Ответы пользователя по тегу Firewall
  • Как заблокировать AnyDesk на уровне маршрутизатора?

    @paxlo
    Адреса не нужно блокировать, это глупо т.к. они в любой момент могут поменяться, блокировать нужно хостнеймы целиком со всеми поддоменами. Anydesk блокируется запросто у меня регуляркой что-то типа
    "^.*(rl.ammyy.com|www.ammyy.com|anydesk.com|итд).*\$"

    И блокировать лучше с предварительными пометками в mangle с обращением на 53 порт tcp/udp - меньше нагрузка, чем проверять все пакеты по L7 прямо в filter. Что ещё важно это залочить использование любых днс кроме IP роутера. Некоторый софт умеет не смотреть в системные DNS а использовать свободные для определения IP нужного хоста.
    Ответ написан
    8 комментариев
  • Как перенести firewall riles с windows server 2003 на mikrotik?

    @paxlo
    sed -i 's/some rule/to other rule/g' *.xml
    Ответ написан
    Комментировать
  • Как настроить Mikrotik для доступа к локальному серверу по доменному имени из внутренней сети?

    @paxlo
    Это называется Hairpin NAT

    В вашем случае делается так
    /ip firewall nat
    unset 0 out-interface
    unset 1,2,3,4,5 in-interface
    set 1,2,3,4,5 dst-address=10.10.10.10
    Ответ написан
    Комментировать
  • Как разрешить доступ к сетке роутера MikroTik по определённым MAC-адресам?

    @paxlo
    Разрешать только тех, чьи mac/ip вручную указаны в lease
    /ip dhcp-server set default add-arp=yes address-pool=static-only

    Также запретить инет тем, кто вручную прописал айпишники на сетевухе
    /interface bridge set bridge-local arp=reply-only

    Заполняем white-лист
    /ip dhcp-server lease
    add address=1.2.3.4 mac-address=11:22:33:44:55:66 server=default

    Теперь если даже вписать на компе ручками ip, в инет злодей не попадет, но внутренние ресурсы все равно будут доступны, ибо пакеты для той же подсети не ходят через роутер. Тут нужно на уровне свича делать привязку mac-ip через dhcp option 82.
    Ответ написан
    1 комментарий
  • Настройка Firewall на домашнем MikroTik-е?

    @paxlo
    Даем несловарное имя пользователя и пароль посложнее:
    /user set 0 name=duvdifjavmyldat2 password="MekGoshliep&os9Grydbewsh~"

    Отключаем у ssh устаревшую криптографию
    /ip ssh set strong-crypto=yes

    Отключаем все не-Ъ способы управления (включая винбокс) кроме ssh , они для мышковозов не осиливших быструю, безопасную и удобную cli. SSH переносим на нестандартный порт .
    /ip service
    disable [find where name!=ssh]
    set ssh port=44531


    Отключаем доступ по MACу - то еще решето (без этого роутер будет продолжать определяться в винбоксе).
    /tool mac-server set disabled=yes [find]
    /tool mac-server mac-winbox set disabled=yes [find]
    /tool mac-server ping set enabled=no


    Если не используем кошкины дискавери типа CDP, то обнаружение соседей тоже лучше отключить.
    /ip neighbor discovery set discover=no [find]

    Генерим ключ пожирнее.
    ssh-keygen -t rsa -b 4096 -N '' -C '' -f routerkey
    Если нужен пароль, то -N '' убрать. Лично я использую доступ по ключам без пароля для целей автоматизации через pssh управляяя большим кол-вом маршрутизаторов.

    Запихиваем routerkey.pub в роутер и импортим.
    /user ssh-keys import user=duvdifjavmyldat2 public-key-file=routerkey.pub


    Если усиливать паранойю еще больше, то настраивайте port-knocking (порт на управление открывается после того как вы постучитесь в определенной последовательности, определенное кол-во раз в заданные левые порты). Здесь написано как предотвратить ssh брутофорс.

    Если настроена вафля то конечно же сделайте на минимум tx-power и в /interface wireless access-list добавьте вручную маки ваших девайсов , и задав им signal-range такой, чтобы только близкие девайсы подрубались но не сосед за стенкой.

    Это то что пришло во голову сходу, а вообще тема бесконечная.
    Ответ написан
  • Что за прикол с правилами микротика?

    @paxlo
    connection-state можеть быть только estabilished, invalid,new,related. Пустое означает отсутствие connection-state. В первом вы разрешаете весь входящий с eth1 трафик, вторым правилом запрещаете. Вопрос то в чем? И на будущее всегда приводите выхлоп не print а export (/ip f f e)
    Ответ написан
  • Открытые порты Mikrotik после базовой настройки. Есть ли опасность?

    @paxlo
    Отключайте все кроме основного инструмента управления. Самый безопасный вариант (и удобный) это ssh, перевешивайте на нестандартный порт.

    /ip ssh set strong-crypto=yes
    /ip neighbor discovery set discover=no [find]
    /tool mac-server set disabled=yes [find]
    /tool mac-server mac-winbox set disabled=yes [find]
    /tool mac-server ping set enabled=no
    /ip service disable [find where name!=ssh] set ssh port=34567
    Ответ написан
    Комментировать