Size: a a a

2018 January 18

М

Максат in MikrotikRu.Wiki
Алерт в телегу о входе на тик
источник

М

Максат in MikrotikRu.Wiki
источник
2018 January 21

С

Сергей in MikrotikRu.Wiki
источник
2018 January 24

С

Сергей in MikrotikRu.Wiki
источник

С

Сергей in MikrotikRu.Wiki
источник
2018 February 01

༼ つ ◕_◕ ༽つ in MikrotikRu.Wiki
http://tikdis.com/mikrotik-routeros/configurating-routeros/vpn/

различные типы vpn для разных клиентов в одном артикле
источник
2018 February 06

С

Сергей in MikrotikRu.Wiki
источник
2018 February 28

ST

Sergiy Tretyak in MikrotikRu.Wiki
ru.wikibooks.org/wiki/Iptables
#iptables #firewall #netfilter #russian
Рускоязычный мануал по iptables и netfilter . Сам линк предоставил Vladimir Prislonsky
источник
2018 March 01

С

Сергей in MikrotikRu.Wiki
источник
2018 March 14

ST

Sergiy Tretyak in MikrotikRu.Wiki
#script #scripts #variable
Иногда надо выполнить код содержащийся в переменной. Конечно можно ее вывести в срипт,  и выполнить этот скрипт. Но есть намного более простой метод. Оказывается в микротике есть команда :parse .Синтаксис приблизительно такой
:global fyncc [:parse "/ip firewall nat export"]      
$fyncc
Тоесть мы переменной присваиваем значение в которое парсим команду. А потом просто вызываем эту переменную в нужном месте
источник
2018 March 15

С

Сергей in MikrotikRu.Wiki
Итак, друзья, я тут начал раскуривать фаервольную фичу TLS-Host. Оказалась, работает она довольно просто. С её помощью действительно можно блочить https-сайты. Но обо всём по порядку.
1) До установки защищённого соединения сначала нужно установить просто TCP-сессию. Это делается тремя пакетами с флагами [syn], [syn,ack], [ack].
2) После того, как tcp-сессию установили, нужно установить защищённое соединение. Клиент посылает на сервер TLS-Hello. И этот пакет нешифрованный. В нём содержится поле server name, которое и анализируется данным матчером. Получается, мы должны ловить четвёртый пакет в соединении. Пакет идёт ОТ клиента.
3) Исходя из вышесказанного, ловить эти пакеты нужно ДО правила, принимающего установленные соединения, потому что даже пакет [syn,ack] уже будет считаться established, и дальше проверяться не будет.
Ниже, на базе дефолтного конфига, сделанный мною пример с джампом, который первые три килобайта tcp-сессии на 443й порт будет проверять по отдельной цепочке. Собственно, это готовое решение, только модифицируйте под свои нужды цепочку tls-filter путём добавления туда правил с нужными tls-hosts.
И последнее: *.vk.com НЕ ЛОВИТ сам vk.com, а только поддомены, поэтому не забывайте дублировать правило без вайлдкарта. Короче, изучите пример и используйте;
https://pastebin.com/xP50jejc
источник
2018 March 19

С

Сергей in MikrotikRu.Wiki
источник
2018 March 25

А

Антон Курьянов in MikrotikRu.Wiki
источник
2018 April 26

С

Сергей in MikrotikRu.Wiki
источник
2018 May 06

M

Mikhail in MikrotikRu.Wiki
А по существу.
Есть бессмысленные вещи типа:
add chain=output action=accept out-interface=ether1 comment="accept everything to internet"
add chain=output action=accept out-interface=ether1 comment="accept everything to non internet"
add chain=output action=accept comment="accept everything"


Есть бессмысленные на мой взгляд:
#Loopback и так в форвард не попадут.
add chain=forward src-address=127.0.0.0/8 action=drop
add chain=forward dst-address=127.0.0.0/8 action=drop
# multicast не будет форвардится без IGMP proxy или PIM
add chain=forward dst-address=224.0.0.0/3 action=drop


Часть - неполный набот BOGON сетей:
add chain=forward src-address=0.0.0.0/8 action=drop
add chain=forward dst-address=0.0.0.0/8 action=dropadd chain=forward src-address=224.0.0.0/3 action=drop


А есть интересные идеи:
Разделение tcp и udp по отдельным цепочкам. Вообще сегментация больших наборов однородных правил интересно с точки зрения оптимизации производительности. Хотя именно в фильтре это крохоборство. IMHO

Кстати фильтровать в форварде порты, при наличии NAT это странно и неоптимально. Хотя всё от задач зависит. Может это файрвол магистрального роутера, а не пограничного.
источник

М

Максат in MikrotikRu.Wiki
Подтверждаю!
Для обсуждения есть следующие чаты:
@mikrotikclub
@mirotikru
@pro_mikrotik
источник

B

B in MikrotikRu.Wiki
t.me/miktrain ещё этот забыл
источник
2018 May 08

С

Сергей in MikrotikRu.Wiki
источник
2018 May 18

ЮУ

Юрий У in MikrotikRu.Wiki
#DNS inject
#/Ловит пакет dns query содержащий домен loc:   loc.ru, ru.loc, aaa.loc.ru, loc.google.com
#/Не попадут  loco.domain.ru или eloc.domain.ru, www.loco.ru, www.domain.loco
/ip firewall layer7-protocol add name=DNS-LOC-Intercept regexp="\\x03loc"

/ip firewall mangle
add chain=prerouting protocol=udp dst-port=53  layer7-protocol=DNS-LOC-Intercept
#/ src-address=<IP for Intercept>  OR in-interface=<ether for Intercept>
log=yes action=mark-connection new-connection-mark=DNS-Request passthrough=no

#/Пакет перенаправляется на корпоративный DNS
#/Src подменяется, чтобы ответ DNS сервера вернулся обратно на микротик
/ip firewall nat
add action=src-nat chain=srcnat connection-mark=DNS-Request to-addresses=<mikrotikIP>
add action=dst-nat chain=dstnat connection-mark=DNS-Request to-addresses=<corporateDNS>
источник

AK

Andrey K in MikrotikRu.Wiki
недостаточно хороший вариант
1) зачем натить?
2) DNS обычно как минимум 2, по числу КД, нужно же чтобы всё оставалось рабочим если один из них отключить
источник