13:54 Выступающий говорит, что отключаем опцию "echo reply" , а в примере на слайде опция 8:0 это "echo request". На слайде правильно, а озвучили не верно.
Чтобы поднять приоритет RDP трафика, достаточно: промаркировать соединение, по соединению маркировать пакеты, создать правило повышающее приоритет (по маркировке пакета). Нужно ли маркировать весь оставшийся трафик ?
Мороз и солнце день чудесный Фаервол Микротика прелесный Админ скорее просыпайся РоутерОС ты не пугайся Микрот для SOHO ты настрой За дыры в ОСи ты не ной Придёт обнова латышей Скорей беги качай и шей Мой красноглазый бедолага Не плачь, читай и не ругайся Микрот настроить тебе надо Читай, настрой чтоб не ломался И день прошёл и ночь прошла И вновь беда к тебе пришла Ddos тебя опять нашла В сети закралась, не ушла Тебя с работы в шею гнали Ломали, били, унижали В просак админ попал опять И слёз от горя не унять
А зачем делать ежедневные бэкапы с Микротика? Обычно достаточно одного бэкапа, до каких-либо изменений конфигурации. И одного бэкапа после изменений в конфигурации. Исходя из практики, очень редко что-то приходится перенастраивать или дополнять правила и т.д. И обычно в эти моменты бэкап и делается.
На 49ой минуте говорится, что Микротик не может создавать папки и приводится сложный пример, как это можно обойти. Но ведь можно, используя Winbox перетащить мышкой из Windows заранее созданную папку, также как мы это делаем с файлами. Или я не правильно понял проблему?
А если нужно из скрипта чтобы папка автоматом создавалась? Смысл скрипта - уменьшить количество ручных операций, чтобы снизить влияние человеческого фактора.
Что удалось выяснить есть два варианта запуска скрипта: первый с ответа Sam Boldner - /system reset-configuration no-defaults=yes run-after-reset=.rsc второй - /import file-name=.... нашел в скрипте некие нерабочие моменты: (проверял на прошивке - 6.45.6 (Stable)) в самом скрипте ошибка - раздел #Configuring backup строка - /tool e-mail send file=\"email_backup.backup\" to=\"\$BackupToEmail\" from=\"\$SMTPUser\" body=\"See attached file\" subject=\"\$[/system identity get name] \$[/system clock get time] \$[/system clock get date] Backup\"; \ должно быть - /tool e-mail send file=\"email_backup.backup\" to=\"$BackupToEmail\" from=\"$SMTPUser\" body=\"See attached file\" subject=\"\$[/system identity get name] \$[/system clock get time] \$[/system clock get date] Backup\"; \ иначе переменные $BackupToEmail и "$SMTPUser не берутся из шапки если в скрипте в шапке в разделе #CAPsMAN #CAPsMAN guest service customize? (1 yes, 0 no) :local CAPsMANGuestNetInstall 1; поставить - 0 - скрипт не запускается для запуска CAPsMAN на роутере где запущен скрипт в правила фаервола нужно добавить строку ;;; RealDefConf: allove CAP from LAN chain=input action=accept src-address-type=local dst-address-type=local log=no log-prefix="" перед ;;; RealDefConf: drop all not coming from LAN chain=input action=drop in-interface-list=!LAN log=no log-prefix="" иначе не зупустится CAPsMAN в Wirelles Спасибо автору, скрипт очень понравился, попробую добавлять в него по мере нахождения что то интересное маленькое добавление для проверки работоспособности интернета #Configuring Netwatch :log info "Start Netwatch configured"; :do { /tool netwatch add down-script="log warning \"internet propal\"" host=8.8.8.8 interval=30s up-script="log warning \"internet zarabotal\"" :log info "Netwatch settings created"; } on-error={:log error "Error Netwatch settings configured"};
Спасибо!Много интересного услышал. Есть замечание: слайд 24 : src-address-list="!NotTrapsIP" Кавычка не там, нужно: src-address-list=!NotTrapsIP В том же примере не понял как/где установить address-list-timeout=3d Команду как есть микротик не принял
У Вас прошивка свежая? Синтаксис менялся где-то в районе 6.4 версии. У меня синтаксис address-list-timeout=12h на рабочих конфигах прекрасно загружается.
src-address-list="!NotTrapsIP" именно так делает экспорт сам микротик, поэтому и придерживаемся именно такого синтаксиса. address-list-timeout параметр замечательно принимается в правилах файрвола. Возможно как заметили выше у вас старая прошивка
Вот нафига лектор в очередной раз рассказал, что надо делать маскарад в srcnat, имея при этом статический внешний адрес, который он предлагает даже добавить в addres-list? А зачем запрещать echo reply ICMP в цепочке INPUT? Чтобы пинги с роутера уходили, но нам ответить не могли?
23 слайд не принимает код выдает ошибку версия прошивки последняя 6.47.1, ошибка ( syntax error (line 1 column 140) ) можете подсказать что не так код в в вожу через терминал
А если некоторые любознательные просканировали ваш роутер из-за ната, то вы залочите и всех остальных хороших людей с того же ип. А нат сейчас много где.
Очень полезная презентация. Спасибо, что выложили.
16:04 а для блокировки UPD трафика разве не надо указывать protocol=udp ?
13:54 Выступающий говорит, что отключаем опцию "echo reply" , а в примере на слайде опция 8:0 это "echo request". На слайде правильно, а озвучили не верно.
ну оговорился человек, с каждым бывает
Тогда лучше вообще дроп олл, чтобы не светиться)
Очень, очень дельно!
23:58 - в RAW нет цепочки "Forward"
Чтобы поднять приоритет RDP трафика, достаточно: промаркировать соединение, по соединению маркировать пакеты, создать правило повышающее приоритет (по маркировке пакета). Нужно ли маркировать весь оставшийся трафик ?
Мороз и солнце день чудесный
Фаервол Микротика прелесный
Админ скорее просыпайся
РоутерОС ты не пугайся
Микрот для SOHO ты настрой
За дыры в ОСи ты не ной
Придёт обнова латышей
Скорей беги качай и шей
Мой красноглазый бедолага
Не плачь, читай и не ругайся
Микрот настроить тебе надо
Читай, настрой чтоб не ломался
И день прошёл и ночь прошла
И вновь беда к тебе пришла
Ddos тебя опять нашла
В сети закралась, не ушла
Тебя с работы в шею гнали
Ломали, били, унижали
В просак админ попал опять
И слёз от горя не унять
input отрезается 5ю правилами... если что инпут это цепочка защиты только роутера.
С открытими портами и попытками подбора...
Вспомнил анекдот как китайцы ломали сервер пентагона с паролем "Мао Дзедун"
А зачем делать ежедневные бэкапы с Микротика? Обычно достаточно одного бэкапа, до каких-либо изменений конфигурации. И одного бэкапа после изменений в конфигурации. Исходя из практики, очень редко что-то приходится перенастраивать или дополнять правила и т.д. И обычно в эти моменты бэкап и делается.
Если автоматизированно, то удобнее просто каждый день и вращать.
Вручную можно тупо забыть...
Огонь
На 49ой минуте говорится, что Микротик не может создавать папки и приводится сложный пример, как это можно обойти. Но ведь можно, используя Winbox перетащить мышкой из Windows заранее созданную папку, также как мы это делаем с файлами. Или я не правильно понял проблему?
А если нужно из скрипта чтобы папка автоматом создавалась? Смысл скрипта - уменьшить количество ручных операций, чтобы снизить влияние человеческого фактора.
Что удалось выяснить
есть два варианта запуска скрипта:
первый с ответа Sam Boldner - /system reset-configuration no-defaults=yes run-after-reset=.rsc
второй - /import file-name=....
нашел в скрипте некие нерабочие моменты: (проверял на прошивке - 6.45.6 (Stable))
в самом скрипте ошибка - раздел #Configuring backup
строка -
/tool e-mail send file=\"email_backup.backup\" to=\"\$BackupToEmail\" from=\"\$SMTPUser\" body=\"See attached file\" subject=\"\$[/system identity get name] \$[/system clock get time] \$[/system clock get date] Backup\";
\
должно быть -
/tool e-mail send file=\"email_backup.backup\" to=\"$BackupToEmail\" from=\"$SMTPUser\" body=\"See attached file\" subject=\"\$[/system identity get name] \$[/system clock get time] \$[/system clock get date] Backup\";
\
иначе переменные $BackupToEmail и "$SMTPUser не берутся из шапки
если в скрипте в шапке в разделе #CAPsMAN
#CAPsMAN guest service customize? (1 yes, 0 no)
:local CAPsMANGuestNetInstall 1;
поставить - 0 - скрипт не запускается
для запуска CAPsMAN на роутере где запущен скрипт в правила фаервола нужно добавить строку
;;; RealDefConf: allove CAP from LAN
chain=input action=accept src-address-type=local dst-address-type=local
log=no log-prefix=""
перед
;;; RealDefConf: drop all not coming from LAN
chain=input action=drop in-interface-list=!LAN log=no log-prefix=""
иначе не зупустится CAPsMAN в Wirelles
Спасибо автору, скрипт очень понравился, попробую добавлять в него по мере нахождения что то интересное
маленькое добавление для проверки работоспособности интернета
#Configuring Netwatch
:log info "Start Netwatch configured";
:do {
/tool netwatch add down-script="log warning \"internet propal\"" host=8.8.8.8 interval=30s up-script="log warning \"internet zarabotal\""
:log info "Netwatch settings created";
} on-error={:log error "Error Netwatch settings configured"};
Если есть возможность опишите как запустить этот скрипт
Положить файл на роутер, сбросить конфигурацию с параметром запуска этого скрипта:
/system reset-configuration no-defaults=yes run-after-reset=.rsc
О каком установщике для винды на 37 минуте идет речь?
CMAK
Топчик!
Спасибо!Много интересного услышал.
Есть замечание: слайд 24 : src-address-list="!NotTrapsIP"
Кавычка не там, нужно: src-address-list=!NotTrapsIP
В том же примере не понял как/где установить address-list-timeout=3d
Команду как есть микротик не принял
У Вас прошивка свежая? Синтаксис менялся где-то в районе 6.4 версии. У меня синтаксис address-list-timeout=12h на рабочих конфигах прекрасно загружается.
src-address-list="!NotTrapsIP" именно так делает экспорт сам микротик, поэтому и придерживаемся именно такого синтаксиса.
address-list-timeout параметр замечательно принимается в правилах файрвола. Возможно как заметили выше у вас старая прошивка
BOGON лучше блэкхолить в роутинге, а не резать файрволлом.
Вот нафига лектор в очередной раз рассказал, что надо делать маскарад в srcnat, имея при этом статический внешний адрес, который он предлагает даже добавить в addres-list?
А зачем запрещать echo reply ICMP в цепочке INPUT? Чтобы пинги с роутера уходили, но нам ответить не могли?
23:13 Мы блокируем входящие новые соединения, а не установленные. Значит chain=input connection-state=new
23 слайд не принимает код выдает ошибку версия прошивки последняя 6.47.1, ошибка ( syntax error (line 1 column 140)
) можете подсказать что не так код в в вожу через терминал
Много спорных моментов
А если некоторые любознательные просканировали ваш роутер из-за ната, то вы залочите и всех остальных хороших людей с того же ип. А нат сейчас много где.
Именно так. Проблемы негров шерифа не волнуют.
Это ж не публичный ресурс.
Но если в вашем случае это недопустимо - не используйте этот метод.
Слабовато! Это все для end users