Четверг
21.09.2017, 20:46
Приветствую Вас Гость
Главная FAQ Регистрация Вход
Меню сайта

Поиск

Свежие статьи
Динамическое деление скоро...
port knocking на mikrotik
Установка NGINX без прав R...
Как настроить время (NTP S...
Настраеваем CROND
Биллинг MikBill на UBUNTU
Даунгрейд PHP до версии 5....
Устанавливаем в Ubuntu 10....
Как настроить MySQL
Как настроить ZendOptimize...

Форма входа
Логин:
Пароль:

Главная » FAQ

Вопрос:
Если вы забираете микротиком у провайдера интернет через PPTP/PPPOE и у вас/ваших клиентов не открываются сайты mail.ru, odnoklassniki.ru и т.д. (HTML загружается, но не отображается)


Ответ:
попробуйте в профиле вашего подключения (PPP-Profiles) отключить Change TCP MSS и создать следующее правило:

Код
/ ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360  disabled=no


МАС адрес сетевого интерфейса на микротике можно сменить через консоль, набрав в ней - /interface ethernet set ether1 mac-address 11:22:33:44:55:66
ether1 - имя сетевого интерфейса мас адресс которого нам нужно сменить.
Видеоурок по смене МАС адреса на микротик - Видеоурок по смене МАС адреса на микротик

В iptables есть правило
-A INPUT -i eth1 -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
(eth1 - интерфейс с ip в интернет)
Я пробовал вкл и вкл его. И с внешнего ip сканером портов проверял на открыте порты комп с IPtables.
При вкл правиле ни одного открытого порта на компе не обрануживалось.

Как подобное правило реализовать в микротик?

видимо, что-то вроде

Код
/ip firewall filter
add chain=input in-interface=eth1 protocol=tcp tcp-flags=syn action=reject reject-with=icmp-network-unreachable
add chain=input in-interface=eth1 protocol=tcp tcp-flags=fin,syn,ack action=reject reject-with=icmp-network-unreachable


но если включен Connection Tracking, то проще - так:

Код
/ip firewall filter add chain=input in-interface=eth1 connection-state=new action=reject reject-with=icmp-network-unreachable

взято с www.mikrotik.by

Как защитить микротик от брутфорса?

Если вы хотите заблокировать доступ после десяти неправильных попыток в минуту
код для /ip firewall filter

add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop \
comment="drop ftp brute forcers"

add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m

add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" \
address-list=ftp_blacklist address-list-timeout=3h




Это предотвратит SSH брутфорс на 10 дней после повторяющихся попыток. Измените блокировку по времени в случае необходимости.
код для /ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
comment="drop ssh brute forcers" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=10d comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \
src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \
action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \
address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no


Если вы хотите блокировать доступ из вне
код

add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \ comment="drop ssh brute downstream" disabled=no



Статистику можно учитывать биллинг системой. Биллинг позволяет не только учитывать статистику, но и динамически управлять доступом пользователей к сети интернет. Пример - биллинг система Abills.
На нашем сайте есть статья по настройке связки Abills и микротик и называется она Установка Abills на ubuntu server 8.04 + Микротик
Добавил: Хочу придбати мікротік RB/750. (Михайло)

Профиль
Привет: Гость

Сообщения:

Гость, мы рады вас видеть. Пожалуйста зарегистрируйтесь или войдите!

Реклама

Наш опрос
Нужен ли этому сайту форум?
Всего ответов: 55

Нашел ошибку?
Система Orphus

Статистика

Онлайн всего: 2
Гостей: 1
Пользователей: 1
Kamorkaskn



Бесплатный хостинг uCoz