точнее не я, но расследовал у друга

Нат не даст

Но доступ во внутреннюю сеть будет

таки назначили шлюзом. И вроде забанили трафик у себя на роутере, но эта скотина занимала полосу канала от свитча. А провайдер чухался дня два пока среагировал

А там ломай устройство и ставь прокси, не проблема вообще

Так что drop на всех "недоверенных" интерфейсах по форварду крайне желателен

Так что drop на всех "недоверенных" интерфейсах по форварду крайне желателен

?

А если сеть корпоративная, то там и Телефония

И фрод

Тут ведь даже если подсеть у вас 32, вдруг со стороны провайдера "по неизвестным" причинам пакеты захотят к вам во внутреннюю сеть заглянуть)

А у вас нет дропа...

И такое бывает

А у провайдеров с "серыми" адресами эти wan подсети могут быть вполне себе большими и есть вероятность что из них кто-то таки назначит вас своим шлюзом и будет ходить к вашим домашним устройствам...

Трафик сегментейшн

У всех ли? Некоторые провайдеры о таком и не слышали даже)

Трафик сегментейшн

Такое редко где бывает

Особенно в шпд эзернет

Такое редко где бывает

У меня на всех клиентских свичах

Но понятное дело мы обсуждаем мелких... но речь о безопасности в общем и исключать редкие случаи в надежде на провайдера не стоит

У меня на всех клиентских свичах

Респект таким парням

Респект таким парням

По другому не умеем))

Нужно что бы при любых настройках и "настроении" провайдера, его клиентов и сотрудников ваша сеть была защищена. И тут drop для этого и нужен

Да не, про дроп понятно было, тут как бы вопросов нет. Мне просто интересно каким образом при src masq nat обратно полетит пакетик в диапазон какой нить, который подменил при отправке злоумышленник

допустим прислал он с 192.168.100.20, фигурально выражаясь

Да не, про дроп понятно было, тут как бы вопросов нет. Мне просто интересно каким образом при src masq nat обратно полетит пакетик в диапазон какой нить, который подменил при отправке злоумышленник

Не подмена диапазона

А можно с удп от имени внутреннего пакеты отправлять на тот же сип например

Дроп нужен короч

А можно с удп от имени внутреннего пакеты отправлять на тот же сип например

а, ну это да, оно ж udp

Мало кто при конфигурировании задумывается о векторах возможных атак..

да тут даже не атаки, тут банальная хитрожопость может быть. будут использовать тебя как шлюз ?. вроде и в локалку не лезут но и грузят твой девайс да и канал твой тоже

А ntp клиент так и не научился в dns имена да?

только отрезолвить и вставить вместо имени адрес, и на этом всё?

или оно есть, но в более свежих чем bugfix?

/system ntp client set enabled=yes server-dns-names=ru.pool.ntp.org

Вы имеете ввиду сейчас ситуацию когда сип сервер внутри и к нему проброшены порты? Давайте разберем когда вообще ничего не проброшено и просто маскарадинг для внутренних клиентов

Разбираю у себя на тренингах.

/system ntp client set enabled=yes server-dns-names=ru.pool.ntp.org

и теперь sys ntp cl pr покажите

Разбираю у себя на тренингах.

ок, буду иметь ввиду

Я просто пытаюсь понять, ну например прилетело как будто бы из rfc1918 диапазонов да, ну ответ то на какой адрес улетит потом?

Ок. Внешний адрес роутера 1.1.1.1 внутренний хост 192.168.88.5 атакующий 1.1.1.5 Поехали. Пакет 1.1.1.5->192.168.88.5 пришел на внешний порт роутера. Роутер принимает решение о маршутизации и отсылает его ан 192.168.88.5 Хост отвечает пакетом 192.168.88.5->1.1.1.15 Так как состояние соедиенния на роутере при ответе будет established, этот пакет НЕ ОБРАБОТАЕТСЯ NAT. И достигнет 1.1.1.5 Защита классическое правило /ip firewall filter add chain=forward in-interface=WAN connection-state=new connection-nat-state=!dst-nat action=drop

Ок. Внешний адрес роутера 1.1.1.1 внутренний хост 192.168.88.5 атакующий 1.1.1.5 Поехали. Пакет 1.1.1.5->192.168.88.5 пришел на внешний порт роутера. Роутер принимает решение о маршутизации и отсылает его ан 192.168.88.5 Хост отвечает пакетом 192.168.88.5->1.1.1.15 Так как состояние соедиенния на роутере при ответе будет established, этот пакет НЕ ОБРАБОТАЕТСЯ NAT. И достигнет 1.1.1.5 Защита классическое правило /ip firewall filter add chain=forward in-interface=WAN connection-state=new connection-nat-state=!dst-nat action=drop

Опечатка. 192.168.88.5->1.1.1.5

Ок. Внешний адрес роутера 1.1.1.1 внутренний хост 192.168.88.5 атакующий 1.1.1.5 Поехали. Пакет 1.1.1.5->192.168.88.5 пришел на внешний порт роутера. Роутер принимает решение о маршутизации и отсылает его ан 192.168.88.5 Хост отвечает пакетом 192.168.88.5->1.1.1.15 Так как состояние соедиенния на роутере при ответе будет established, этот пакет НЕ ОБРАБОТАЕТСЯ NAT. И достигнет 1.1.1.5 Защита классическое правило /ip firewall filter add chain=forward in-interface=WAN connection-state=new connection-nat-state=!dst-nat action=drop

благодарю, взял на заметку

у вас package ntp не установлен?

у меня обычно везде ntp пакет есть и там немного другое поведение относительно ns имен в ntp серверах

можно указать именем, он отрезолвит, но в конфиг оно приедет ip адресом

что имеет минусы, очевидно

В этом случае нет решения?

я пакет NTP давно уже не ставил, мне функционала хватает. не могу подсказать

В этом случае нет решения?

есть .скрипт. раз в сутки сверяем отрезолвеное имя с тем что записано в НТП. если разные то перезаписываем

есть .скрипт. раз в сутки сверяем отрезолвеное имя с тем что записано в НТП. если разные то перезаписываем

у ntpобычно пулы. там на имя несколько адресов

будет скрипт почти каждый раз новое имя получать

есть .скрипт. раз в сутки сверяем отрезолвеное имя с тем что записано в НТП. если разные то перезаписываем

ниразу еще скрипты не писал, можешь скинуть минимально работающую конфигу этого скрипта, я уже под себя доработаю

нету.

могу попробовать написать :-0

да не, зачем, прост видимо у всех мт изнутри забирает и не выступает нтп сервором, раз нет такой проблемы

:global timeserv [resolve shtucer.tntu.edu.ua] :global timsert [system ntp client get secondary-ntp] if ($timeserv!=$timeserv) do={system ntp client set seconda ry-ntp=$timeserv}

Граждане, подскажите такой момент, у меня скрипт на МК выполняется, который делает fetch, в логе соотвестственно вылезает сообщение о том что файл скачан, избавиться от этого можно?

Кто нибудь подскажет?

нет

всмысле нельзя избавится

А затирать логи по ключевым значениям нельзя?

А затирать логи по ключевым значениям нельзя?

а зачем?

Затирать конкретные записи логов вообще нельзя. Можно только уменьшить количество записей, например до 1 для заданного Action, а потом вернуть. Всё что не влезло сотрется. А с fetch ситуация печальная - у него нет своего Topic, он только как info тегируется, поэтому конкретно его выключить проблема - только все info

Граждане, подскажите такой момент, у меня скрипт на МК выполняется, который делает fetch, в логе соотвестственно вылезает сообщение о том что файл скачан, избавиться от этого можно?

вот за этим

По fetch это только разработчиков просить что бы ему отдельный "топик" выделили. Возможно уже и есть или был такой запрос на оф. форуме, но видимо не многим это нужно.

Беда-печаль.... Тож напишу...

а проблема-то в чем?

настройте запись лога на сервер. на сервере отфильтруйте ненужное.

ERROR: S client not available

или надо именно на тике логи держать?

Зачем сервер? Вопрос в самом микротике

Ну конечно мозг поломался от того что NAT микротика обрабатывает в зависимости от state пакета((

не, там всё просто. оно маскарадит только НЬЮ

больше себе в голову вбивать ничего не надо ?

или надо именно на тике логи держать?

Мой микрот каждую минуту качает файл по fetch. Это для телеграмма. Но в логах этого видеть не хочу.... Вот и всё.

не, там всё просто. оно маскарадит только НЬЮ

Да, вы сломали мой уютный мирок, ибо при слове нат у меня было нечто подобное

А тут вы еще и стейты подмешали

А я еще не мог понять какого хера эта атака возможна

а вот хз как оно в циско

походу так же как в тике. просто ты с этим еще не столкнулся

ибо тик на основе iptables

вряд ли у циски по другому чем в линукс-мире

Ну конечно мозг поломался от того что NAT микротика обрабатывает в зависимости от state пакета((

Нат обрабатывает только new пакеты, да

Гг, все знали да, я понял уже)))

не

не так

все знали НЕМНОГО РАНЬШЕ тебя

я узнал несколько месяцев назад

коллеги, подскажите плз провайдер дает /29 сеть на eth1 висит один публичный адрес из этой сети. на eth2 висит внутренняя сеть. мне нужно на одном устройстве иметь публичный адрес. правильно ли я думаю, что нужно назначить этот адрес на устройство, скоммутировать его в eth3, eth3 сделать как слейв port eth1 и на eth1 включить proxy arp и этого будет достаточно?

я узнал несколько месяцев назад

нам на курсах говорили. правда не помню акцентов на статусе new/established. но про саму возможность такую говорили

походу так же как в тике. просто ты с этим еще не столкнулся

У циски по другому. Там не netfilter в базе

я узнал несколько месяцев назад

скажем так, я узнал несколько ранее. Меня заинтересовало почему счетчики в NAT и в Filter не совпадают. Году так в 2009, когда мы вместо циски стали в проекты микрот ставить, ибо кризис. ))

коллеги, подскажите плз провайдер дает /29 сеть на eth1 висит один публичный адрес из этой сети. на eth2 висит внутренняя сеть. мне нужно на одном устройстве иметь публичный адрес. правильно ли я думаю, что нужно назначить этот адрес на устройство, скоммутировать его в eth3, eth3 сделать как слейв port eth1 и на eth1 включить proxy arp и этого будет достаточно?

При этом proxy-arp явно будет лишним

коллеги, подскажите плз провайдер дает /29 сеть на eth1 висит один публичный адрес из этой сети. на eth2 висит внутренняя сеть. мне нужно на одном устройстве иметь публичный адрес. правильно ли я думаю, что нужно назначить этот адрес на устройство, скоммутировать его в eth3, eth3 сделать как слейв port eth1 и на eth1 включить proxy arp и этого будет достаточно?

ну тут наверное решается nat 1:1

у меня тож есть такая задачка, чтобы asterisk ходил к провайдеру и не было при этом больно

При этом proxy-arp явно будет лишним

спасибо

коллеги, подскажите плз провайдер дает /29 сеть на eth1 висит один публичный адрес из этой сети. на eth2 висит внутренняя сеть. мне нужно на одном устройстве иметь публичный адрес. правильно ли я думаю, что нужно назначить этот адрес на устройство, скоммутировать его в eth3, eth3 сделать как слейв port eth1 и на eth1 включить proxy arp и этого будет достаточно?

хотя вот как ты сделал тоже интересно, я чот никогда не задумывался что такую штуку можно навертеть)))

Попробовать надо будет

Твой вариант будет удобней, если это устройство напрямую в микротик втыкается и больше ничо нет