Все сервисы Хабра
Сообщество IT-специалистов
Ответы на любые вопросы об IT
Профессиональное развитие в IT
Закрыть
Задать вопрос
Никадим Цацкин
Mikrorik, Juniper (SSG, SRX). Windows 2008,2012,20
3
вклад
0
вопросов
15
ответов
13%
решений
Комментарии
Информация
Ответы
Вопросы
Комментарии
Подписки
Нравится
Странная сетевая активность на mikrotik, у меня одного?
Никадим Цацкин
@BigDrive
Я использую правила:
/ip firewall filter
add action=add-src-to-address-list address-list=port-scanners address-list-timeout=2w chain=input comment="Port-scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=port-scanners address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=port-scanners address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=port-scanners address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=port-scanners address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=port-scanners address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=port-scanners address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment=DNS-DENY dst-port=53 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment=DNS-DENY dst-port=53 in-interface-list=WAN protocol=udp
add action=add-src-to-address-list address-list=!_dns-flood address-list-timeout=none-dynamic chain=forward comment=DNS_Flood connection-limit=100,32 dst-port=53 in-interface-list=WAN protocol=udp
add action=add-src-to-address-list address-list=!_smb-flood address-list-timeout=none-dynamic chain=forward comment=SMB_Flood connection-limit=100,32 dst-port=445 in-interface-list=WAN protocol=tcp
add action=add-src-to-address-list address-list=!_telnet-flood address-list-timeout=none-dynamic chain=forward comment=Telnet_Flood connection-limit=20,32 dst-port=23 in-interface-list=WAN protocol=tcp
add action=add-src-to-address-list address-list=!_ssh-flood address-list-timeout=none-dynamic chain=forward comment=SSH_Flood connection-limit=20,32 dst-port=22 in-interface-list=WAN protocol=tcp
add action=add-src-to-address-list address-list=!_snpp-flood address-list-timeout=none-dynamic chain=forward comment=SNPP_Flood connection-limit=20,32 dst-port=444 in-interface-list=WAN protocol=tcp
add action=add-src-to-address-list address-list=!_msf-indication address-list-timeout=none-dynamic chain=forward comment=Metasploit_Indication connection-limit=20,32 dst-port=4444 in-interface-list=WAN protocol=tcp
add action=log chain=forward comment=Abnormal_Traffic connection-bytes=80000000 in-interface-list=WAN log=yes log-prefix=!_Abnormal-Traffic
После этого все запихиваем в RAW:
/ip firewall raw
add action=drop chain=prerouting in-interface-list=WAN src-address-list=port-scanners
Правила файрвола надо поднять на самый верх.
Написано
более трёх лет назад
Не открываются в sublime text 3 файлы с сервера. Как решить эту проблему?
Никадим Цацкин
@BigDrive
Он мощнее
Написано
более трёх лет назад
MikroTik и VLAN с кучей IP от провайдера. Как?
Никадим Цацкин
@BigDrive
Поставьте 24 маску. Попробуйте. Должо все работать.
Почему такая узкая маска?
Написано
более трёх лет назад
Какой роутер выбрать для дома?
Никадим Цацкин
@BigDrive
Микротик рекомендовать не стоит
Написано
более трёх лет назад
При попытке установить ругается на сломанные пакеты. Как вылечить linux?
Никадим Цацкин
@BigDrive
Дебиан не на столько плох, у него стабильные версии, юзайте дебиан, убунту тоже не плох, но дебиан стабилен.
Написано
более трёх лет назад
Как на Mikrotik раздать интернет без bridge?
Никадим Цацкин
@BigDrive
Ещё по последнему правилу, можете интерфейсы разбить на адрес листы в разделе интерфейсы, и на основе их делать правила firewall.
Написано
более трёх лет назад
Почему шумит сервер hp dl360p gen8?
Никадим Цацкин
@BigDrive
А все поставили и все еще шумит ?
Написано
более трёх лет назад
Как стабилизировать IPsec?
Никадим Цацкин
@BigDrive
ip ipsec policy group
add name=myipsec-tunnel
/ip ipsec profile
add dh-group=modp1024 dpd-interval=10s name=profile_1 nat-traversal=no
/ip ipsec peer
add address=2.2.2.3 comment=PEER-myipsec-tunnel exchange-mode=ike2 local-address=1.1.1.2 name=peer-myipsec-tunnel profile=profile_1
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 enc-algorithms=aes-128-cbc,3des,twofish
add enc-algorithms=aes-128-cbc,3des name=proposal1
/ip ipsec identity
add comment=PEER-myipsec-tunnel peer=peer-myipsec-tunnel policy-template-group=myipsec-tunnel secret=MyS!creTPassw0rd
/ip ipsec policy
set 0 disabled=yes group=srx
add dst-address=192.168.10.1/32 peer=peer-myipsec-tunnel proposal=proposal1 sa-dst-address=2.2.2.3 sa-src-address=1.1.1.2 src-address=192.168.10.2/32 tunnel=yes
Написано
более трёх лет назад
Пробую писать оповещения Mikrotik на Telegram. Не получается отправлять get запросы. Что делаю не так?
Никадим Цацкин
@BigDrive
У вас проблема явно с ДНС, пробуйте её решить, после этого все заработает.
Написано
более трёх лет назад
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
Войти через центр авторизации
Закрыть
Реклама
/ip firewall filter
add action=add-src-to-address-list address-list=port-scanners address-list-timeout=2w chain=input comment="Port-scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=port-scanners address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=port-scanners address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=port-scanners address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=port-scanners address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=port-scanners address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=port-scanners address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment=DNS-DENY dst-port=53 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment=DNS-DENY dst-port=53 in-interface-list=WAN protocol=udp
add action=add-src-to-address-list address-list=!_dns-flood address-list-timeout=none-dynamic chain=forward comment=DNS_Flood connection-limit=100,32 dst-port=53 in-interface-list=WAN protocol=udp
add action=add-src-to-address-list address-list=!_smb-flood address-list-timeout=none-dynamic chain=forward comment=SMB_Flood connection-limit=100,32 dst-port=445 in-interface-list=WAN protocol=tcp
add action=add-src-to-address-list address-list=!_telnet-flood address-list-timeout=none-dynamic chain=forward comment=Telnet_Flood connection-limit=20,32 dst-port=23 in-interface-list=WAN protocol=tcp
add action=add-src-to-address-list address-list=!_ssh-flood address-list-timeout=none-dynamic chain=forward comment=SSH_Flood connection-limit=20,32 dst-port=22 in-interface-list=WAN protocol=tcp
add action=add-src-to-address-list address-list=!_snpp-flood address-list-timeout=none-dynamic chain=forward comment=SNPP_Flood connection-limit=20,32 dst-port=444 in-interface-list=WAN protocol=tcp
add action=add-src-to-address-list address-list=!_msf-indication address-list-timeout=none-dynamic chain=forward comment=Metasploit_Indication connection-limit=20,32 dst-port=4444 in-interface-list=WAN protocol=tcp
add action=log chain=forward comment=Abnormal_Traffic connection-bytes=80000000 in-interface-list=WAN log=yes log-prefix=!_Abnormal-Traffic
После этого все запихиваем в RAW:
/ip firewall raw
add action=drop chain=prerouting in-interface-list=WAN src-address-list=port-scanners
Правила файрвола надо поднять на самый верх.