Sergey
глушить на точках любого типа доступ к ним и рулить только с капсмэна
Sergey
у убикь*** так с контроллера реализовано - никакого доступа к точкам, кроме как с контроллера, который тоже можно неплохо защитить
Evgeny
Sergy xxxlon:
Доброго вечера. Ребята простите за любопытство, но какой у кого какой был максимальный uptime на микротике? Спасибо.
Год на одном из Core-девайсов. Да, не обновлялись. 24/7 пашет :)
Еще был год на сильно удаленном девайсе, который страшно трогать, потому что ехать туда совсем не близко и не весело.
Evgeny
у убикь*** так с контроллера реализовано - никакого доступа к точкам, кроме как с контроллера, который тоже можно неплохо защитить
Нет. Там точки отвечают на пинг и есть ssh
Алексей
Год на одном из Core-девайсов. Да, не обновлялись. 24/7 пашет :)
Еще был год на сильно удаленном девайсе, который страшно трогать, потому что ехать туда совсем не близко и не весело.
жаль у обновления нет кнопки сэйф мод, типа обновился и не грузится идет откат :)
Evgeny
который отключается
Ну это по желанию. Можете отключить. Правда в случае чего тогда точку только руками ребутить/переадоптить
Evgeny
жаль у обновления нет кнопки сэйф мод, типа обновился и не грузится идет откат :)
Это было бы волшебство уже.
Sergey
Ну это по желанию. Можете отключить. Правда в случае чего тогда точку только руками ребутить/переадоптить
1 слуай на 7 лет был, когда ЗЛОадмин ушёл с паролями
Алексей
Это было бы волшебство уже.
это еще тогда одну пост систему надо иметь типа уефи, которая всегда предзагружается чекает на валидность и что либо делает :)
Sergey
Год на одном из Core-девайсов. Да, не обновлялись. 24/7 пашет :)
Еще был год на сильно удаленном девайсе, который страшно трогать, потому что ехать туда совсем не близко и не весело.
таких девайсов по миру преобладает думаю, а потом всплавает SMB1 (к примеру) на старых безотказных девайсах и понеслось... -это образно
Алексей
Sergey
ну смбв1 роутерос не страшен :)
ну то было образно, зато роутерось страшен квиксет, по крайней мере на старых версиях + к примеру ppoe поднятый и никак не фильтруемый в ip-firewall 😉
Sergey
на заре моей ненависти к MT мне об этом ЗлаяПанда поведал, я был в шоке -как так SOHO и с таким косяком...
Evgeny
таких девайсов по миру преобладает думаю, а потом всплавает SMB1 (к примеру) на старых безотказных девайсах и понеслось... -это образно
Ну, надо оценивать безопасность своих систем соразмеримо. И понимать, где важно критически все обновлять, а где можно и подождать.
Давайте тогда поговорим про разное сетевое оборудование, к которому прошивки обновляют только первые несколько лет после выхода железки. А потом - пофиг. А там и SSL, и всякое-разное.
Алексей
на заре моей ненависти к MT мне об этом ЗлаяПанда поведал, я был в шоке -как так SOHO и с таким косяком...
а что имеется в виду? в принципе любой ван нужно фильтровать, или о чем?
Sergey
Ну, надо оценивать безопасность своих систем соразмеримо. И понимать, где важно критически все обновлять, а где можно и подождать.
Давайте тогда поговорим про разное сетевое оборудование, к которому прошивки обновляют только первые несколько лет после выхода железки. А потом - пофиг. А там и SSL, и всякое-разное.
из опыта - большинство "адмов" (я был не исключением когда то) делают по типу - вжуууух и в продакшн
Sergey
а что имеется в виду? в принципе любой ван нужно фильтровать, или о чем?
о том что любой SOHO настраиваемый по принципу клик клик клик любой WAN по умолчанию закрывал, но вот микротик для меня открыл неведанное
Sergey
😁
Evgeny
из опыта - большинство "адмов" (я был не исключением когда то) делают по типу - вжуууух и в продакшн
Да. Регулярно на работе от коллег слышу "работает же, зачем трогать. Я вот раз-раз, сделал, и все."
Алексей
о том что любой SOHO настраиваемый по принципу клик клик клик любой WAN по умолчанию закрывал, но вот микротик для меня открыл неведанное
ну эт когда живешь в плену предубеждений :) я впринципе люблю всё везде облазить сначала, поковырять и почитать ну и поспрашивать :)
Sergey
один тут доспрашивался 😂😂😂😂😂😂😂
Алексей
один тут доспрашивался 😂😂😂😂😂😂😂
я говорю именно про спрашивать а не про сделайте за меня :)
Sergey
я говорю именно про спрашивать а не про сделайте за меня :)
очень важная корректива. Всё STOP флуд... Работаем дальше
Sergey
Ну, надо оценивать безопасность своих систем соразмеримо. И понимать, где важно критически все обновлять, а где можно и подождать.
Давайте тогда поговорим про разное сетевое оборудование, к которому прошивки обновляют только первые несколько лет после выхода железки. А потом - пофиг. А там и SSL, и всякое-разное.
согласен, у таких железок Life Time видимо превышает запланированный производителем. Несомненно в этом и заключена прелесть RouterOs - везде эдентична, всегда обновляема. Но видимо так сожилось из-за того что она всё же OS а не тупо узкий софт для конкретной линейки
Evgeny
согласен, у таких железок Life Time видимо превышает запланированный производителем. Несомненно в этом и заключена прелесть RouterOs - везде эдентична, всегда обновляема. Но видимо так сожилось из-за того что она всё же OS а не тупо узкий софт для конкретной линейки
Ну, в моем понимаи, у аксес свича срок службы всяко больше 2-3 лет, даже по мнению производителя. А тут уже только заменой оборудования решается. Ппц получается
Evgeny
Микротик в этом плане интереснее, да. С другой стороны, если постоянно обновляешь микроты, надо контролировать что где меняется и не отвалится ли чего
Evgeny
Хотя на багфикс ветке обычно все норм более-менее
Владимир
у меня рекордный аптайм 951-го больше 400дней... аш жалко было обновлять
Dark
Приехали ко мне сегодня две css326-24g будем полапать
Sergey
у меня три CRS 24G стоят - отчёт - проблем не найдено пока 😂
Evgeny
А есть новости про новый свитч с 24 портами PoE? Вроде к осени обещали
Sergey
один из них клиент сам купил со словами - читал где то что он как роутер умеет работать... это я не про POE
Sergey
А есть новости про новый свитч с 24 портами PoE? Вроде к осени обещали
сам жду когда кто то купит и похвастает..., есть потребность ставить всё на одном производителе
Maxim
Только что нашёл один жёсткий баг в MT
Maxim
Коллега куда-то положил mAP Lite и уже 30 минут мы не можем его найти, просто ппц
Maxim
А так всё норм ;)
Dark
у меня три CRS 24G стоят - отчёт - проблем не найдено пока 😂
У тебя роутеры, crs, а у меня свитч обыкновенный или switchus vulgaris. На свитчОС
Anibius
жаль у обновления нет кнопки сэйф мод, типа обновился и не грузится идет откат :)
можно диск разбить на два раздела: и на одном стабильная ос,на втором новая
Sergey
У тебя роутеры, crs, а у меня свитч обыкновенный или switchus vulgaris. На свитчОС
эт понятно, один из них работает как l2 свич обыкновенный
Dark
Народ, у кого есть пара пое-сплиттеров? За недорого бы взял, или меняюсь две длинк точки 2600АР на что нибудь микротиковское. В Москве
Dark
Они сцуки, не хотят через пое микрота
Dark
Не хотят никак
Dark
Точнее меняюсь на АР от микрота. Которые можно на стенку красиво повесить и через пое завести.
Maxim
Народ, у кого есть пара пое-сплиттеров? За недорого бы взял, или меняюсь две длинк точки 2600АР на что нибудь микротиковское. В Москве
Этим точкам нужен нормальный PoE 802.3af
Maxim
пассивным врят ли запитаешь
Dark
Это я уже понял, поэтому и спросил про сплиттеры.
Игорь
ребят есть у кого время подсказать вчем косяк, не могу к миротику удаленку сдеть правило вот /ip firewall filter
add action=accept chain=input comment="access to winbox" dst-port=8291 in-interface=tap1-wan protocol=tcp
Игорь
с внешки пытаюсь законектится тупо висит соединение и все
Maxim
Это я уже понял, поэтому и спросил про сплиттеры.
Один более-менее адекватный инжектор в станет в полторы-две тысячи. Коммутатор с 8-ю пое портами порядка 6 http://www.dlink.ru/ru/products/1/2052.html
Игорь
правило постави с верху счетчки не тикают
Игорь
файрвол отключал
Игорь
нет конекта(
Maxim
а сам интерфейс то пиншуется?
Игорь
нет
Maxim
не пингуется или порт не менял?
Игорь
порт не менял
Игорь
статика пингуется проброс раотает
Игорь
а где включить)?
Anibius
Action галочка log и префикс задай
Anibius
Игорь
я поставил
Anibius
теперь логи смотри
Anibius
как вариант я бы сначала телнетом проверил)
Игорь
ток там счетчик не тикает
Sergey
ip - services - там включено?
Игорь
да
Anibius
/ip firewall filter print
Anibius
а провайдер не может резать?
Sergey
с языка снял
Anibius
как варинат если работает ssh можно прокинуть порт винбокса
Sergey
я бы сунулся в wan порт с ноута напрямую например, если есть возможность и посканил потыкал
Игорь
0 ;;; access to winbox
chain=input action=accept protocol=tcp in-interface=ros dst-port=8291 log=yes log-prefix=""
1 ;;; Allow Ping
chain=input action=accept protocol=icmp log=no log-prefix=""
2 chain=forward action=accept protocol=icmp log=no log-prefix=""
3 ;;; Accept established connections
chain=input action=accept connection-state=established log=no log-prefix=""
4 chain=forward action=accept connection-state=established log=no log-prefix=""
5 XI chain=forward action=accept connection-state=related log=no log-prefix=""
6 ;;; !!! Check for well-known viruses !!!
chain=input action=jump jump-target=virus log=no log-prefix=""
7 ;;; Drop invalid connections
chain=input action=drop connection-state=invalid log=no log-prefix=""
8 chain=forward action=drop connection-state=invalid log=no log-prefix=""
9 ;;; Allow UDP
chain=input action=accept protocol=udp log=no log-prefix=""
10 chain=forward action=accept protocol=udp log=no log-prefix=""
11 XI ;;; SIP and RTP
chain=forward action=accept protocol=udp dst-address=10.0.0.201-10.0.0.202 dst-port=35060,12000-12250,16000-16250 log=no log-prefix=""
12 ;;; Accept related connections
chain=input action=accept connection-state=related log=no log-prefix=""
13 ;;;
chain=forward action=accept protocol=tcp dst-address=192.168.20.100 in-interface=ros dst-port=5432 log=no log-prefix=""
14 ;;; Access to Internet from local network
chain=forward action=accept routing-mark="" src-address=192.168.20.0/24 out-interface=ros log=no log-prefix=""
Владимир
многие провайдеры начали оказывать услугу "фаервол"... и рубят вообще все порты кроме 80 и 443. сталкивался с таким пару раз в москве
Владимир
хотя при этом у человека белый адрес, все дела... а подсеть белого адреса \24