Ну ведь изменение номера портов решает на 99% проблему ботов

мечтатель

Ну ведь изменение номера портов решает на 99% проблему ботов

ээммм порта ДНС службы?

сканируют же

ну он вообще

ээммм порта ДНС службы?

Нет я про ссх и прочее

Нет я про ссх и прочее

тогде не на 99% точно

Ну ведь изменение номера портов решает на 99% проблему ботов

Нет.

Это наивность и чрезмерный оптимизм.

часто сканируют и на основе парсинга ответов определяют тип службы

сканируют же

Ну блин, вот после смены портов за 3 месяца ни один не сунулся на мои не стандартные порты

Сканы идут по сигнатуре ответов в основном

увести службу за 35к порт в глубь - может спасёт, но если тебя уже сканирут - то как бы рано или поздно найдут. Вопрос только "когда"

А на стандартные ломятся и по сей день. 4к адресов в блеклисте на основе этого

ну не все ж умные ?

ты просто УМЕНЬШАЕШЬ КОЛИЧЕСТВО атак, но не избавляешся от них вообще ?

Ну товарищи, скандируют это когда целенаправленно. А почти все боты ориентированы на один-несколько конкретных портов

Кстати, фэйл ту бан в микротике есть?

Ну на нестандартные их не было вообще за 3 месяца

Есть скриптовый

Кстати, фэйл ту бан в микротике есть?

напишешь - будет

Или просто ловушка

Кстати, фэйл ту бан в микротике есть?

что то в виде скрипта было

я ловил ответы от Л2ТП сервака по контенту и банил ДСТ. АДреса

А зачем файл ту бан. На 22 порту все кто авторизуются. Отправляются в бан.

Вы то знаете что у вас ссх на 65022

А зачем вообще 22 торчать наружу? Почему не поднять VPN

А чем пара логин пароль в впг надёжнее пары в ссх?

А зачем файл ту бан. На 22 порту все кто авторизуются. Отправляются в бан.

А потом ты с похмелья случайно забыл указать порт когда срочно нужно. Ты в полях. Канал связи один. И ты в бане.

Это частный случай

А чем пара логин пароль в впг надёжнее пары в ссх?

Ничем. Авторизация парой ключей наше все.

А чем пара логин пароль в впг надёжнее пары в ссх?

тем что через ВПН ты будешь ходить на все устройства, а не на каждое в отдельности которое торчит на своём ИП.

У меня резаные Канады просто

Мамкины ИБшнички))

Просто у впн дырка в мир уже, чем каждый отдельный сервис вытаскивать

Просто у впн дырка в мир уже, чем каждый отдельный сервис вытаскивать

ну да, лучше одна дырка, чем на каждом девайсе своя.

А потом ты с похмелья случайно забыл указать порт когда срочно нужно. Ты в полях. Канал связи один. И ты в бане.

а у тебя "порто-стук" настроен и ты пингами размер 134 байта добавляешь себя в белый список ?

тем что через ВПН ты будешь ходить на все устройства, а не на каждое в отдельности которое торчит на своём ИП.

Ну мы говорим про один конкретный а не то что надо за ещё смотреть

Ну мы говорим про один конкретный а не то что надо за ещё смотреть

ну ты же не только 22 юзаешь в сети. Ты ж наверняка и терминалишься и ftp и куча всего. И каждое пробросил поди

Ну вот пингами на иос не нашёл

Пришлось просто на 5 разных портов тсп и удп

подскажите пожалуйста с такой ошибкой

хочу сделать перенаправление днс запросов

/ip firewall nat add chain=dstnat protocol=udp port=53 layer7-protocol=site.name action=dst-nat to-addresses=192.168.111.1

в ответ получаю

input does not match any value of protocol

input does not match any value of protocol

так покажи фильтр

сек

@MikroTik] > /ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 X chain=forward action=reject reject-with=icmp-host-unreachable layer7-protocol=*1 log=no log-prefix="" 1 ;;; default configuration chain=input action=accept protocol=icmp log=no log-prefix="" 2 ;;; default configuration chain=input action=accept connection-state=established,related log=no log-prefix="" 3 ;;; default configuration chain=forward action=accept log=no log-prefix="" 4 ;;; default configuration chain=output action=accept log=no log-prefix="" 5 X ;;; default configuration chain=input action=drop in-interface=sat-1 log=no log-prefix="" 6 X ;;; default configuration chain=input action=drop in-interface=sat-2 log=no log-prefix=""

нет, покажи фильтр L7

там нет правил

а как ты указал это

/ip firewall nat add chain=dstnat protocol=udp port=53 layer7-protocol=site.name action=dst-nat to-addresses=192.168.111.1

layer7-protocol=site.name

пытаюсь через консоль добавить

и вот это под сомнением port=53

там либо dst-port или src-port или any-port помоему

dst в dst

оО?

тоесть я не прально правило сделал?

тоесть я не прально правило сделал?

юзай TAB

тоесть я не прально правило сделал?

Какова цель?

тоесть я не прально правило сделал?

и используй тогда не L7protocol а content

Кирилл

можно вопрос

Кирилл

нужно

ERROR: S client not available

цель чтобы запросы на site.name обрабатывал 111.1

А делайте не через L7, а адрес листом

или там овердофига?

дхцп выдает днс 101.1

скажи куда копать, мне нужно разные учетки ВПН-сервера пускать в разные вланы

ну там штук 10 адресов

цель чтобы запросы на site.name обрабатывал 111.1

попробуй так

]/ip firewall nat> add chain=dstnat protocol=udp dst-port=53 content=ddd action=dst-nat to-addresses=192.168.1.1

скажи куда копать, мне нужно разные учетки ВПН-сервера пускать в разные вланы

так

скажи куда копать, мне нужно разные учетки ВПН-сервера пускать в разные вланы

что значит пускатЬ?

content=ddd тут имя домена?

да

что значит пускатЬ?

чтобы пользователи, подключающиеся под таким-то аккаунтом через L2TP-сервер оказывались в таком-то влане

и работали в нем

чтобы пользователи, подключающиеся под таким-то аккаунтом через L2TP-сервер оказывались в таком-то влане

а клиенты кто? микротики?

вланы уже прописаны

винда

а это принципиально?

просто у меня счас уже три удаленных микрота висит

понимаешь в чём дело, ты хочешь обюъеденить два разных уровня ОСИ, vlan это второй уровень коммутацияя

выполнилось

тока чет через винбокс не вижу такого созданого правила

понимаешь в чём дело, ты хочешь обюъеденить два разных уровня ОСИ, vlan это второй уровень коммутацияя

ну может вопрос неверно поставил

просто у меня счас уже три удаленных микрота висит

а vpn это L3 где работает только маршрутизация

просто у меня счас уже три удаленных микрота висит

еслибы клиенты были микротики можно было настроить BCP

а вижу нашел

то есть оперировать лучше отталкиваясь только от L3

просто у меня счас уже три удаленных микрота висит

теперь давай ещё раз, что ты хочешь сделать

счас переформулирую тогда

то есть оперировать лучше отталкиваясь только от L3

конечно

этого хватит или надо ещё что то?

этого хватит или надо ещё что то?

ну ты проверь работает ли