Постоянно в логе вижу попытки войти в роутер через WAN. Как отключить такую возможность, сохранив все адреса динамическими?
У Вас насколько помню 2 интерфейса Ether1-gateway и PPP делаем /ip firewall filter add chain=input connection-state=established,related add chain=input protocol=icmp add chain=input dst-port=8291 protocol=tcp add action=drop chain=input in-interface=ether1-gateway add action=drop chain=input in-interface=PPP Где PPP имя вашего PPP-интерфейса.
Добрый день. А возможно закрыть на сканирование портов? Что бы из вне не смогли сканировать порты на открытие. Спасибо.
Кстати, хорошим вариантом защиты от брутфорса будет вот это: https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention
Да, вообще очень удобный вариант правил. Например, если вы его перепишите на порт 3389 и на цепочку forward вы защитите от подбора пароля опубликованный RDP.
Ну тогда вот вам решение. Единственно, я бы увеличил количество попыток до 5, а время бана уменьшил минут до 15-30. Иначе пользователи замучают )
нет лучше не буду рисковать а подниму VPN...Кстати не подскажите как безопастно поднимать OpenVPN?Буду благодарен
я считаю, что нужно перед выходом во внешний мир отключать дискаверинг на всех портах даже сомтрящих в локалку, ну или один про запас оставить который вообще не юзается)) изменить имя админской учетки и пароль без содержания словарных русских и английских слов. вот и вся недолга.
столкнулся с ужасной проблемой есть локалка *.3.0/24 без DHCP. В ней стоит ИКС сервер который определенным айпишникам, назначенным в ручную, даёт доступ в инет. Один айпи выделен под вай-фай *.3.99 . До поры до времени я настроил тупой ТПлинк. Присвоил на ван евойный статический адрес из 3-ей сетки. Настроил вайфай пустил в него DHCP из 192.168.1.0/24. Все пользаки радостные (хоть и канал обрезаный) и из вай фай доступа в локалку нет. Всё было хорошо но руководство не внемлело просьбам купить ИБП. И в час икс тплинк как водится сдох. Теперь же куплен ИБП и куплен был для этих наиужаснейших целей вышеупомянутый микротик. Я конечно не совсем нуб но что-то не могу никак эту гигантскую задачу решить)))))) В 2011 10 портов плюс wlan1 Из 4-х (2-5) портов первого свитча собрал бридж гигабитный, так уж от не фиг делать. Из 4 следующих портов (6-9) 100 МБ-й бридж. оставил под ван eth1 и eth10 под дискаверинг на всякий пожарный. Настроил вайфай под себя. Думаю как теперь правильно сделать чтобы из вайфай, в котором будет раздаваться диапазон адресов из 192.168.1.0/24 сетки, не было доступа в локалку а интернет чтобы у них был, который бы брался с порта eth1 на котором айпи 3.99 должен быть.
У Вас насколько помню 2 интерфейса Ether1-gateway и PPP делаем /ip firewall filter add chain=input connection-state=established,related add chain=input protocol=icmp add chain=input dst-port=8291 protocol=tcp add action=drop chain=input in-interface=ether1-gateway add action=drop chain=input in-interface=PPP Где PPP имя вашего PPP-интерфейса. _____________________________________ Сори возможно я нублю, но зачем открывать 8291 порт?
В Wiki говорится: "Various combinations of TCP flags can also indicate port scanner activity." У кого-нибудь есть опыт работы в таком виде, без флагов: Спойлер /ip firewall filter add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list " disabled=no Работает защита от сканера портов?
А были ли шаблоны для пакетных фильтров с отказом в авторизации по RDP протоколу ??? чтоб их выловить насколько я понимаю он должен (может) быть шифрован и ответ в рамках сессии пройдет как шифрованный пакет с ответом (или я ошибаюсь ??)