Хороший вариант. Предпочитаю использовать адрес листы для жесткого построения сети, т. е. адрес лист (или несколько листов) задаю прям в дхцп лизах для конкретных машин(оставляя соответствующие комментарии и/или лайф тайм. Таким образом жёстко конролирую несанкционированную активность в сети и на межсетевом пространстве. А всех кто не попал в адрес листы т.е. по дефолту к примеру не имеют доступа к серверам или сервисам определенного типа, но при этом например могут иметь доступ в итернет. Самая главная фича такого подхода, если ты, злоумышленник и знаешь всё настройки сети, тебе это не поможет, всё равно работать ничего не будет. т. к. При такой организации адрес листа для конкретного адресата действителен только если этот адресат имеет статус bound и твой id по 61 опции совпал + незабываем о 82 опции где прям будет писаться откуда именно подключалась та или иная машина ну там к примеру hostname-24:777(имя устройства, куда подключено, номер порта и номер влана). В общем при запрете взаимодействия client-client (в пределах физической и WiFi сети) без твоего ведома даже чихнуть не смогут, что лично в той организации где я сейчас работают крайне важно.
Подобный подход не спасет при подмене Mac-адреса. Условно получили адрес - попали в адрес-лист, но это проверка только на уровне Mac. Ну и все на ручном ходу - при dot1x все это получится автоматизировать.
@@MikrotikTraining, NVT ASCII или 61 опция(ID) не даст подменить мак, если мак и ID не совпадают с тем что в маршрутизатор сохранено, то соответственно это будет другой IP, а соответственно и другой адрес лист и другие правила сети. проблема будет только с устройствами не совместимыми с опцией 61, такие есть, но к счастью мало.
@@MikrotikTraining это хорошо что многие просто не понимают как это работает, так сказать мне от этого только споконее. 😁подменяйте мак сколько угодно, вы никогда не попадете в тот адреслист за которым именно подменяемая машина закреплена, т.к. без админских прав вы этот ID с исходного хоста не выцепите, а по какому принципу он генерируется это уже личная кухня каждой организации, но явно что не стоит использовать штатный 1:[мак хоста] или 1a:[мак хоста], меняется это ID только при смене операционки или сетевой карты, так что получается о надежно. что казсается дот1x, если сеть построена исключительно на микротах это не проблема, а когда у тебя зоопарк и Макротов, хуавеев, элтексов, длинков и прочего оборудования с годами выпуска от 2012 до 2022, как-то не до dot1. Да и если говорить о доступности оборудования... его счейчас просто нет в нужном количестве или за такой ценник что нуего нафиг.
Как посмотреть в терминале Winbox все адрессны листы, команда "/ip firewall address-list print", выведет много информации, а мне нужны одни только имена (без дубляжей и лишней информации)?
Большое спасибо за видео!!! Два вопроса: 1. "Если мы хотим заблокировать доступ к контакту по 80,443 порту....", делаем правило и почему то в конце осталось Accept. Вероятно должно было быть Reject; 2. Я попытался добавить DNS записи (личные) из раздела IP\DNS\Static но это не получилось. Вероятно личные DNS Записи добавлять нельзя; 3. Как отреагируют правила на устройстве, если использованный в правилах конкретный address list будет в статусе "disable" (или все для конкретной записи в disable) ? его просто проигнорируют?
1. Reject или drop 2. Должен добавить - это фактически записи для самого роутера 3. Если есть не выключенный участник в адрес листе на него будет работать правило.
лично я использую адрест лист для доступа к микротам из вне. в фаирволе разрешаем трафик с адрес листа - в адрес лист заносим днс имя - в днс имени через RR забиваем нужные внешнии ИП. так даже самый забытый рутер будет знать ип адреса откуда я к ним могу заканектиться, все остальное слать нафиг.
6 минут довольно пустого монолога. Все содержимое можно уместить в 10 строках текста и прочитать за 20 секунд. На кой черт смотреть на этого бородатого клоуна?
Хороший вариант.
Предпочитаю использовать адрес листы для жесткого построения сети, т. е. адрес лист (или несколько листов) задаю прям в дхцп лизах для конкретных машин(оставляя соответствующие комментарии и/или лайф тайм. Таким образом жёстко конролирую несанкционированную активность в сети и на межсетевом пространстве. А всех кто не попал в адрес листы т.е. по дефолту к примеру не имеют доступа к серверам или сервисам определенного типа, но при этом например могут иметь доступ в итернет. Самая главная фича такого подхода, если ты, злоумышленник и знаешь всё настройки сети, тебе это не поможет, всё равно работать ничего не будет. т. к. При такой организации адрес листа для конкретного адресата действителен только если этот адресат имеет статус bound и твой id по 61 опции совпал + незабываем о 82 опции где прям будет писаться откуда именно подключалась та или иная машина ну там к примеру hostname-24:777(имя устройства, куда подключено, номер порта и номер влана). В общем при запрете взаимодействия client-client (в пределах физической и WiFi сети) без твоего ведома даже чихнуть не смогут, что лично в той организации где я сейчас работают крайне важно.
ну и да я помню о dit1x, но пока чот как-то руки до него не дошли, значит не оч то и нужно.
Подобный подход не спасет при подмене Mac-адреса. Условно получили адрес - попали в адрес-лист, но это проверка только на уровне Mac. Ну и все на ручном ходу - при dot1x все это получится автоматизировать.
@@MikrotikTraining, NVT ASCII или 61 опция(ID) не даст подменить мак, если мак и ID не совпадают с тем что в маршрутизатор сохранено, то соответственно это будет другой IP, а соответственно и другой адрес лист и другие правила сети. проблема будет только с устройствами не совместимыми с опцией 61, такие есть, но к счастью мало.
@@MikrotikTraining это хорошо что многие просто не понимают как это работает, так сказать мне от этого только споконее. 😁подменяйте мак сколько угодно, вы никогда не попадете в тот адреслист за которым именно подменяемая машина закреплена, т.к. без админских прав вы этот ID с исходного хоста не выцепите, а по какому принципу он генерируется это уже личная кухня каждой организации, но явно что не стоит использовать штатный 1:[мак хоста] или 1a:[мак хоста], меняется это ID только при смене операционки или сетевой карты, так что получается о надежно. что казсается дот1x, если сеть построена исключительно на микротах это не проблема, а когда у тебя зоопарк и Макротов, хуавеев, элтексов, длинков и прочего оборудования с годами выпуска от 2012 до 2022, как-то не до dot1. Да и если говорить о доступности оборудования... его счейчас просто нет в нужном количестве или за такой ценник что нуего нафиг.
Как посмотреть в терминале Winbox все адрессны листы, команда "/ip firewall address-list print", выведет много информации, а мне нужны одни только имена (без дубляжей и лишней информации)?
Подскажите пожалуйста, а можно ли изолировать так подсети на микротике?
Большое спасибо за видео!!! Два вопроса:
1. "Если мы хотим заблокировать доступ к контакту по 80,443 порту....", делаем правило и почему то в конце осталось Accept. Вероятно должно было быть Reject;
2. Я попытался добавить DNS записи (личные) из раздела IP\DNS\Static но это не получилось. Вероятно личные DNS Записи добавлять нельзя;
3. Как отреагируют правила на устройстве, если использованный в правилах конкретный address list будет в статусе "disable" (или все для конкретной записи в disable) ? его просто проигнорируют?
1. Reject или drop
2. Должен добавить - это фактически записи для самого роутера
3. Если есть не выключенный участник в адрес листе на него будет работать правило.
лично я использую адрест лист для доступа к микротам из вне.
в фаирволе разрешаем трафик с адрес листа - в адрес лист заносим днс имя - в днс имени через RR забиваем нужные внешнии ИП.
так даже самый забытый рутер будет знать ип адреса откуда я к ним могу заканектиться, все остальное слать нафиг.
Именно так нужно)
А подскажите, пожалуйста, что такое RR ?
@@ArsenAbaev round robin. В отношении днс это когда к одному днс имени прикреплено несколько ИП.
И желательно добавлять комментарий к каждой записи в Address List )
Конечно
Так же по MAC адресам
6 минут довольно пустого монолога. Все содержимое можно уместить в 10 строках текста и прочитать за 20 секунд. На кой черт смотреть на этого бородатого клоуна?
подскажи пожалуйста как открыть доступ к сайту