Ответы пользователя по тегу Firewall
  • Почему dns дает ответы им?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Так как запросы поступают и по 53/tcp .

    Заблокировал правилом drop c интерфейса провайдера.

    Вообще, что за глупость блокировать только избранные вещи ?

    Почему у вас вообще нет общего drop на Input .
    Если не понимаете пока , как и что работает, используйте конфигурацию по умолчанию.
    Ответ написан
    Комментировать
  • Как защитить Mikrotik от внешних переборов pptp, ipsec?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Георгий Измайлов Все же я бы отказался от pptp, если конечно это возможно.
    Настройка l2tp+ipsec не так сложна.

    Но в любом из вариантов, можно блокировать многие вещи.
    Сделайте любой популярный порт ловушку, главное, что бы не пересекалось с рабочими.
    Например у меня есть роутеры, которые только раздают интернет и у них нет открытых портов вообще.
    Я поставил порты ловушки на 80,22,443,3389,5080 и все что вы еще хотите.
    Если будут запросы на эти порты, то запрос попадает в blacklist и запросы с этих блокируется на определенное время. У меня же собирается все в одну БД и я там дальше делаю обработки на более сложных условиях.

    Для VPN есть несколько вариантов дополнительно, это проверять кол-во авторизаций
    вот пример для l2tp

    https://hd.zp.ua/zashhita-routera-mikrotik-ot-brut...

    и есть разные варианты для pptp

    spvd.ru/page/mikrotik-simple-bruteforce-prevention

    Так как уже давно не использую pptp, то остальные вариант предлагаю поискать самому.
    Ответ написан
    Комментировать
  • Возможно ли настроить микротик RB750Gr3 как два роутера в одном?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    В общем и целом проблем не вижу. Главное , что бы у вас было в голове вот такая таблица

    https://i.mt.lv/routerboard/files/RB750Gr3-esw2-16...

    Если скорость интернета не 1gb, то рекомендую два порта под wan перевести в режим 100.
    Между ними и switch будет 1gb канал (но условно там будет 200).
    switch между собой будет уже как нормальный switch и отдать его дальше.
    Так как у вас особых изысков нет, то и маркировать пакеты да же не надо.
    Настройки в NAT для каждой сети, свой выход.
    Ответ написан
    Комментировать
  • Как правильно настроить firewall на Mikrotik RB951Ui-2HnD?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Для проброса портов дальше в сеть используется таблица в NAT.
    Действия для этого лучше использовать netmap, хотя не кто не запрещает использовать dst-nat.

    самый просто пример проброса RDP

    add action=netmap chain=dstnat dst-port=3389 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.88.10 to-ports=3389

    Все что попадет в input ether 1 на 3389 порт, будет выкинуто на 3389 порт машины 192.168.88.10
    Ответ написан