RouterOS и mikrotik

81 posts in this topic

ruvhell, благодарю за отклик!

Какие сервисы (порты) обязательно на практике оставлять открытыми и какими именно правилами. (in/out/forw)

...

IP серый, потому лично у меня заморочек с настройками в деталях для белых адресов нет.

Тогда -- нужно закрыть все порты без исключения.

Причина простая: если IP серый, то из интернета Ваш комп не видно, и поэтому открытый порт никакой пользы по хозяйству лично Вам не принесет. Использовать его Вы все равно никак не сможете.

Но если оставить порты открытыми -- то через них к Вам будут пытаться залезть всевозможные "куль-хацкеры" изнутри сети онлайм, а также вирусы, боты и прочая шелупонь. Тоже изнутри онлайма.

Возможно, кому-то это удастся, а Вам зачем проблемы?

 

Закрывайте всё.

0

Поделиться этим ответом


Link to post
Share on other sites
Тогда -- нужно закрыть все порты без исключения.

 

Благодарю за Ваше наблюдение.

 

У Mikrotik есть штатная возможность удаленного управления с плавающих IP (в данном случае мне эта функция важна). Так же обязательно должно работать Teamviewer для подключения извне.

И если полностью закрыть весь вход - IPTV приставка, подключенная на switch mikrotik, не будет работать :).

Возможно, так же будут проблемы с входящими соединениями torrent - это я уже не проверял.

0

Поделиться этим ответом


Link to post
Share on other sites
У Mikrotik есть штатная возможность удаленного управления с плавающих IP (в данном случае мне эта функция важна). Так же обязательно должно работать Teamviewer для подключения извне.

А как Вы вообще собираетесь подключаться к приватному адресу? Если Вам важна возможность подключения снаружи-- адрес должен быть публичным (при этом не важно, статическим или, как Вы говорите, "плавающим").

 

И если полностью закрыть весь вход - IPTV приставка, подключенная на switch mikrotik, не будет работать :).

Почему?

Если она работает у Вас сейчас -- то она работает отнюдь не благодаря тому, что порты открыты.

 

Возможно, так же будут проблемы с входящими соединениями torrent - это я уже не проверял.

Конечно будут -- но закрытые порты здесь ни при чем. У Вас ПРИВАТНЫЙ адрес, а в онлайме нет ретрекера, чтобы Вашу раздачу мог кто-нибудь находить извне онлайма. Поэтому при закрытых портах хуже, чем сейчас, у Вас точно не будет.

Изменено пользователем blH
0

Поделиться этим ответом


Link to post
Share on other sites
Не надо отсутствие собственного интереса транслировать сразу на всех и навсегда. Например, в случае коттеджных поселков это может быть интересным. Там обычно оптикой разводят... и вместо медиаконвертора с роутером вполне разумно использовать единичные устройства с sfp. Кроме того, мгтс уже озаботилась вопросом возможности использования в их новомодном GPON на стороне клиента SFP модулей с функцией ONT и совместимостью с их существующим OLT оборудованием...

 

Причем здесь мой собственный интерес? мне вообще по барабану на микротик и его продукцию.

 

sfp пропускная способность 1.2гиг. - какой смысл тратиться на очень дорогостоящую оптику, если у тебя на роутере гигабитные порты и так присутствуют?

 

что вы разведете оптикой в коттедже пусть даже у вас он 1000кв метров? :D

 

и причем здесь коттедж поселки? вы кто?

владелец коттеджа или продавец котеджного поселка, которому нужно впарить построенные и никому не нужные дома втридорога?

 

если последнее, то тогда понятно. тока не понятно все равно нахрена вам микротик и sfp, котеджный поселок эконом-класса я правильно понимаю?

 

будете 500 метров оптики тянут между двумя роутерами? НАХРЕНА???

роутер в режим бриджа поставить да еще при прямой видимости да еще на даче судьба чтоль не позволяет?

 

конечно можно извращенцам всегда найти какое-нибудь применение. никто не спорит.

так тогда и говорите "продукция для извращенцев ноу хоме-юзеров". :)

 

вот с такой формулировкой полностью согласен.

Изменено пользователем wwwwwwwww
0

Поделиться этим ответом


Link to post
Share on other sites
Причем здесь мой собственный интерес? мне вообще по барабану на микротик и его продукцию.

 

И я о том же. Говоря, что Вам по барабану - как раз и есть отсутствие интереса. Вот только не надо свое отношение транслировать на всех.

 

какой смысл тратиться на очень дорогостоящую оптику, если у тебя на роутере гигабитные порты и так присутствуют?

"Очень дорогостоящая" - поинтересуйтесь ценами. Будете удивлены... у оптики проблема не в ее цене, а в потребности в квалифицированном персонале и оборудовании для ее сварки. Ну и что Вам дадут эти гигабитные порты, если вспомнить про ограничение в 100 метров для медной витой пары? Как будете ограничение преодолевать в условиях поселка? Вот если бы вопрос стоял о прокладке оптики в квартиры в условиях города - тут я бы полностью согласился с тем, что медь разумнее.

 

что вы разведете оптикой в коттедже пусть даже у вас он 1000кв метров? :D

 

и причем здесь коттедж поселки? вы кто?

владелец коттеджа или продавец котеджного поселка, которому нужно впарить построенные и никому не нужные дома втридорога?

 

если последнее, то тогда понятно. тока не понятно все равно нахрена вам микротик и sfp, котеджный поселок эконом-класса я правильно понимаю?

 

Кто говорил о прокладке оптики внутри домов? Вы что-то опять себе придумываете... И опять фантазируете про то, что это никому не нужно исходя из отсутствия интереса у себя лично. Не нравится коттеджный поселок - рассмотрите обычную деревню. Или Вы считаете, что в деревне никогда не будет нужен скоростной интернет?

 

будете 500 метров оптики тянут между двумя роутерами? НАХРЕНА???

роутер в режим бриджа поставить да еще при прямой видимости да еще на даче судьба чтоль не позволяет?

Протяните медную пару на 500 метров к своему гигабитному порту :) Только потом не удивляйтесь... Про бридж и прямую видимость я что-то совсем не понял... имеете ввиду использование WiFi для покрытия территории? Можно, но высоких скоростей не получите, особенно в условиях большого числа домов. Радиодиапазон не резиновый. К тому же такой проект потребует согласования в ГКРЧ, что вносит дополнительный гимор.

 

конечно можно извращенцам всегда найти какое-нибудь применение. никто не спорит.

так тогда и говорите "продукция для извращенцев ноу хоме-юзеров". :)

 

вот с такой формулировкой полностью согласен.

Ну да, конечно, один Вы правильный подход имеете :)

 

0

Поделиться этим ответом


Link to post
Share on other sites
Благодарю за Ваше наблюдение.

 

У Mikrotik есть штатная возможность удаленного управления с плавающих IP (в данном случае мне эта функция важна). Так же обязательно должно работать Teamviewer для подключения извне.

И если полностью закрыть весь вход - IPTV приставка, подключенная на switch mikrotik, не будет работать :).

Возможно, так же будут проблемы с входящими соединениями torrent - это я уже не проверял.

parafeel, в Вашем случае приватного адреса на внешнем интерфейсе вообще можно не настраивать firewall. Ну если уж совсем включить паранойю на предмет возможного доступа с приватных адресов онлайма, как писал ЫН, то можно это решить не настройками firewall, а правилами доступа к сервисам микротика в меню IP-Services-Available from - впишите туда адрес своей внутренней сети. Никаких других портов на микротике открыто не будет, кроме тех, что на нем открыты для его управления. Вот и ограничите к ним доступ. Если, конечно, сами что-то не будете настраивать в NAT. Но в такой настройке нет никакого смысла из-за приватного адреса. Заодно там же поотключайте все ненужное в сервисах. Обычно достаточно оставить winbox и ssh.

 

Для Teamviewer вообще без разницы какой у Вас внешний адрес и какие порты открыты. Он работает не напрямую, а через сервер Teamviewer. Управляемый комп сам обращается к этому серверу и поддерживает соединение. Получить доступ извне к ресурсам своей сети напрямую (включая и сам микротик) с приватным адресом не представляется возможности в принципе. Но если надо - держите какой-нибудь комп внутри своей сети постоянно включенным и через Teamviewer заходите на него и уже с него на другие требуемые ресурсы в своей сети.

 

Если все же хотите настроить firewall, то в Вашем случае это будет выглядеть примерно так:

 

Сначала пара правил drop на invalid соединения как для forward, так и для input - просто убиваете некоректные соединения.

Потом аналогично пара правил на соединения established (установленные), но уже accept - разрешаете трафик соединений, инициированных из Вашей сети.

Еще пара аналогичных правил, но вместо established выбираете related - связанные соединения.

Правило разрешающее доступ изнутри в интернет для хостов Вашей сети. forward-src.address (ваша сеть)-out interface-accept

Правило, разрешающее доступ к микротику для управления им - input-src.address (ваша сеть)-accept

Ну и в заключение - пара правил drop как для forward, так и для input для всего остального, что не прошло через разрешенные правила.

Все!

 

Готовые команды не писал специально, чтобы Вы сами поняли что к чему и научились самостоятельно настраивать. Будьте готовы к тому, что где-то что-то запретите лишнего и вообще потеряете доступ к управлению микротиком. Придется тогда его ресетить и начинать всю настройку сначала.

 

 

0

Поделиться этим ответом


Link to post
Share on other sites
Готовые команды не писал специально, чтобы Вы сами поняли что к чему и научились самостоятельно настраивать. Будьте готовы к тому, что где-то что-то запретите лишнего и вообще потеряете доступ к управлению микротиком. Придется тогда его ресетить и начинать всю настройку сначала.

 

adav, благодарю за консультацию по firewall!

0

Поделиться этим ответом


Link to post
Share on other sites
Ну если уж совсем включить паранойю на предмет возможного доступа с приватных адресов онлайма, как писал ЫН,

Вот только это не паранойя ни разу, к сожалению. Это я Вам как ГлавВрач Кащенки говорю, со всей ответственностью тобишь. Это сегодня -- реальная жизнь. Такова селяви, как сказали бы французы.

Сейчас в онлайме леко можно найти порядка 400 подключенных к нему зараженных компьютеров (в реальности их даже больше, так как помимо 400 известных спамерских публичных айпи есть еще очень много приватных айпишников, которые вообще никакому учету не поддаются), с которых может происходить все что угодно. И спам рассылается, и сетка брутфорсится, и.... и вообще все что угодно.

 

Поэтому кто не хочет проблем -- ДОЛЖЕН закрыть все ненужные порты (а на приватном адресе -- вообще все порты, поскольку там не нужен ни один)

Изменено пользователем blH
0

Поделиться этим ответом


Link to post
Share on other sites
Вот только это не паранойя ни разу, к сожалению. Это я Вам как ГлавВрач Кащенки говорю, со всей ответственностью тобишь. Это сегодня -- реальная жизнь. Такова селяви, как сказали бы французы.

Сейчас в онлайме леко можно найти порядка 400 подключенных к нему зараженных компьютеров (в реальности их даже больше, так как помимо 400 известных спамерских публичных айпи есть еще очень много приватных айпишников, которые вообще никакому учету не поддаются), с которых может происходить все что угодно. И спам рассылается, и сетка брутфорсится, и.... и вообще все что угодно.

 

Поэтому кто не хочет проблем -- ДОЛЖЕН закрыть все ненужные порты (а на приватном адресе -- вообще все порты, поскольку там не нужен ни один)

 

Ничего не могу сказать про опасности при приватном адресе на внешнем интерфейсеот других хостов в той же приватной сети онлайм. Просто потому, что никогда такого не имел. Но есть у меня сомнения, что такая возможность доступа внутри приватной сети хостов друг к другу в онлайме открыта.

 

Касаемо публичных адресов... не пугайте Вы народ умными словами, на самом деле тут тоже не так уж все и страшно. Ну каким образом будет осуществлен доступ к внутреннему компу за NAT роутера? Сам NAT уже является таким барьером. Опасность представляется только для самого роутера и для тех портов, которые пользователь САМ (!!!) транслировал в NAT. Поэтому ограничив доступ к управлению роутером (хотя бы как я выше написал) Вы уже фактически защитите свою сеть. Но все меняется когда открываете какие-либо порты для собственного доступа снаружи. Тут уж надо быть внимательными и включать голову. Ограничивать доступность определенными внешними сетями, менять номер порта со стандартного на нестандартный, использовать защиту от сканирования портов и тд. Например, сканирование портов - вполне рядовое занятие и происходит регулярно. Чаще всего почему-то с чикагских адресов. Ну так они сразу и уходят в бан автоматом. Также часто идут запросы на стандартные порты, например vpn, но брутфорса не засекал ни разу. Только попытки использования стандартных паролей по умолчанию. Если ставите астериск и открываете 5060 порт - готовтесь к паломничеству на него :) Ну это и понятно - тут интерес хорошо заработать... так не используйте этот порт, используйте нестандартный - ситуация резко изменится. Очень внимательно относитесь к готовым рецептам, например:

 

Настройка Firewall в Mikrotik RouterOS

дается готовый рецепт. Но есть там такой совет:

 

Разрешаем UDP протокол для цепочек input и forward, командами:

 

add chain=input protocol=udp action=accept comment=”Allow UDP”

Уж не знаю, сознательно ли автор оставил эту дыру или сам где-то передрал, но такое правило приведет к возможности отвечать роутеру на внешние DNS запросы. Вашей сети ничего при этом не угрожает, просто появится возможность злоумышленнику использовать Ваш роутер для DDOS атак на другие хосты в интернете, делая поддельные DNS запросы с перенаправлением на нужный хост. Ну и забивать часть Вашего канала. Сам как-то на это попал, но быстро обнаружил, заметив странный трафик наружу с роутера. Причем на какой-то наркоманский форум :) В принципе атака на такой ресурс - дело благое, но я предпочел чтобы это делали без меня...

 

Вообщем, как только Вы захотели что-то открыть наружу - учитесь понимать что происходит и для чего надо что-либо ставить в настройках. Удачи всем! :)

0

Поделиться этим ответом


Link to post
Share on other sites
Ничего не могу сказать про опасности при приватном адресе на внешнем интерфейсе от других хостов в той же приватной сети онлайм. Просто потому, что никогда такого не имел. Но есть у меня сомнения, что такая возможность доступа внутри приватной сети хостов друг к другу в онлайме открыта.

Разумеется, открыта. У провайдера нет ни желания, ни возможности их закрывать.

Попробуйте для разнообразия заглянуть на http://onlime.rymsho.ru и если Вы вдруг там увидите что-то более осмысленное, чем "адрес недоступен" (а точнее -- мою файлопомойку и файлопомойку моего отпрыска, к которой он вполне может обращаться, находясь через квартал от меня на противоположной стороне улицы) -- значит, Вы являетесь абонентом онлайма и таки получили доступ к веб-серверу, находящемуся сейчас аккурат на приватном адресе 10.233.238.158 (что можно легко проверить командой nslookup) Там, кстати, и скорость доступа к ней будет до 100 мегабит, так что если что понравится -- пользуйтесь на здоровье.

 

Касаемо публичных адресов... не пугайте Вы народ умными словами, на самом деле тут тоже не так уж все и страшно. Ну каким образом будет осуществлен доступ к внутреннему компу за NAT роутера? Сам NAT уже является таким барьером. Опасность представляется только для самого роутера и для тех портов, которые пользователь САМ (!!!) транслировал в NAT.

Что тут можно сказать... в Индии по этому поводу говорят "глупый теленок не боится тигра". Большинство атак в Сети осуществляется именно на роутеры, поскольку получив от них пароль -- можно легко попасть на любой компьютер, стоящий за ним. А уж если роутер достаточно умный и в нем в качестве прошивки стоит что-то наподобие WRT (а микротик, к слову -- это ОЧЕНЬ умный роутер), то на нем с помощью ssh можно извне вытворять прямо-таки потрясающие вещи. О которых широкому кругу пользователей мало что известно, но кому надо -- те в курсе. Например, получив всего-навсего рутовый пароль от роутера -- Вы легко сможете сканировать любой порт на любом компьютере в защищаемой им сети Да так ловко, что в логах этого компьютера и следов Вашей деятельности может не остаться, если логирование неправильно настроено...Если Вы ОЧЕНЬ ВДУМЧИВО ознакомитесь с опциями -L и -R команды ssh -- то поймете, какой мощной отмычкой они могут являться в умелых руках.

 

Вообщем, как только Вы захотели что-то открыть наружу - учитесь понимать что происходит и для чего надо что-либо ставить в настройках. Удачи всем! :)

А вот с этой правильной мыслью я могу только согласиться.

Изменено пользователем blH
0

Поделиться этим ответом


Link to post
Share on other sites
Разумеется, открыта. У провайдера нет ни желания, ни возможности их закрывать.

Попробуйте для разнообразия заглянуть на http://onlime.rymsho.ru и если Вы вдруг там увидите что-то более осмысленное, чем "адрес недоступен" (а точнее -- мою файлопомойку и файлопомойку моего отпрыска, к которой он вполне может обращаться, находясь через квартал от меня на противоположной стороне улицы) -- значит, Вы являетесь абонентом онлайма и таки получили доступ к веб-серверу, находящемуся сейчас аккурат на приватном адресе 10.233.238.158 (что можно легко проверить командой nslookup) Там, кстати, и скорость доступа к ней будет до 100 мегабит, так что если что понравится -- пользуйтесь на здоровье.

 

Мне не доступно, хоть и клиент онлайм. Правда не с приватным адресом. Как я уже говорил, не имею опыта пользования приватного адреса. Если у Вас с отпрыском такое работает - значит в онлайме доступ с приватных адресов друг к другу открыт. Хотя, может быть это относится только к Вашей подсети, а к другим подсетям приватных адресов Вы доступ уже не получите. Просто Вам повезло оказаться с отпрыском в одной подсети. Кстати, с какой маской выдает онлайм приватные адреса? Наверняка все же не всем в одну подсеть на весь город.

 

Что тут можно сказать... в Индии по этому поводу говорят "глупый теленок не боится тигра". Большинство атак в Сети осуществляется именно на роутеры, поскольку получив от них пароль -- можно легко попасть на любой компьютер, стоящий за ним. А уж если роутер достаточно умный и в нем в качестве прошивки стоит что-то наподобие WRT (а микротик, к слову -- это ОЧЕНЬ умный роутер), то на нем с помощью ssh можно извне вытворять прямо-таки потрясающие вещи. О которых широкому кругу пользователей мало что известно, но кому надо -- те в курсе. Например, получив всего-навсего рутовый пароль от роутера -- Вы легко сможете сканировать любой порт на любом компьютере в защищаемой им сети Да так ловко, что в логах этого компьютера и следов Вашей деятельности может не остаться, если логирование неправильно настроено...Если Вы ОЧЕНЬ ВДУМЧИВО ознакомитесь с опциями -L и -R команды ssh -- то поймете, какой мощной отмычкой они могут являться в умелых руках.

 

Ну на счет "легко получить" Вы это сильно загнули :) Ничего "потрясающего" Вы за роутером не сделаете, если, конечно, хозяин не оставил там все без парольной защиты. Ну посканируете, узнаете, что там что-то есть... и на этом успокоитесь. Ну а если Вам вдруг "повезло" и Вы нашли в сети открытый роутер с паролем по умолчанию (кстати, далеко не редкость), залезли на него и обнаружили с него открытые виндовые шары с приватными фотками - то доблести в этом немного. Просто повезло найти какую-нибудь домохозяйку, у которой нет никакого опыта защиты. Ну и какая с этого радость? И что там интересного можно найти? И кому это надо, кроме прыщавого подростка для самоутверждения? Вот взлом астериска - это совсем другое дело, тут уже деньгами пахнет... или возможность использования Вашей сети для атак на интересные кому-то ресурсы... Насколько я помню, Вы ратуете за использование медленных каналов от провайдера, к тому же сидите за приватным адресом, астериском, скорее всего, не пользуетесь. Ну и какой интерес может быть у недоброжелателя к Вашим ресурсам? Даже для DDOS Ваш медленный канал малоценен :) Это как с неуловимым Джо, которого никто не ловит...

0

Поделиться этим ответом


Link to post
Share on other sites
Мне не доступно, хоть и клиент онлайм. Правда не с приватным адресом. Как я уже говорил, не имею опыта пользования приватного адреса. Если у Вас с отпрыском такое работает - значит в онлайме доступ с приватных адресов друг к другу открыт. Хотя, может быть это относится только к Вашей подсети, а к другим подсетям приватных адресов Вы доступ уже не получите. Просто Вам повезло оказаться с отпрыском в одной подсети.

Спасибо за ценную информацию.

Всегда приятно получить новое знание об организации сети провайдера. У ребятенка вроде тоже публичный адрес, так что дело здесь, видимо, в другом. В территориальной разнесенности.

 

Кстати, с какой маской выдает онлайм приватные адреса? Наверняка все же не всем в одну подсеть на весь город.

Нет конечно.

Маска у меня /19 -- что, в общем-то, тоже весьма неплохо. Хотя на весь город и не тянет, 8 тыщ адресов всего сеточка.

 

Ну на счет "легко получить" Вы это сильно загнули :) Ничего "потрясающего" Вы за роутером не сделаете, если, конечно, хозяин не оставил там все без парольной защиты. Ну посканируете, узнаете, что там что-то есть... и на этом успокоитесь.

Это сильно зависит от навыка.

Вы почитайте, почитайте про ssh -L (-R) -- только не кратенький ман, а что-нибудь более лирически-беллетристическое.

 

Ну а если Вам вдруг "повезло" и Вы нашли в сети открытый роутер с паролем по умолчанию (кстати, далеко не редкость), залезли на него и обнаружили с него открытые виндовые шары с приватными фотками - то доблести в этом немного. Просто повезло найти какую-нибудь домохозяйку, у которой нет никакого опыта защиты. Ну и какая с этого радость? И что там интересного можно найти? И кому это надо, кроме прыщавого подростка для самоутверждения?

Вы это на полном серьезе?

Вообще-то, домохозяек ломают не для того, чтобы что-то интересное у них взять -- а наоборот, для того, чтобы что-то интересное им положить. Я ж говорю, в одном только онлайме мне известны аж 400 адресов, с которых рассылается спам -- и в реальности их намного больше. Это -- ОЧЕНЬ серьезный бизнес (уж точно не для прыщавых подростков), и весьма значительная его часть именно на таких домохозяйках и держится, которые при этом сами могут и не в курсе событий быть.

 

Вот взлом астериска - это совсем другое дело, тут уже деньгами пахнет... или возможность использования Вашей сети для атак на интересные кому-то ресурсы... Насколько я помню, Вы ратуете за использование медленных каналов от провайдера, к тому же сидите за приватным адресом, астериском, скорее всего, не пользуетесь. Ну и какой интерес может быть у недоброжелателя к Вашим ресурсам? Даже для DDOS Ваш медленный канал малоценен :) Это как с неуловимым Джо, которого никто не ловит...

Кстати, об астериске (которым я с удовольствием пользуюсь). Тот же SSH позволяет снимать все, что плохо лежит, с 5060-го (как, впрочем, и любого другого) порта где-нибудь за роутером -- и перенаправлять это содержимое на 5060 порт (как, впрочем, и на любой другой) куда-нибудь еще. И наоборот. И вообще практически в любой комбинации, хоть из-за NAT-а в другой NAT

А то как Вы думаете, я еще свой астериск пользую когда не дома? Где-то есть левый комп, на котором на 5060 и прочих портах ничего не лежит, но зато они открыты -- и поэтому их содержимое сразу оказывается на моем домашнем сервере.

0

Поделиться этим ответом


Link to post
Share on other sites
...

Интересны конкретные настройки firewall

...

Дождусь 3-4 ноября, когда у вас появится время после отпуска :).

 

...

Где PPTP интерфейс PPTP для серфинга блокируемых сайтов

Где YYY порт web интерфейса

Где XXX.XXX.XXX.0/24 - домашняя сеть, например 192.168.0.0

интернет подключен в первый интерфейс ether1-gateway

так же выкинул несколько правил для: RDP, кастомные под оборудование (например запрещающие слежку моего смарт тв) и тд

/ip firewall filter
[b]# Drop invalid connections[/b]
add action=drop chain=forward comment="Drop invalid connections" \
    connection-state=invalid
add action=drop chain=input connection-state=invalid

# drop ssh brute forcers

add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
    protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp

# drop ftp brute forcers

add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 \
    protocol=tcp src-address-list=black_list
add action=add-src-to-address-list address-list=black_list \
    address-list-timeout=1d chain=input connection-state=new dst-port=21 \
    protocol=tcp src-address-list=ftp_stage3
add action=add-src-to-address-list address-list=ftp_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=21 \
    protocol=tcp src-address-list=ftp_stage2
add action=add-src-to-address-list address-list=ftp_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=21 \
    protocol=tcp src-address-list=ftp_stage1
add action=add-src-to-address-list address-list=ftp_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=21 \
    protocol=tcp

# drop drop telnet brute forcers

add action=drop chain=input comment="drop telnet brute forcers" dst-port=23 \
    protocol=tcp src-address-list=black_list
add action=add-src-to-address-list address-list=black_list \
    address-list-timeout=1d chain=input connection-state=new dst-port=23 \
    protocol=tcp src-address-list=telnet_stage3
add action=add-src-to-address-list address-list=telnet_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=23 \
    protocol=tcp src-address-list=telnet_stage2
add action=add-src-to-address-list address-list=telnet_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=23 \
    protocol=tcp src-address-list=telnet_stage1
add action=add-src-to-address-list address-list=telnet_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=23 \
    protocol=tcp

# drop Winbox brute forcers

add action=drop chain=input comment="drop Winbox brute forcers" dst-port=8291 \
    protocol=tcp src-address-list=black_list
add action=add-src-to-address-list address-list=black_list \
    address-list-timeout=1d chain=input connection-state=new dst-port=8291 \
    protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=wWinbox_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
    protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=wWinbox_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
    protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
    protocol=tcp

# drop port scanners

add action=drop chain=input comment="port scanners" src-address-list=\
    "port scanners"
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input protocol=tcp tcp-flags=\
    fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input protocol=tcp tcp-flags=\
    fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input protocol=tcp tcp-flags=\
    fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input protocol=tcp tcp-flags=\
    !fin,!syn,!rst,!psh,!ack,!urg

# Drop 80 DoS attack

add action=drop chain=input comment="Drop 80 DoS attack" dst-port=YYY \
    protocol=tcp src-address-list=web_blacklist
add action=add-src-to-address-list address-list=web_blacklist \
    address-list-timeout=2d chain=input connection-limit=40,32 dst-port=YYY \
    limit=20,5 protocol=tcp
add chain=input dst-port=YYY in-interface=ether1-gateway protocol=tcp \
    src-address-list=!web_blacklist

# PPTP

add chain=forward comment=PPTP out-interface=pptp
add chain=output out-interface=pptp
add chain=forward in-interface=pptp
add chain=input in-interface=pptp

# Drop goverment - блокировка входящего трафика предназначенного для роутера и генерируемого самим роутером на адреса из списка goverment

add action=drop chain=input comment=goverment in-interface=ether1-gateway \
    src-address-list=goverment
add action=drop chain=output dst-address-list=goverment

# r00t backdor блокировка "для подстраховки" backdor'а к-й вшивают в азии?

add action=drop chain=output comment="r00t backdor" dst-address=218.93.250.18
add action=drop chain=input dst-address=218.93.250.18
add action=drop chain=forward dst-address=218.93.250.18
add action=drop chain=input src-address=218.93.250.18
add action=drop chain=output src-address=218.93.250.18
add action=drop chain=forward src-address=218.93.250.18

# accept from local to internet разрешаем все для внутренней сетки

add chain=forward comment="accept from local to internet" in-interface=\
    !ether1-gateway out-interface=ether1-gateway

# Access to Mikrotik only from our local network разрешаем доступ к роутеру из внутренней сетки

add chain=input comment="Access to Mikrotik only from our local network" \
    in-interface=!ether1-gateway src-address=XXX.XXX.XXX.0/24

# Accept established connections

add chain=forward comment="Accept established connections" connection-state=\
    established
add chain=input connection-state=established

# Accept related connections

add chain=input comment="Accept related connections" connection-state=related
add chain=forward connection-state=related

# Allow Ping/b] disabled=yes - означает что роутер могут пинговать из вне, правило выключено.

add chain=input comment="Allow Ping" disabled=yes protocol=icmp
add chain=forward protocol=icmp

# BOGON

add action=drop chain=input comment=BOGON in-interface=ether1-gateway \
    src-address-list=BOGON

# All other drop

add action=drop chain=forward comment="All other drop" src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=drop chain=input
add action=drop chain=forward

 

 

помойка из layer7 - почти не использую в дереве

 

/ip firewall layer7-protocol
add name=Skype regexp="^..\\\\x02............."
add name=radmin regexp="^\\\\x01\\\\x01(\\\\x08\\\\x08|\\\\x1b\\\\x1b)\\\$"
add name=rdp regexp="rdp\\r\\\\nrdpdr.*cliprdr.*rdpsnd"
add name=http regexp="http/(0\\.9|1\\.0|1\\.1) [1-5][0-9][0-9] [\\x09-\\x0d \
    \96~]*(connection:|content-type:|content-length:|date:)|post [\\x09-\\x0d \
    -~]* http/[01]\\.[019]"
add name=Jabber regexp=\
    "<stream:stream[\\x09-\\x0d ][ -~]*[\\x09-\\x0d ]xmlns=['\"]jabber"
add name=AIM regexp="^(\\*[\\x01\\x02].*\\x03\\x0b|\\*\\x01.\?.\?.\?.\?\\x01)|\
    flapon|toc_signon.*0x"
add name=Bittorrent regexp="^(\\x13bittorrent protocol|azver\\x01\$|get /scrap\
    e\\\?info_hash=get/announce\\\?info_hash=|get /client/bitcomet/|GET/data\\\
    \?fid=)|d1:ad2:id20:|\\x08\927P\\)[RP]"
add name=DHCP regexp="^[\\x01\\x02][\\x01- ]\\x06.*c\\x82sc"
add name=DNS regexp="^.\?.\?.\?.\?[\\x01\\x02].\?.\?.\?.\?.\?.\?[\\x01-\?][a-z\
    0-9][\\x01-\?a-z]*[\\x02-\\x06][a-z][a-z][fglmoprstuvz]\?[aeop]\?(um)\?[\\\
    x01-\\x10\\x1c][\\x01\\x03\\x04\\xFF]"
add name=eDonkey regexp="^[\\xc5\\xd4\\xe3-\\xe5].\?.\?.\?.\?([\\x01\\x02\\x05\
    \\x14\\x15\\x16\\x18\\x19\\x1a\\x1b\\x1c\\x20\\x21\\x32\\x33\\x34\\x35\\x3\
    6\\x38\\x40\\x41\\x42\\x43\\x46\\x47\\x48\\x49\\x4a\\x4b\\x4c\\x4d\\x4e\\x\
    4f\\x50\\x51\\x52\\x53\\x54\\x55\\x56\\x57\\x58[\\x60\\x81\\x82\\x90\\x91\
    \\x93\\x96\\x97\\x98\\x99\\x9a\\x9b\\x9c\\x9e\\xa0\\xa1\\xa2\\xa3\\xa4]|\\\
    x59\85\85\85\85\85.\? [ -~]|\\x96\85.\$)"
add name=FTP regexp="^220[\\x09-\\x0d -~]*ftp"
add name=IRC regexp="^(nick[\\x09-\\x0d -~]*user[\\x09-\\x0d -~]*:|user[\\x09-\
    \\x0d \96~]*:[\\x02-\\x0d \96~]*nick[\\x09-\\x0d -~]*\\x0d\\x0a)"
add name=NTP regexp="^([\\x13\\x1b\\x23\\xd3\\xdb\\xe3]|[\\x14\\x1c\$]\85\85.\
    \?.\?.\?.\?.\?.\?.\?.\?.\?[\\xc6-\\xff])"
add name=POP3 regexp="^(\\+ok .*pop)"
add name=SIP regexp="^(invite|register|cancel|message|subscribe|notify)sip[\\x\
    09-\\x0d -~]*sip/[0-2]\\.[0-9]"
add name=Samba regexp="\\xffsmb[\\x72\\x25]"
add name=SMTP regexp="^220[\\x09-\\x0d -~]* (e\?smtp|simple mail)userspacepatt\
    ern=^220[\\x09-\\x0d -~]* (E\?SMTP|[Ss]imple [Mm]ail)userspace flags=REG_N\
    OSUB REG_EXTENDED"
add name=SNMP regexp="^\\x02\\x01\\x04.+([\\xa0-\\xa3]\\x02[\\x01-x04].\?.\?.\
    \?.\?\\x02\\x01.\?\\x02\\x01.\?\\x30|\\xa4\\x06.+\\x40\\x04.\?.\?.\?.\?\\x\
    02\\x01.\?\\x02\\x01.\?\\x43)"
add name=Socks regexp="\\x05[\\x01-\\x08]*\\x05[\\x01-\\x08]\?.*\\x05[\\x01-\\\
    x03][\\x01\\x03].*\\x05[\\x01-\\x08]\?[\\x01\\x03]"
add name=SSH regexp="^ssh-[12]\\.[0-9]"
add name=SSL regexp=\
    "^(.\?.\?\\x16\\x03.*\\x16\\x03|.\?.\?\\x01\\x03\\x01\?.*\\x0b)"
add name=Telnet regexp=\
    "^\\xff[\\xfb-\\xfe].\\xff[\\xfb-\\xfe].\\xff[\\xfb-\\xfe]"
add name=Tor regexp=TOR1.*<identity>
add comment=utorrent name=B5TP-1 regexp="\\x7F\\xFF\\xFF\\xFF\\xAB"
add comment=torrent name=B5TP-2 regexp="\\\\x7F\\\\xFF\\\\xFF\\\\xFF\\\\xAB"
add comment=torrent name=DHT regexp="^d1:[a|r]d2:id20:.*:y1:[q|r]e"
add name=GIF_FILE regexp=gif
add name=PNG_FILE regexp=png
add name=JPG_FILE regexp=jpg
add name=JPEG_FILE regexp=JPEG

 

 

PS Если есть предложения по настройкам - давайте обсудим, а то связь не мой профиль.

Изменено пользователем ruvhell
0

Поделиться этим ответом


Link to post
Share on other sites
# Drop goverment - блокировка входящего трафика предназначенного для роутера и генерируемого самим роутером на адреса из списка goverment

 

Еще бы посмотреть на этот список "goverment"...

 

# r00t backdor блокировка "для подстраховки" backdor'а к-й вшивают в азии?

 

Этот загадочный адрес, насколько знаю, актуален был для ломаных китайцами x86 RouterOS. Для остальных - лишнее.

 

# BOGON

Если их хотите фильтровать (хотя есть у меня сомнения в целесообразности), то надо ставить не в конец, а в начало списка, скажем, после правил с invalid пакетами. Перед "All other drop" это лишено всякого смысла. Также лишены смысла правила в "All other drop" вроде "add action=drop chain=forward src-address=127.0.0.0/8" по той же причине. Предлагается сначала грохнуть часть трафика, а потом весть оставшийся :) Да и адреса в этих правилах по сути из того же "BOGON", только на forward. Проще сделать одно правило как чуть выше, но не input, а forward с тем же списком. Ну если хочется, конечно... повторяю, я большого смысла не вижу.

Изменено пользователем adav
0

Поделиться этим ответом


Link to post
Share on other sites
Еще бы посмотреть на этот список "goverment"...

 

 

 

Этот загадочный адрес, насколько знаю, актуален был для ломаных китайцами x86 RouterOS. Для остальных - лишнее.

 

https://github.com/AntiZapret/antizapret из первого сообщения

знаю, что не актуален но правило висит, ест не просит. Ресурсы, уверен, не ест заметно не вооружённым глазом

 

BOGON и 127.0.0.0/8 - смысла, действительно мало. Но я иногда захожу и смотрю статистику по пакетам - и с BOGON за неделю прилетает часто. Так сказать для эстетики.

Изменено пользователем ruvhell
0

Поделиться этим ответом


Link to post
Share on other sites
знаю, что не актуален но правило висит, ест не просит. Ресурсы, уверен, не ест заметно не вооружённым глазом

Как я понимаю, имеется ввиду список blacklist4.txt? Ну тогда надо не забыть внести все перечисленные подсети в списки... ручками... несколько утомительно :) В результате получите запрет доступа к своим ресурсам с этих подсетей. Типа не будут качать Ваши торренты... кроме того, там есть правило и на output. Не получится ли в итоге, что самому себе запретите заходить на правительственные ресурсы? Оно надо?

 

На счет ресурсов... если процессор не перегружается - то да, если на пределе - то каждое лишнее правило будет снижать пропускную способность. Не просто так микротик в характеристиках производительности указывает число фильтров.

 

Но я иногда захожу и смотрю статистику по пакетам - и с BOGON за неделю прилетает часто. Так сказать для эстетики.

 

Ну тогда поднимите их вверх, чтобы эти пакеты дропались как можно раньше, а не перед тем, как дропать все оставшееся.

Изменено пользователем adav
0

Поделиться этим ответом


Link to post
Share on other sites
Как я понимаю, имеется ввиду список blacklist4.txt? Ну тогда надо не забыть внести все перечисленные подсети в списки... ручками... несколько утомительно :) В результате получите запрет доступа к своим ресурсам с этих подсетей. Типа не будут качать Ваши торренты... кроме того, там есть правило и на output. Не получится ли в итоге, что самому себе запретите заходить на правительственные ресурсы? Оно надо?

 

там цепочка input и output. Из внутренней сети я захожу на эти адреса - за это отвечает цепочка forward . За месяц из этого списка прилетает куча скан портов и еще чего -то

 

я в ручную отфильтровал только blacklist4.txt как писал в 1 сообщении. Подготовил файлик и вносил скриптом.

Ну тогда поднимите их вверх, чтобы эти пакеты дропались как можно раньше, а не перед тем, как дропать все оставшееся.

 

раньше болталось на верху, но количество пакетов, по сравнению с остальными, минимально. Перетащил в низ - как раз для уменьшения проц. времени

Изменено пользователем ruvhell
0

Поделиться этим ответом


Link to post
Share on other sites
За месяц из этого списка прилетает куча скан портов и еще чего -то

Забавно... у себя я не замечал этого. Обычно сканируют с американских адресов. Особенно с чикагских 104.152.52.0/22 Этих даже в постоянный бан-лист засунул, ибо задолбали...

 

Перетащил в низ - как раз для уменьшения проц. времени

С позиции этого - да. Но при этом получаете по сути только логирование дропа данных пакетов. Польза сомнительная. Хотя, как я говорил выше, я вообще не вижу большого смысла в этих правилах, так что если просто удовлетворяете любопытство - то в самый раз.

0

Поделиться этим ответом


Link to post
Share on other sites
Забавно... у себя я не замечал этого. Обычно сканируют с американских адресов. Особенно с чикагских 104.152.52.0/22 Этих даже в постоянный бан-лист засунул, ибо задолбали...

 

 

С позиции этого - да. Но при этом получаете по сути только логирование дропа данных пакетов. Польза сомнительная. Хотя, как я говорил выше, я вообще не вижу большого смысла в этих правилах, так что если просто удовлетворяете любопытство - то в самый раз.

 

У меня брут постоянно идет из Китая, особенно из Гуанчжоу и Гонконга. Из списка goverment только скан портов. Постоянно почти целые подсети в пермобане на 10 дней висят ))

0

Поделиться этим ответом


Link to post
Share on other sites

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти