Mikrotik, отдельная тема по этому оборудованию |
Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 6825-й день
Шановні користувачі! Запрошуємо вас до офіційного телеграм-канала 0day Community. Тут ви зможете поспілкуватися одне з одним та дізнатися про останні новини щодо роботи ресурса, поставити запитання до адміністрації, тощо. Перейти до телеграм-канала можна відсканувавши QR-код або натиснувши на посилання: @zeroday_ua |
Mikrotik, отдельная тема по этому оборудованию |
mussy |
Oct 7 2018, 23:12
Пост
#1
|
Репутация: 143 Постоялец Группа: Пользователи Сообщений: 1 432 С нами с: 31-January 08 |
Ранее часто для объединения разных офисов / точек между собой использовал исключительно OPEN VPN. Сейчас начал все больше присматриваться к Mikrotik.
Подскажите, если соединять Mikrotik`овские маршрутизаторы исключительно по EOIP - является ли это достаточным для обеспечения безопасности трафика между офисами? Или нужно еще дополнительно этот туннель шифровать чем-то ? Сообщение отредактировал Spectral - Jul 15 2020, 22:50 |
Vitaliy_y |
Oct 21 2018, 21:04
Пост
#21
|
Репутация: 131 Cтаршой Группа: Пользователи Сообщений: 962 С нами с: 3-July 07 |
Маскарадинг при белом внешнем вреден.
11 ;;; WinBox chain=input action=accept protocol=tcp in-interface=WAN1 dst-port=8728,8291 log=yes log-prefix="" убрать или добавить список белых. нетмап не в тему. что трассы говорят? сделайте експорт и выложите сюда, без паролей. 0 ;;; masquerade chain=srcnat action=masquerade out-interface=WAN1 log=no log-prefix="" ipsec-policy=out,none уберите ipsec-policy=out или add action=src-nat chain=srcnat out-interface=WAN1 src-address=192.168.1.0/24 to-addresses=whiteip hairpin nat лучше делать как велит вики /ip firewall nat add chain=srcnat src-address=192.168.1.0/24 \ dst-address=192.168.1.2 protocol=tcp dst-port=80 \ out-interface=LAN action=masquerade Да,и, что бы пукан потом не горел не выставляйте голым задом 3389 наружу, залюбят, ломанут и будет вава, настройте port knocking как самое простое решение, благо дело можно запускать на любых платформах. Сообщение отредактировал Vitaliy_y - Oct 21 2018, 21:19 |
tiss |
Oct 21 2018, 21:34
Пост
#22
|
Репутация: 335 Старожил Группа: Пользователи Сообщений: 4 818 С нами с: 21-April 09 |
|
Console |
Nov 29 2018, 10:19
Пост
#23
|
Репутация: 498 ultra active user Группа: Пользователи Сообщений: 11 285 С нами с: 23-March 08 |
Что бы не плодить тем, кто подскажет.. в микротике есть уже правило на проброс порта.., но нужно расширить диапазон вместо одного десять портов подрят. 10 отдельных правил или можно указать дапазон.
p.s. может все таки закрепить тему? Сообщение отредактировал Console - Nov 29 2018, 10:20 |
lD1PS1l |
Nov 29 2018, 11:44
Пост
#24
|
Репутация: 12 Дух Группа: Пользователи Сообщений: 172 С нами с: 28-May 10 |
можно указать диапазон
|
Console |
Nov 29 2018, 17:09
Пост
#25
|
Репутация: 498 ultra active user Группа: Пользователи Сообщений: 11 285 С нами с: 23-March 08 |
|
Siroga |
Nov 29 2018, 17:21
Пост
#26
|
Репутация: 39 Дух Группа: Пользователи Сообщений: 112 С нами с: 21-February 07 |
банально через - или как? буду благодарен за пример через Winbox, не консольную команду. в налаштуваннях правила прописати порти через дефіс, наприклад 8000-8100, це на вкладці General і на вкладці Action http://prntscr.com/lokjlk на вкладці general відкриваются зовнішні порти, а на вкладці action - переадресовується трафік із зовнішніх на внутрішні (т.е. на комп в локалці чи інший девайс) |
Console |
Dec 1 2018, 18:51
Пост
#27
|
Репутация: 498 ultra active user Группа: Пользователи Сообщений: 11 285 С нами с: 23-March 08 |
в налаштуваннях правила прописати порти через дефіс, наприклад 8000-8100, це на вкладці General і на вкладці Action http://prntscr.com/lokjlk на вкладці general відкриваются зовнішні порти, а на вкладці action - переадресовується трафік із зовнішніх на внутрішні (т.е. на комп в локалці чи інший девайс) Получилось ок.. Еще вопрос... Нашел в инте такую штку от перебора... вроде ввел в терминале... но потом winbox через пару секунд разорвал соединение... CODE Format /ip firewall filter add action=add-src-to-address-list address-list=perebor_portov_drop address-list-timeout=30m chain=input comment=Perebor_portov_add_list dst-port=8291 in-interface=wan log=yes log-prefix=Attack protocol=tcp add action=drop chain=input comment=Perebor_portov_list_drop in-interface=wan src-address-list=perebor_portov_drop Название интерфейся я тут сократил для форума.. Сообщение отредактировал Console - Dec 1 2018, 19:03 |
YaAllex |
Dec 1 2018, 19:13
Пост
#28
|
Репутация: 80 Постоялец Группа: Пользователи Сообщений: 1 184 С нами с: 15-November 11 |
Хотя, похоже, вопрос и был риторическим, но все же побуду капитаном очевидностью:
1-ым правилом вы добавляете всех кто стучится через wan interface на порт винбокса в perebor_portov_drop на 30 минут 2-ым правилом запрещаете всем кто в perebor_portov_drop стучатся на маршрутизатор Сообщение отредактировал YaAllex - Dec 1 2018, 19:16 |
Console |
Dec 1 2018, 19:21
Пост
#29
|
Репутация: 498 ultra active user Группа: Пользователи Сообщений: 11 285 С нами с: 23-March 08 |
Хотя, похоже, вопрос и был риторическим, но все же побуду капитаном очевидностью: 1-ым правилом вы добавляете всех кто стучится через wan interface на порт винбокса в perebor_portov_drop на 30 минут 2-ым правилом запрещаете всем кто в perebor_portov_drop стучатся на маршрутизатор Ну я бы сказал у вас полное право Идея была, что все кто стучится на winbox при неверном пароле, при первом разе попадали в бан на 30 минут, в 2 случае на всегда.. бралось от сюда.. » Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « |
YaAllex |
Dec 1 2018, 19:29
Пост
#30
|
Репутация: 80 Постоялец Группа: Пользователи Сообщений: 1 184 С нами с: 15-November 11 |
Не стоит бездумно копировать чужие конфиги или хотя бы стоит попытаться понять, что они делают.
Я так понимаю маршрутизатор удален(вы из-вне настраиваете)? Сообщение отредактировал YaAllex - Dec 1 2018, 19:33 |
Console |
Dec 1 2018, 19:35
Пост
#31
|
Репутация: 498 ultra active user Группа: Пользователи Сообщений: 11 285 С нами с: 23-March 08 |
Не стоит бездумно копировать чужие конфиги или хотя бы стоит попытаться понять, что они делают. SSH должен работать(если не запрещен) Справедливо..... SSH отключен. Устройство в офисе, сейчас работает не в боевом режиме.. вот пока смотрю учусь набиваю шишки.. Если не сложно разжевать из ссылочки... как сделать защиту от перебора? Сообщение отредактировал Console - Dec 1 2018, 19:38 |
YaAllex |
Dec 1 2018, 19:48
Пост
#32
|
Репутация: 80 Постоялец Группа: Пользователи Сообщений: 1 184 С нами с: 15-November 11 |
Для начала вам лучше реализовать защиту от самоблокирования,имхо. Простейшие :
а) создать правило, которое разрешает коннектится к маршрутизатору с определенных белых ай-пи, поставить это правило выше запрещающих. б) настроить впн И только потом думать о защите от перебора. SSH отключен. Я не внимателен. По поводу ссылки "как сделать защиту от перебора" - https://bozza.ru/art-264.html (вроде достаточно подробно разжевано). Сообщение отредактировал YaAllex - Dec 1 2018, 20:02 |
Vitaliy_y |
Dec 2 2018, 11:22
Пост
#33
|
Репутация: 131 Cтаршой Группа: Пользователи Сообщений: 962 С нами с: 3-July 07 |
Научитесь не использовать пароли для критичных сервисов, создайте пользователя с правами ssh read write и заведите авторизацию по сертификам, нет пароля - нет проблем и пусть себе боты сканят сколько влезет.
Если уж сильно приспилило используйте port-knocking для порта ssh. почитайте про ssh -L, очень удобно пробрасывать на локальный тазик все нужно с микрота, в том числе и любимый порт winbox. Белые листы с айпишиниками могут сыграть злую шутку когда у вас будет сеть с микротов и один из них взломают. Как продолжение мысли и вожможные вопросы, хорошая практивка заводить в системе несколько пользователей, первого для ssh с авторизацией по сертификатам для торчащего 22-го порта наружу и второго для всего остального закрытого от доступа из вне по паролю, не умеет winbox с сертификатами работать. Пысы, не открывайте сервисы управления для внутресетей, я в послее время скрываю все для всех, постучался, зашел на ssh или пробросил что нужно, поковырялся и закрыл. Сообщение отредактировал Vitaliy_y - Dec 2 2018, 11:28 |
Console |
Dec 4 2018, 18:48
Пост
#34
|
Репутация: 498 ultra active user Группа: Пользователи Сообщений: 11 285 С нами с: 23-March 08 |
Чудо юдо правило я убрал, пока поставил вайтлист на доступ из мира на 1 адрес, и на 2 адреса из локальной. Сети микротиков пока не предвидется но совет полезный..
Угрозы из локальной у меня нет... специфика такая.. но советы отднозначно полезные. Нужно учится работать с SSH... Глянуть возможности VPN.. Очень жалко что в винбоксе нет возможности прикрутить ключ RSA... В любом случае спасибо.. Сообщение отредактировал Console - Dec 4 2018, 18:50 |
YaAllex |
Dec 4 2018, 20:10
Пост
#35
|
Репутация: 80 Постоялец Группа: Пользователи Сообщений: 1 184 С нами с: 15-November 11 |
В винбоксе есть консоль.
Ключи в System->Users-> обратите внимания на SSH * |
Console |
Dec 4 2018, 21:02
Пост
#36
|
Репутация: 498 ultra active user Группа: Пользователи Сообщений: 11 285 С нами с: 23-March 08 |
|
YaAllex |
Dec 4 2018, 21:19
Пост
#37
|
Репутация: 80 Постоялец Группа: Пользователи Сообщений: 1 184 С нами с: 15-November 11 |
Но это для ssh, винбокс GUI и не по SSH конектится и туда не прикрутить ключ-сертификат.. или я не правильно понял.. По поводу перевода Winbox-а на авторизацию по ключу не могу подсказать - не имел такого опыта. И это я не правильно понял фразу: Очень жалко что в винбоксе нет возможности прикрутить ключ RSA... - подразумевалось "прикрутить ключ к авторизации винбокса" Сообщение отредактировал YaAllex - Dec 4 2018, 21:19 |
Console |
May 4 2019, 13:10
Пост
#38
|
Репутация: 498 ultra active user Группа: Пользователи Сообщений: 11 285 С нами с: 23-March 08 |
И снова вопросы)
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « Взял пример с микротик википедии, скрипт добаления ip адресов из .txt в список....опытным путем вижу, что предедущий список удалят... но вместо него новый не создает...подазреваю что скрипт стареньки и возможно что то поменялось в routeOS... такое впечетление что скрипт не может найти ipaddress.txt но он лежит в файлах на микротике.. Проблему я нашел... собствено она была прям на видном месте.. https://wiki.mikrotik.com/wiki/Using_Fetch_...P_Address_Lists CODE Format Note: This only works with files under 4096 characters in size due to the variable size limit in v3 hopefully they will re-introduce the LUA system in v4 shortly so we can make this work with any size list. Как быть если список то больше 4096, перебирать или я снова что то завтыкал.. Сообщение отредактировал Console - May 4 2019, 13:51 |
imenno |
May 4 2019, 13:59
Пост
#39
|
Репутация: 970 Мистер Равлик Группа: Пользователи Сообщений: 16 192 С нами с: 24-March 06 |
а есть где-то гайд как настроить несколько провайдеров на одновременную работу, микротик 962. Или хотя бы на переподключение, при отвале первого и так по очереди. По лану оба подключены и третий это 4г свисток.
Сообщение отредактировал imenno - May 4 2019, 14:01 |
YaAllex |
May 4 2019, 14:13
Пост
#40
|
Репутация: 80 Постоялец Группа: Пользователи Сообщений: 1 184 С нами с: 15-November 11 |
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « Логично было бы предположить, что, в случае ограничений на 1 файл, можно попробовать как то работать с несколькими файлами. 1. а есть где-то гайд как настроить несколько провайдеров на одновременную работу, микротик 962. 2 Или хотя бы на переподключение, при отвале первого и так по очереди. По лану оба подключены и третий это 4г свисток. 1 называется балансировка каналов - google в помощь(информации прилично). 2 - тут нюансы,т.к. резервных каналов больше 2х, нужно будет править скрипт переключения, но почему бы и нет - гуглите, что то типа "переключение на резервный канал mikrotik" Сообщение отредактировал YaAllex - May 4 2019, 14:15 |
Упрощённая версия | Сейчас: 21st November 2024 - 11:06 |
Сайт не розміщує електронні версії творів, а займається лише колекціонуванням та каталогізацією посилань, що публікуються нашими користувачами. Якщо Ви є правовласником якоїсь частини опублікованого матеріалу та не бажаєте, щоб посилання на нього знаходилось в нашому каталозі, зв’яжіться з нами і ми видалимо його. Файли для обміну надані користувачами сайту і адміністрація не несе відповідальності за їх вміст. |