Илья добрый вечер, спасибо за помощь в предыдущем вопросе, всё разобрался! Хотел бы спросить, я сделал переброс портов на регистратор, но хотелось бы чтобы могли заходить на это устройство (регистратор) клиенты только с определённых MAC адресов, подскажите, как это можно реализовать? Заранее спасибо!
Понял Илья свою ошибку, это бы сработало если бы клиенты подключались VPN клиентом к Mikrotik ?, а так только на конечном устройстве (видеорегистратор) можно реализовать доступ с помощью организации прав доступа!
Понял Илья СПАСИБО! Буду настраивать права доступа видеорегистратора! Не запретишь же по IP на мобильных он постоянно меняется!
Или покупать фиксированные IP на мобильные Или настраивать VPN с мобильных Или пробовать крутить Port Knocking.
Что-то после обновления прошивки до последней, у меня микротик стал "гадить" со своего внешнего ip на dns сервера прописанные в ip dns (на 8.8.8.8 и 4.2.2.2), просто поток какой-то обращений к dns кто подскажет, это баг прошивки или я чего-то не вижу? других подключений, в том числе запросов dns на микротик из вне - не вижу
кажется, нашел "троянского коня", все оказалось завязано на правиле или Address List'e взятым вот от сюда, при том правило вроде отключал - не помогало, только когда полностью удалил и правило и Address List - только после это роутер стал себя вести - так как должно... Если не сложно, объясните в чем косяк? В длине адрес-листа или в условии, прописанном в правило?
При добавлении в адрес-лист строки с доменным именем, RouterOS выполняет DNS-запрос и заносит ответ DNS-а в адрес-лист на время TTL данной А-записи. Если TTL маленький - запросы будут исполняться часто.
Здравствуйте, Илья. Я тоже столкнулся с проблемой dns-флуда. Не могли бы помочь разобраться? Использую модель 750Gr3 с последней прошивкой 6.41.2. Вот текущий список правил, которые у меня настроены: Код: /ip firewall filter add action=accept chain=input protocol=icmp add action=accept chain=forward protocol=icmp add action=accept chain=input connection-state=established log-prefix=acc_inp add action=accept chain=forward connection-state=established log-prefix=\ acc_frwd add action=accept chain=input connection-state=related add action=accept chain=forward connection-state=related add action=accept chain=input in-interface=ether1 src-address=10.10.200.0/24 add action=accept chain=input in-interface=ether1 add action=accept chain=forward in-interface=ether1 out-interface=ether1 add action=accept chain=input port=1701,500,4500 protocol=udp add action=accept chain=input protocol=ipsec-esp add action=accept chain=forward comment="allow vpn to lan" in-interface=!ether1 \ out-interface=bridge1 src-address=10.10.200.0/24 add chain=input comment="Allow DNS from LAN" dst-port=53 in-interface=!ether1 \ protocol=udp add chain=input comment="Allow DNS request" in-interface=ether1 protocol=udp \ src-address=8.8.8.8 src-port=53 add chain=input comment="Allow DNS request" in-interface=ether1 protocol=udp \ src-address=109.236.64.134 src-port=53 add action=drop chain=input connection-state=invalid add action=drop chain=forward connection-state=invalid add action=drop chain=input in-interface=ether1 add action=drop chain=input dst-port=53 in-interface=ether1 protocol=tcp add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp К сожалению, правила не помогают. Как только включаю опцию allow remote requests, начинает забиваться канал и грузить процессор.
зачем правило с адресом 10.10.200.0/24 если вы следующим же правилом разрешаете всем подключаться к вашему роутеру? (кстати о вопросе про dns-флуд =) что вы пытаетесь добиться этим правилом? сделать из микротика прокси? да вы батенька знаете толк в извращениях, сначала прибить все а потом еще подключения на 53 порт для tcp и для udp, а то вдруг выжили... но больше всего эти правила радуют после первого, разрешающего все... т.е. до них просто дело не дойдет, никогда
Мда, ну и тупанул я ) только после того как запостил свои правила, понял какую дичь там написал. Как же стыдно. Спасибо за помощь, Infsub.
Здравствуйте , помогите пожалуйста , мои знания в настройки Mikrotik почти нулевые . Уже несколько недель поступает dns flood с внешнего порта 53 , ни какие правила не помогают я уже отчаялся . На фото видно мои правила + iport атакующего , канал в 100 метров забит . Если есть хоть какие то мысли буду век Вам обязан . Allow remote requests выключен . Модель MikroTik hex S
