P
Скиньте пожалуйста пример правила
Size: a a a
2020 March 26
B
Скиньте пожалуйста пример правила
/ip firewall filter
add action=drop chain=forward comment="" connection-nat-state=!dstnat in-interface-list=WAN out-interface-list=LAN
add action=drop chain=forward comment="" connection-nat-state=!dstnat in-interface-list=WAN out-interface-list=LAN
P
Ок. Попробую применить к своему fw
SR
Можете более конкретно сформулировать вопрос? Dns, прописан руками в одноименной вкладке и назначается принудительно.
я к тому, что нет никакого смысла делать проверку на несуществующий сервис, нужно дропать все за исключением установленных соединений и ds-nat как и написал Bomberman
P
По поводу брута ssh на 22 и winbox на 8291...
P
На wiki mikrotika, есть пример правил для этой ситуации.
SR
управление не должно торчать наружу, или делайте белые списки на доступ к управлению или ВПН
P
Sergey R.
управление не должно торчать наружу, или делайте белые списки на доступ к управлению или ВПН
Можно и порты поменять и т.д.
P
Я к чему....
P
Первое правило там drop все что приходит на порт 22 или 8291.
P
Потом идут stage 1..2..3.
P
С срц-листами
R
Хватит флудить! Prostochel_11336699 потерял голос на 10 минут!
SR
пару лет назад такие правила не спасли тысячи маршрутизаторов от взлома, сделайте по белым спискам или ВПН и будете спать относительно спокойно
P
С срц-листами
Так вот...) Потом accept. Если по логике firewall правила применяются с верху вниз, то зачем нужно дропать сразу пакет на dst?
P
И дальше их засовывать в stage и срц лист с таймаутом
P
Если они дропаются, то получается фаерволл смотрит на состояние соединения или на марк пакета?
P
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \ comment="drop ssh brute forcers" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new \ src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=10d comment="" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new \ src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \ address-list-timeout=1m comment="" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \ action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \ address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no
F
Народ, подскажите как к компьютера постучаться по портам? (3-4 порта последовательно)
Желательно через командную строку
Желательно через командную строку
C
Ок. Попробую применить к своему fw
Используйте стандартный firewall он для многих подойдёт. Добавить интерфейс листы своими интерфейсами только.
https://t.me/mikrotikclub/143660
https://t.me/mikrotikclub/143660