотрят наружу висят на нестандартном порту (кроме портов VPN)

Ну тогда вы действительно параноик, в хорошем смысле ?

хочу секурно чтоб было