Вразумительно и толково читать тему, при этом с нескольких источников ловить вопросы, обдумывать их, давать ответы... Что тут скажешь, это круто. Спасибо.
you all probably dont give a shit but does any of you know a trick to log back into an Instagram account?? I was dumb lost the account password. I appreciate any assistance you can offer me!
@Duke Tristian I really appreciate your reply. I found the site through google and im in the hacking process now. Takes a while so I will reply here later with my results.
Help .. Подскажите куда копать? В микротик приходит инет , для определенных сайтов поднят pptp client до внешнего vpn. Все работает пока на fw не включишь последнее правило - drop all. Какое правило нужно создать , чтоб заработало ?( Пробовал , не завелось chain=input protocol=tcp dst-port=1723 action=accept chain=input protocol=tcp dst-port=47 action=accept
было бы неплохо, сделать небольшой графический скрипт для создания и редактирования правил файрволла, а это напоминает Linux Gentoo - с космическим порогом входа ...
Когда правил нету в firewall rules - разрешено всё со всех сторон, фаервол открыт, но вот дропающего правила, всё что не разрешено явно, я не увидел. Есть какое то правило, но оно для all ppp, а для вообще всего, что не разрешено явно, как будет выглядеть?
Здравствуй Роман, подскажите или может участники переписки помогут. Есть база 1С выгруженная на компе во внутрянке с ip:и портом. Стоит микрот 951 с выделенным ip. Я прописал в nat правило и база в манго телефонии увиделась. Как ограничить к базе доступ только для сервиса Манго телефонии по Api. Сильно не пинайте сам только учусь, заранее спасибо
Роман,доброго времени суток.Работаю с soho-сегментом сетевого оборудования,хочу более профессионально заниматься настройкой/внедрением,обслуживанинм.Вопрос немного риторический,но всё же: какая самая джуниорская должность в работе с оборудованием Mikrotik?Даётся ли такая информация на mum-выставках?Для каждодневного обучения всегда открыт.Хочется найти свой вектор развития(в разных проектах).Благодарю заранее.
Роман, понравилось видео. Но есть вопрос. Зачем пакеты которые дропать приходится, например при закрытии доступа кому либо куда либо, допускать до forward, ведь легче сразу на входе (input) их дропать, тогда меньше ресурсов железки будет задействовано? Или я не прав?
Роман, тогда есть еще несколько вопросов: 1. Правильно ли я понимаю, что решение о попадании пакетов в цепочку input или forward зависит от адреса назначения? 2. В видео на вопрос слушателя об очередности обработки трафика, NAT и firewall, вы сказали что сначала происходит натирование, а потом обработка firewall-ом. Тогда непонятно как отрабатывают правила для локальных клиентов, ведь после натирования происходит подмена ip отправителя? 3. После того как к пакету в цепочке forward было применено правило NAT, т.е. подменен ip, пакет все также остается в той же цепочке или переходит в output ? Заранее благодарю за ответ.
1. Это происходит в routing decusion - именно так. 2. Натирование происходит в preroutind. Источник в случае c srcnat не изменяется - и он как был в forward - так там и остался. 3. Цепочки независимы. Forward не попадает в output. 4. Подробности можно посмотреть здесь: wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6
@@MikrotikTraining т.е. forward вообще не принимает пакеты? Вот у меня, честно говоря, в голове такое не укладывается. Предположим мне говорят: передай вот это яблоко Маше. Я беру(!) это яблоко и передаю его Маше. В тот момент, когда я беру яблоко, я разве на себя пакет не принимаю?
Роман, добрый день! Если вам не трудно, подскажите пожалуйста как сделать доступ из локалки на внешний адрес через DNS mikrotik, не используя hairpin NAT?
Что такое пользовательская цепочка? Если я на роутере в самом начале сбрасываю настройки по умолчанию и потом все навастриваю самостоятельно, у меня все цепочки будут ПОЛЬЗОВАТЕЛЬСКИЕ?
Что значит фраза "все настраиваю самостоятельно"? Если вы делаете настройку в рамках предопределенных цепочек (INPUT/FORWARD/OUTPUT), то пользовательским цепочкам неоткуда взяться, их надо создавать дополнительно, если сиё вообще необходимо.
А можно сделать как то так, чтобы при обращении на "заблокированный" сайт, все его IP адреса добавлялись автоматически в address list? Для дальнейшей его разблокировки через VPN. Можно конечно и вручную, но хотелось бы и такую версию проработать, если она возможна. Я сделал правило "add dst to address list" на определенное доменное имя, оно отрезолвило IP адрес, но только один. А можно сделать чтобы все адреса резолвились? На подобии nslookup. И подходят ли данные правила, которые вы рассмотрели в данном видео, для защиты домашнего роутера? У меня сейчас немного по другому сделаны правила. Вот есть вроде хорошая статья, по настройке firewall bozza.ru/art-189.html вы как считаете, можно ли ее использовать в качестве настройки на домашнем роутере?
Если добавить доменное имя в /ip firewall address-list - будут добавлены все его ip адреса. Правило add dst to address list - добавляет destination - назначение, которое является по сути одним ip на который в данный момент обращаемся.
Это я знаю, то что в address list можно добавить доменное имя и получить "все адреса" я говорил про другой метод. Чтобы при обращении к доменному имени, срабатывало автоматическое правило добавление этого адреса в address list. Но только если этот домен был заблокирован провайдером
Роман приветствую. Подскажи . Есть микротик 2011 и метро от ростелекома , интернет и телевидение у телевидения есть своя коробочка которая получает адрес от сервера и так далее... ко мне приходит 1 кабель витая, я ее втыкаю в 1 порт и настраиваю логин и пароль но при этом коробочка телевидения не получает адрес , подсказали с ростелекома что поставь хаб перед микротиком и все . так и есть стоит хаб перед микротиком один кабель идет на коробочку в торой на микротик и все работает но как то не очень зависит от хаба за 300 с али. когда стоит коммутатор за 9000 руб . Вопрос как например сделать если кабель от ростелекома воткнуть в 10 порт с 9 порта выходит на коробочку а с 8 выходит на 1 pppoe. (как разделить метро средствами микротика) надеюсь правильно объяснил. Благодарю.
кто-то может подсказать что означает это правило: add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN. Это правило стоит в дефолтной настройке роутера для защиты. Но ведь по факту это правило открывает доступ к нашей LAN для доступа из WAN.
По идее, єто правило закрывает (ибо action=drop) доступ из WAN для всех пакетов, кроме тех, что идут на проброшенные нами порты (см. настройку DST-NAT). Кстати, по-моему, connection-state=new здесь лишнее, если выше есть правило, разрешающее established, related. Потому что до єтого правила и так дойдут только new-пакеты.
Это. Сначала если тцп летит син. И дальше происходит ожидание ответного ака. Друп просто фильтрует имхо, режекть - отправляет ицмп. Для ресета соединения на источнике. Никаких рст в этом случае не передаётся ;) - ну может у микротика все по-другому в стеке тцп ;) Чо за бред по акции тарпит? Ты инструменты для дос-атаки представляешь как работают? Правильнее всего (некоторые) инструменты генерят вообще рандомный адрес источника из некоторого скопа (чтобы пролезть через verrevpath провайдеру их брасов) и делается это для скрытия и разобщения атаки и разгрузки стека атакера. Бля 2 раза Про рдп с тарпитом аж заслушался! Вот это неебаццо фильтер (по определению работающий на уровне l3-l4) что аж эмулирует л7! Может он просто кидает в ответ акк с сином? 8)
Из wiki.mikrotik.comreject - drop the packet and send an ICMP reject messageЕсли у вас есть экспертиза в атаках на сети - давайте совместно проведем вебинар на тему защиты от DDoS.
А я как бы про это и говорил... Просто в презенташке чутка напридумано: относительно эмулирует соединение RDP... Даже у кошки интерсепт максимум во время ожидания отсылает кипэлайвы (но все зависит от настроек)... :)
Вебинар на какую тему? Это же в крайней степени некорректно ;) От ДДоС, вообще говоря, защиты как таковой не имеется, есть рекомендации к снижению эффекта :) не более :) Хотя, может чо и изобрели (типа могучей утилиты CRUCK снижающий в 2 раза количество переборов брутфорса при атаке впа-пцк, которую один мой знакомый не видел, а видел знакомого, который знал того кто ее видел ;))... Нет. От Дос атаки можно увернуться достаточно просто даже путем отсечения некоторой AS-ки связанной с атакующими адресами - Вы же помните про верревпас и настройки браса провайдера ;) С ДДос все сложнее - это же ботнет по факту с инстрементами Дос... Ну можно заблокировать весь интернет... :) Есть, как я говорил, варианты снижения воздействия: это и динамические листы и всякого рода, лимиты как по количеству соединений в сервис, так и пропускной способности на соединение... Тут бы что-то аналогичное интерцепту - очень легко отсечь полуживые, духи и всякого рода "дутые" соединения... Но это же уже все по-взрослому... Да и все равно надо понимать, что будут пользователи, для которых получится провал в доступности... Да и вообще - хДоС атаки - это поднасрать метод... киддистайл так сказать :)
Вразумительно и толково читать тему, при этом с нескольких источников ловить вопросы, обдумывать их, давать ответы... Что тут скажешь, это круто. Спасибо.
you all probably dont give a shit but does any of you know a trick to log back into an Instagram account??
I was dumb lost the account password. I appreciate any assistance you can offer me!
@Julius Dexter Instablaster ;)
@Duke Tristian I really appreciate your reply. I found the site through google and im in the hacking process now.
Takes a while so I will reply here later with my results.
@Duke Tristian It worked and I finally got access to my account again. I'm so happy!
Thank you so much you saved my ass!
@Julius Dexter Glad I could help :D
Роман, вы красавчик
Спасибки Агроменное! Было очень интересно и полезно!
Спасибо за вебинар.
Роман у вас талант тянуть время, ну так затянуть что лекторы крупных университетов обзавидуются.
хороший термин - теоретическая безопасность
Спасибо за материал
Реально крут, респект
Спасибо Вам
Спасибо, красавчик!
Шикарно!!!
Супер спасибо
Роман здравствуйте мне нужен ваша помощь .как связаться с вами
Приветствую! Подскажите пожалуйста, нужно чтоб адрес на который пробрасывается порт извне видел IP источника, а не IP mikrotikа.
Help .. Подскажите куда копать? В микротик приходит инет , для определенных сайтов поднят pptp client до внешнего vpn. Все работает пока на fw не включишь последнее правило - drop all. Какое правило нужно создать , чтоб заработало ?(
Пробовал , не завелось
chain=input protocol=tcp dst-port=1723 action=accept
chain=input protocol=tcp dst-port=47 action=accept
было бы неплохо, сделать небольшой графический скрипт для создания и редактирования правил файрволла, а это напоминает Linux Gentoo - с космическим порогом входа ...
Я не понял прикола) в видео про настройку за 59 минут - это Сергей Грушко, а здесь Роман Козлов)))?
Когда правил нету в firewall rules - разрешено всё со всех сторон, фаервол открыт, но вот дропающего правила, всё что не разрешено явно, я не увидел. Есть какое то правило, но оно для all ppp, а для вообще всего, что не разрешено явно, как будет выглядеть?
Здравствуй Роман, подскажите или может участники переписки помогут. Есть база 1С выгруженная на компе во внутрянке с ip:и портом. Стоит микрот 951 с выделенным ip. Я прописал в nat правило и база в манго телефонии увиделась. Как ограничить к базе доступ только для сервиса Манго телефонии по Api. Сильно не пинайте сам только учусь, заранее спасибо
Роман,доброго времени суток.Работаю с soho-сегментом сетевого оборудования,хочу более профессионально заниматься настройкой/внедрением,обслуживанинм.Вопрос немного риторический,но всё же: какая самая джуниорская должность в работе с оборудованием Mikrotik?Даётся ли такая информация на mum-выставках?Для каждодневного обучения всегда открыт.Хочется найти свой вектор развития(в разных проектах).Благодарю заранее.
Есть MTCNA сертификат, который дает достаточно хорошее представление об оборудовании mikrotik.
Mikrotik Training Смотрю ваше высткпление на mum2017.Интересно, а Вы с чего начинали?
Спасибо
Здравствуйте. Подскажите в in.interface/out.interface, если соединение pppoe на (ether1) есть ли разница что указывать ether1 или pppoe?????
@@overburndz бро, спс за ответ но за это время я уже разобрался и давно уже сертификат получил. Не в обиду😁
Роман, понравилось видео. Но есть вопрос. Зачем пакеты которые дропать приходится, например при закрытии доступа кому либо куда либо, допускать до forward, ведь легче сразу на входе (input) их дропать, тогда меньше ресурсов железки будет задействовано? Или я не прав?
не прав. input - трафик в маршрутизатор. forward - через. цепочки - независимые друг с другом.
Роман, тогда есть еще несколько вопросов:
1. Правильно ли я понимаю, что решение о попадании пакетов в цепочку input или forward зависит от адреса назначения?
2. В видео на вопрос слушателя об очередности обработки трафика, NAT и firewall, вы сказали что сначала происходит натирование, а потом обработка firewall-ом. Тогда непонятно как отрабатывают правила для локальных клиентов, ведь после натирования происходит подмена ip отправителя?
3. После того как к пакету в цепочке forward было применено правило NAT, т.е. подменен ip, пакет все также остается в той же цепочке или переходит в output ?
Заранее благодарю за ответ.
1. Это происходит в routing decusion - именно так.
2. Натирование происходит в preroutind. Источник в случае c srcnat не изменяется - и он как был в forward - так там и остался.
3. Цепочки независимы. Forward не попадает в output.
4. Подробности можно посмотреть здесь:
wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6
Спасибо
@@MikrotikTraining т.е. forward вообще не принимает пакеты? Вот у меня, честно говоря, в голове такое не укладывается. Предположим мне говорят: передай вот это яблоко Маше. Я беру(!) это яблоко и передаю его Маше. В тот момент, когда я беру яблоко, я разве на себя пакет не принимаю?
Роман, добрый день! Если вам не трудно, подскажите пожалуйста как сделать доступ из локалки на внешний адрес через DNS mikrotik, не используя hairpin NAT?
Крайне не советую DNS mikrotik открывать на внешнем интерфейсе. Без harpin NAT другого способа не знаю.
в output не плохо реализовывается защита от брутфорса
Что такое пользовательская цепочка? Если я на роутере в самом начале сбрасываю настройки по умолчанию и потом все навастриваю самостоятельно, у меня все цепочки будут ПОЛЬЗОВАТЕЛЬСКИЕ?
Что значит фраза "все настраиваю самостоятельно"? Если вы делаете настройку в рамках предопределенных цепочек (INPUT/FORWARD/OUTPUT), то пользовательским цепочкам неоткуда взяться, их надо создавать дополнительно, если сиё вообще необходимо.
а как дать разрешение, только на определенный хост?
Тоже интересно
видимо, если видео смотрели год назад (или больше), а тема непростая, народ на всё это забил, или перешёл на ДЛинки ))))
А можно сделать как то так, чтобы при обращении на "заблокированный" сайт, все его IP адреса добавлялись автоматически в address list? Для дальнейшей его разблокировки через VPN. Можно конечно и вручную, но хотелось бы и такую версию проработать, если она возможна.
Я сделал правило "add dst to address list" на определенное доменное имя, оно отрезолвило IP адрес, но только один. А можно сделать чтобы все адреса резолвились? На подобии nslookup.
И подходят ли данные правила, которые вы рассмотрели в данном видео, для защиты домашнего роутера? У меня сейчас немного по другому сделаны правила.
Вот есть вроде хорошая статья, по настройке firewall bozza.ru/art-189.html вы как считаете, можно ли ее использовать в качестве настройки на домашнем роутере?
Если добавить доменное имя в /ip firewall address-list - будут добавлены все его ip адреса. Правило add dst to address list - добавляет destination - назначение, которое является по сути одним ip на который в данный момент обращаемся.
По большому счету для домашнего роутера хватает и default config.
Это я знаю, то что в address list можно добавить доменное имя и получить "все адреса" я говорил про другой метод. Чтобы при обращении к доменному имени, срабатывало автоматическое правило добавление этого адреса в address list. Но только если этот домен был заблокирован провайдером
Роман приветствую. Подскажи . Есть микротик 2011 и метро от ростелекома , интернет и телевидение у телевидения есть своя коробочка которая получает адрес от сервера и так далее... ко мне приходит 1 кабель витая, я ее втыкаю в 1 порт и настраиваю логин и пароль но при этом коробочка телевидения не получает адрес , подсказали с ростелекома что поставь хаб перед микротиком и все . так и есть стоит хаб перед микротиком один кабель идет на коробочку в торой на микротик и все работает но как то не очень зависит от хаба за 300 с али. когда стоит коммутатор за 9000 руб . Вопрос как например сделать если кабель от ростелекома воткнуть в 10 порт с 9 порта выходит на коробочку а с 8 выходит на 1 pppoe. (как разделить метро средствами микротика) надеюсь правильно объяснил. Благодарю.
кто-то может подсказать что означает это правило: add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN.
Это правило стоит в дефолтной настройке роутера для защиты. Но ведь по факту это правило открывает доступ к нашей LAN для доступа из WAN.
По идее, єто правило закрывает (ибо action=drop) доступ из WAN для всех пакетов, кроме тех, что идут на проброшенные нами порты (см. настройку DST-NAT). Кстати, по-моему, connection-state=new здесь лишнее, если выше есть правило, разрешающее established, related. Потому что до єтого правила и так дойдут только new-пакеты.
13:33 правило "пасру" лол
как заблокировать самсунговские сервера роутер Mikro Tik модель RB951G-2HnD
privet u menia adin vapros. mojete atvechac? u menia vapros pra VPN.
Презентация недоступна
www.slideshare.net/mikrotik-training/firewall-mikrotik-78884293
Это. Сначала если тцп летит син. И дальше происходит ожидание ответного ака. Друп просто фильтрует имхо, режекть - отправляет ицмп. Для ресета соединения на источнике. Никаких рст в этом случае не передаётся ;) - ну может у микротика все по-другому в стеке тцп ;)
Чо за бред по акции тарпит? Ты инструменты для дос-атаки представляешь как работают? Правильнее всего (некоторые) инструменты генерят вообще рандомный адрес источника из некоторого скопа (чтобы пролезть через verrevpath провайдеру их брасов) и делается это для скрытия и разобщения атаки и разгрузки стека атакера. Бля 2 раза
Про рдп с тарпитом аж заслушался! Вот это неебаццо фильтер (по определению работающий на уровне l3-l4) что аж эмулирует л7! Может он просто кидает в ответ акк с сином? 8)
Он просто кидает akk с syn. В обход connection tracing.И держит соединение - никаких эмуляций l7 там нет.
Из wiki.mikrotik.comreject - drop the packet and send an ICMP reject messageЕсли у вас есть экспертиза в атаках на сети - давайте совместно проведем вебинар на тему защиты от DDoS.
А я как бы про это и говорил... Просто в презенташке чутка напридумано: относительно эмулирует соединение RDP... Даже у кошки интерсепт максимум во время ожидания отсылает кипэлайвы (но все зависит от настроек)... :)
Вебинар на какую тему? Это же в крайней степени некорректно ;)
От ДДоС, вообще говоря, защиты как таковой не имеется, есть рекомендации к снижению эффекта :) не более :) Хотя, может чо и изобрели (типа могучей утилиты CRUCK снижающий в 2 раза количество переборов брутфорса при атаке впа-пцк, которую один мой знакомый не видел, а видел знакомого, который знал того кто ее видел ;))...
Нет. От Дос атаки можно увернуться достаточно просто даже путем отсечения некоторой AS-ки связанной с атакующими адресами - Вы же помните про верревпас и настройки браса провайдера ;) С ДДос все сложнее - это же ботнет по факту с инстрементами Дос... Ну можно заблокировать весь интернет... :)
Есть, как я говорил, варианты снижения воздействия: это и динамические листы и всякого рода, лимиты как по количеству соединений в сервис, так и пропускной способности на соединение... Тут бы что-то аналогичное интерцепту - очень легко отсечь полуживые, духи и всякого рода "дутые" соединения... Но это же уже все по-взрослому... Да и все равно надо понимать, что будут пользователи, для которых получится провал в доступности...
Да и вообще - хДоС атаки - это поднасрать метод... киддистайл так сказать :)
Ну вот на вебинар наговорили) Может стоит именно про это и поговорить. Если будет интересно - пишите в телеграм или на почту.
Да не покупайте вы это говно особенно для дома ..