Задать вопрос
  • Mikrotik+SSH парсю вывод. Как заставить ssh передавать большую ширину экрана?

    @paxlo
    2k21, не могу сказать на счет CHR, а зоопарк RB обновляется нормально. Вроде пока что идет речь об ограничении поставок железок и непродлении сертификатов тренеров.
  • Есть ли возможность полностью пркрыть доступ к соцсетям средствами Микротика?

    @paxlo
    Весь не надо, это вредные советы. Достаточно маркировать по первому соединению, а потом все пакеты этого соединения отправлять куда надо.
  • Как заблокировать AnyDesk на уровне маршрутизатора?

    @paxlo
    CityCat4, Указанные вами правила взяты с мохнатых древних мануалов 10 летней давности и проверяют абсолютно все пакеты на предмет фейсбук/ютуб регулярок. Это и создаёт нагрузку. Дропать нужно только те пакеты которые имеют отношение к соединении до Фейсбука/Ютуба. Как? Ответ - пометить только те соединения, которые обратились к пейсбуку/Ютубу и дропать только их. Нагрузка будет меньше в разы. Это официальная рекомендация микротика по файрволу, которая уже не раз обсуждалась в т.ч. и на Хабре.
  • Как заблокировать AnyDesk на уровне маршрутизатора?

    @paxlo
    CityCat4, у клиента это работает на 951 с 40 хостами в сети. Нагрузки почти нет, если грамотно метить и дропать по меткам.
  • Как заблокировать AnyDesk на уровне маршрутизатора?

    @paxlo
    okjaeo, вот вам пример с моего роутера:

    блокировка anydesk. Висит бесконечно в состоянии "Идет соединение с сетью AnyDesk"
    /ip firewall layer7-protocol add name=remotes regexp="^.*(anydesk.com).*\$"
    
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-port=53 layer7-protocol=remotes new-connection-mark=remotes-conn passthrough=yes protocol=udp
    add action=mark-packet chain=prerouting connection-mark=remotes-conn new-packet-mark=remotes-packet
    
    /ip firewall filter
    add action=reject chain=input packet-mark=remotes-packet reject-with=icmp-host-unreachable place-before=0
    add action=reject chain=forward packet-mark=remotes-packet reject-with=icmp-host-unreachable place-before=0


    Блокировка сторонних DNS:
    /ip firewall address-list add address=<IP роутера> list=allowed-dns
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-list=!allowed-dns dst-port=53 new-connection-mark=dns-conn passthrough=yes protocol=udp src-address-list=!allowed-dns
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-list=!allowed-dns dst-port=53 new-connection-mark=dns-conn passthrough=yes protocol=tcp src-address-list=!allowed-dns
    add action=mark-packet chain=prerouting connection-mark=dns-conn new-packet-mark=dns-packet
    
    /ip firewall filter
    add action=reject chain=input comment="drop other dns" packet-mark=dns-packet reject-with=icmp-host-unreachable place-before=0
    add action=reject chain=forward comment="drop other dns" packet-mark=dns-packet reject-with=icmp-host-unreachable place-before=0


    Примечание 1: dst-address-list=!allowed-dns и src-address-list=!allowed-dns это для моего частного случая когда DNS серверы находятся внутри локалки но не на роутере.

    Примечание 2: L7-rules энидеском не ограничиваются. У меня заблокированы большинство популярных решений включая TW, AmmyAdmin, Supremo итд. Некоторых менее популярные из них действительно используют не только домены но и IP для соединения. В этом случае всё что вам нужно это добавить ещё одно mangle правило вида:
    spoiler
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-list=<СПИСОК ЗАПРЕЩЕННЫХ IP> new-connection-mark=remotes-conn passthrough=yes


    Примечание 3: Правила заработают как только вы очистите кеш на роутере (/ip f co rem [f]; /ip dn ca fl) и на клиентах (ipconfig /flushdns)
  • Mirkotik корректны ли L7 правила?

    @paxlo
    Сослан Хлоев, нифига. У вас точно микротик? Если да сделайте пожалуйста /ip f la ex
  • Mirkotik корректны ли L7 правила?

    @paxlo
    expected end of command

    Какого-то экрана не хватает. Можете сделать export с работающей конфигурации?
  • Настройка DNS на Mikrotik?

    @paxlo
    На одном из них (например на 88.20) поднимается nginx в конфигурации реверс-прокси. На микротике 443(если у вас ssl) и 80 порт пробрасывается до этого сервера. Приблизительный конфиг для 88.20:

    upstream web1 {
        server 127.0.0.1:80;
    }
    
    upstream web2 {
        server 192.168.88.30:80;
    }
    
    server {
        server_name firstserver8820.ru;
        listen *:80;
        listen *:443 ssl http2;
        # тут нужно настроить все что связано с ssl: ssl_certificate, ssl_certificate_key, ssl_trusted_certificate итд итп
    
        location / {
            proxy_pass http://web1;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Real-IP $remote_addr;
        }
    }
    
    server {
        server_name secondserver8830.ru;
        listen *:80;
        listen *:443 ssl http2;
        # тут нужно настроить все что связано с ssl: ssl_certificate, ssl_certificate_key, ssl_trusted_certificate итд итп
    
        location / {
            proxy_pass http://web2;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Real-IP $remote_addr;
        }
    }
  • Настройка Firewall на домашнем MikroTik-е?

    @paxlo
    Дело в том что ssh при включенном strong-crypto гораздо безопаснее и устойчивее, чем никому неизвестный проприетарный протокол winbox. Во-вторых помимо безопасности, winbox не дает той автоматизации который может дать ssh. В-третьих очевидно то что gui всегда ущербне cli.