Да, только как узнать действительно ли ты этот Джо? Есть множество организаций для которых он не работает)

ну да но боты то брутят

Городок в западно-американской степи. Салун. За столом сидят два ковбоя, местный и приезжий, и пьют виски. Вдруг по улице кто-то проносится на огромной скорости, паля во все стороны из револьверов. В салуне никто и ухом не ведёт. Приезжий местному: — Билли? — Да, Гарри? — Что это было, Билли? — Это был Неуловимый Джо, Гарри. — А почему его зовут Неуловимым Джо, Билли? — Потому что его никто ещё не поймал, Гарри. — А почему его никто ещё не поймал, Билли? — Потому что он никому нахер не нужен...

С портнокингом и впн все правильно, не вижу проблем с секурностью вообще

Если АНБ не заинтересуется, то всё норм

Для, например, банков и гос. структур это не работает. И чем дальше, тем для большего количества. Ботов и хакеров только больше становится и жертвами могут стать сейчас даже те кто считает себя никому не нужным.

Деньги то у всех есть, данные у всех есть. Так что цели понятны)

Про ботов понятно, но от них спасает тупо нестандартный порт, я про целенаправленные атаки говорю

Опять же, вышеуказанных технологий достаточно

Если человека смущают логи брута ловушек, для самоуспокоения предлагаю тупо закрыть порты и вообще всё спокойно станет :-)

Про Джо шучу конечно, тут принцип достаточной защиты скорей

Но учтите, что это вам говорит человек, который пару месяцев восстанавливал несколько сотен ubnt из за прилетевшего в сеть вируса :D

Нет, как я понял Алексея, он искал альтернативу порткнокингу только для одного ноутбука, с динамическими адресами. VPN он там и так использовал. Но тут вопрос, какой именно алгоритм порткнокинга он использует? Может проще его чуть упростить и всё? Или автоматизировать как то?

Или дело не в неудобстве его использования, а в том что для многих динамических адресов исключения создавались?

у меня пару лет назад на ssh китайцы напали - 5-6 мегабит только перебор паролей, но т.к. логин использовали не мой (подбирали root) я оставил и стал src адреса копить - более 500 ip

чего только стоят абоны с самонастроенным микротиком, у которых тариф мегабит 10, звонят и "скорости нет"

дампом смотришь, а там dns amplification на все десять хуячит)

Алексей, input tcp/udp 53 не забыл закрыть?)

у меня пару лет назад на ssh китайцы напали - 5-6 мегабит только перебор паролей, но т.к. логин использовали не мой (подбирали root) я оставил и стал src адреса копить - более 500 ip

у меня ловушки на стандартных портах, уже 1500 адресов в черном списке.

Алексей, input tcp/udp 53 не забыл закрыть?)

эм, закрыт.

эм, закрыт.

53,123 вроде на DNS

53,123 вроде на DNS

123 тоже?

я думал 123 эт немножко другая штука

А я думал что 123 это ntp.

по ntp то же можно сильно обидеть

Микротик можно уложить обычными SYN . Так что нужно закрывать все и разрешать нужное

Микротик можно уложить обычными SYN . Так что нужно закрывать все и разрешать нужное

Есть одна хитрость от SYN

Чето там задаешь нулевое окно на ответ

Хотя не, это я чето путаю

Ещё раз. Отлетают даже 1036 от обычного hping всего в одного компа

я думал 123 эт немножко другая штука

Ой, оказывается это NTP xD. Где-то видел комментарий к add chain=input in-interface=local-bridge protocol=tcp dst-port=53,123 , что оно разрешает DNS из LAN. Мда. Извините.

Вот только на википедии написано, что 53 tcp/udp на DNS. Нужно создавать правила для двух протоколов?

Вот только на википедии написано, что 53 tcp/udp на DNS. Нужно создавать правила для двух протоколов?

угу, но tcp это сильно малая доля для специфики, такой как репликация. А в основном конечно нужно закрыть udp

Ну у меня разрешено udp по 53,123 с локальной сети, после следует дроп всего input.

ну так с локальной то зачем запрещать))

От китайцев нужно защищаться не с локальной (хотя всякое мб) ?

Вдруг у вас кастомер - небольшая китайская компания из 2 млн человек

Бест практикс: разрешать нужное из нужных мест, остальное в дроп

Вот мне тоже интересно, почему в этом чятике минимум раз в сутки всплывает тема про удп53 снаружи

У меня три правила "можно",а замыкает это дело "фсё в пропасть"

Почему у людей иначе?

Вот мне тоже интересно, почему в этом чятике минимум раз в сутки всплывает тема про удп53 снаружи

приходят новые люди, поиском в хистори не пользуются, поэтому задают новый вопрос про 53-ий порт и днс.

приходят новые люди, поиском в хистори не пользуются, поэтому задают новый вопрос про 53-ий порт и днс.

Причину появления топика я понимаю. Я не понимаю, что людям мешает включить мозг и настроить фв правильно

хештегами никто не пользуется, в чате много полезной инфы, хештеги сильно бы упростили поиск.

Причину появления топика я понимаю. Я не понимаю, что людям мешает включить мозг и настроить фв правильно

все люди разные )

ну так с локальной то зачем запрещать))

Где я писал, что оно запрещено?

Где я писал, что оно запрещено?

ага, пардону прошу

Я тут недавно прочитал, что если создать AP с таким же SSID, что и у, допустим, хотспота, то все устройства будут подключаться к ближней точке доступа.

Ещё раз. Отлетают даже 1036 от обычного hping всего в одного компа

Киньте конкретную команду. Интересно бы проверить

Не могли бы скинуть подробную статью по настройке OpenVPN сервера на микротике?

Первая или вторая ссылка гугла

http://trustore.ru/article/complex/199-openvpn-mikrotik

У меня wol перестал работать когда на 10ку обновился

steam link и wakeonlan на маке отлично будят десятку

Привет, ребят! Посоветовали к Вам наведаться с проблемкой: Не осилил LTE e3372 прикрутить к MikroTik RB951Ui-2Hnd Не видится как модем. прошивка 22.хх. nvram - менял функцию 50091. Не помогло. Подскажите направление, руки опускаются. Спасибо!

http://trustore.ru/article/complex/199-openvpn-mikrotik

Спасибо, но OpenVPN для iOS требует .ovpn файл. Не знаете, где его получить?

Спасибо, но OpenVPN для iOS требует .ovpn файл. Не знаете, где его получить?

Руками можно создать

Спасибо, но OpenVPN для iOS требует .ovpn файл. Не знаете, где его получить?

Ну L2TP+IPSec же работают отлично с мтик+иос

Руками можно создать

ммм

Ну L2TP+IPSec же работают отлично с мтик+иос

подтверждаю))

Руками можно создать

Или скриптом

Ну L2TP+IPSec же работают отлично с мтик+иос

Подтверждаю на макос :)

Привет, ребят! Посоветовали к Вам наведаться с проблемкой: Не осилил LTE e3372 прикрутить к MikroTik RB951Ui-2Hnd Не видится как модем. прошивка 22.хх. nvram - менял функцию 50091. Не помогло. Подскажите направление, руки опускаются. Спасибо!

А в модеме какая прошивка?

22.xx это в модеме

Пробовал разные, конкретно сейчас работает так же, как было, когда я с ним начал танцевать: E3372hUpdate_22.200.03.00.1134_M_HR_ADB_TLN_02.rar ( 24,1 МБ )

В списке интерфейсов появляется lte, но среди периферии USB, устройству не назначается COM-port. Мтик говорит, мол: портов - 0.

ERROR: S client not available

на компе - все ок.

Так прошивки ращные бывают на модемы

Да я перепробовал кучу, что нашел на 4пда. Не со всеми стартует, не со всеми корректно работает.

Посмотрите АТ командами какой у него вендор. Насколько я помню у микротика даже написано какой должен быть

Посмотрите АТ командами какой у него вендор. Насколько я помню у микротика даже написано какой должен быть

У модема? Huawei

народ пишет, мол совместимы, гайды есть по настройке, все делал так же, порта нет.

Я имею ввиду vendorid кажется так

Не под рукой уже, не смогу.

Я имею ввиду vendorid кажется так

какой смысл? можно развернуто?

типа - обновить микротик?

на вики микротика: Huawei E3372 v6.xx Works! LTE interface. vendor-id="0x12d1" device-id="0x14dc"

Ща попробую наскребсти

а что есть прошивка которая и лте и что бы ком порты были?

для 3372

на вики микротика: Huawei E3372 v6.xx Works! LTE interface. vendor-id="0x12d1" device-id="0x14dc"

их две версии 3372h и 3372s, у меня первая

а что есть прошивка которая и лте и что бы ком порты были?

через nvram, функция 50091

их две версии 3372h и 3372s, у меня первая

это без разницы. я ж говорю тут надо как раз и посмотреть vendor-id и device-id соответствуют ли как написано на вики.

Соответствует, дрова брал с 4пда, подошли все, и консоль, и UI, и Application, NDIS, модем, етц

Чистый Хуавей

тогда странно

тогда странно

Я же говорю, на компе все работает ок, в микротике создает интерфейс LTE, а портов нет.

а что показывает /system resource usb print detail

вот интересная статья - http://www.decker.su/2016/03/huawei-e3372h-mikrotik-951g-2hnd.html

Я же говорю, на компе все работает ок, в микротике создает интерфейс LTE, а портов нет.

Навешивай на него dhcp-клиента и все. Профит.

Это режим hilink, он правильней :)

Навешивай на него dhcp-клиента и все. Профит.

Навесил, нат настроил, ФВ разрешил. Нет связи

Порт и ppp-out дают ограничение около 20мбит/сек

Навесил, нат настроил, ФВ разрешил. Нет связи

С самого тика восьмёрки гугловые пингуются?

нет

Покажи /ip routes print

И /ip addr pr