Hirdetés
- Bambu Lab 3D nyomtatók
- Azonnali informatikai kérdések órája
- AMD Ryzen 9 / 7 / 5 9***(X) "Zen 5" (AM5)
- NVIDIA GeForce RTX 5080 / 5090 (GB203 / 202)
- Mennyibe fog kerülni a Steam Machine?
- Nvidia GPU-k jövője - amit tudni vélünk
- Milyen asztali (teljes vagy fél-) gépet vegyek?
- Milyen billentyűzetet vegyek?
- Milyen monitort vegyek?
- TCL LCD és LED TV-k
-
PROHARDVER!
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
#15751
ekkold
Topikgazda
joekajoeka
#15741
ekkold
Topikgazda
válasz
joekajoeka
#15741
üzenetére
Használd inkább a wireguardot! Az bármelyik UDP porton lehet, és akkor knock sem feltétlenül kell. Eleve nem tudják melyik porton van, és azt sem, hogy azon a porton éppen wireguard van. A kulcsok jó hosszúak, és csak nyilvános kulcsot kell cserélni hozzá. Ha a hackernek van egy szuperszámítógép-hálózata, meg sok éve próbálkozni - hát sok sikert hozzá. Ha nincs hátsó ajtó a wireguard kódjában, (nyílt forráskódú, és a kód is rövid - tehát nagy eséllyel kiszúrnák a fejlesztők) akkor nem igazán van realitása a feltörésének.
-
#15742
jerry311
nagyúr
joekajoeka
#15741
jerry311
nagyúr
válasz
joekajoeka
#15741
üzenetére
A tűzfal szabályokat fentről lefelé (az elsőtől az utolsó felé) ellenőrzi a rendszer, de csak az első egyezésig. Ha egyezés van, akkor azt a szabályt használja, nem folytatja tovább, hogy hátha van még másik is.
-
#10348
Adamo_sx
aktív tag
joekajoeka
#10341
Adamo_sx
aktív tag
válasz
joekajoeka
#10341
üzenetére
Akár a Winboxban, akár a terminálban csinálhatod, mindkettőben megoldható, amelyik szimpatikusabb. Ha rákeresel itt a fórumban, az egyik tagtárs készített egy leírást a kezdő beállításokról, azt mindenképp érdemes átfutni.
@bacus: Csak én használom a VPN-t, úgyhogy észben tartom a "korlátozásokat", illetve amikor sikerül belépni, akkor egy script törli az aktuális IP-t a feketelistáról, így a belépés után "tiszta lappal" kezdek.
-
#10342
bacus
őstag
joekajoeka
#10341
bacus
őstag
válasz
joekajoeka
#10341
üzenetére
én a saját routereimnél úgy kezdem, hogy egy jó nagy listát ami évek alatt összegyűlt, eleve tiltok. Ezek nem érhetnek el, talán a https web kiszolgáló működik, de van ahol az sem.
Amikor jön új spam pár darab, akkor (persze nem egy kósza spam után) sokszor az egész 16-os netmaskját tiltom. Ez a related accept után van, ezért ha én tévednék az ő web oldalára, akkor megjön a válasz..., tehát én elérem őt.
Van script (volt itt a fórumon, de biztos beteszi neked valaki) ami összegyüjti a magyar ip cimeket és ráteszi egy listára. Ha elég, hogy csak innen van vpn, akkor csak onnan engedsz be bárkit, másnak zárod a portot.
szépen ki fog tisztulni a log.
Egyébként a vpn-felől jövő kapcsolatokat is mindig másik alhálóba rakom, minden onnan nem érhető el, csak az amit adott user el kell érjen. Igy pl ügyfeleket is le tudom szeparálni. Ha valaki végig scannel, bekerül egy logba, majd nagyobb figyelmet.
A vpn userek soha nem kapnak netet. Nekem ez bevált eddig.Ja és adamo_sx megoldása is tökéletes. Itt csak arra kell figyelj, hogy egy szakadozó net is kibannolhatja a klienst, tehát kellhet mellé port knocking, amivel törlöd az ilyet a blakclistről.
-
#10339
Adamo_sx
aktív tag
joekajoeka
#10337
Adamo_sx
aktív tag
válasz
joekajoeka
#10337
üzenetére
Nem a router típusa miatt kezdtek el most támadni, valószínűleg eddig is mentek a próbálkozások, csak a boldog tudatlanságban éltél.
A legtöbb próbálkozás a routerre irányul, ezért én az input chain-ben próbálom ezeket szűrni. És kézzel elég macera lesz, mert elég sok IP cím lesz, amit be kellene írnod.
Én ezzel próbálom megoldani:6 ;;; Drop IP from Blacklistchain=input action=drop src-address-list=blacklist log=no log-prefix=""8 ;;; Block IP address that attempted to create 3. VPN/SSH/Telnet connectionschain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=bl_attempt_2 address-list=blacklist address-list-timeout=1w3d dst-port=1723,22,23,50022 log=yes log-prefix="Added to blacklist"9 ;;; Block IP address that attempted to create 3. VPN/SSH/Telnet connectionschain=input action=add-src-to-address-list connection-state=new protocol=udp src-address-list=bl_attempt_2 address-list=blacklist address-list-timeout=1w3d dst-port=1723,22,23,50022 log=yes log-prefix="Added to blacklist"10 ;;; IP address that attempted to create 2 VPN/SSH/Telnet connectionchain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=bl_attempt_1 address-list=bl_attempt_2 address-list-timeout=10h dst-port=1723,22,23,50022 log=no log-prefix=""11 ;;; IP address that attempted to create 2 VPN/SSH/Telnet connectionchain=input action=add-src-to-address-list connection-state=new protocol=udp src-address-list=bl_attempt_1 address-list=bl_attempt_2 address-list-timeout=10h dst-port=1723,22,23,50022 log=no log-prefix=""12 ;;; IP address that attempted to create a VPN/SSH/Telnet connectionchain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=bl_attempt_1 address-list-timeout=1h dst-port=1723,22,23,50022 log=no log-prefix=""13 ;;; IP address that attempted to create a VPN/SSH/Telnet connectionchain=input action=add-src-to-address-list connection-state=new protocol=udp address-list=bl_attempt_1 address-list-timeout=1h dst-port=1723,22,23,50022 log=no log-prefix="" -
#10338
Zwodkassy
senior tag
joekajoeka
#10337
válasz
joekajoeka
#10337
üzenetére
Kezdetnek ez is elég. Ha rutinosabb leszel, teszel mást is 😁
-
#10336
bacus
őstag
joekajoeka
#10335
bacus
őstag
válasz
joekajoeka
#10335
üzenetére
Huh, fura fogalmaid lehetnek a "nagy baj" ról.
Mi ezzel a probléma? Be akarnak jönni... és? betudtak? Miért nem teszel ellene ha zavar a próbálkozásuk? Ez egy mikrotik router, számtalan megoldás van ellene, port knocking-tól az egyéb egyedi script, tiltó lista, stb. Itt többször volt róla szó.
"Mit tudok csinálni?"
- igy hagyod
- teszel ellene (visszaolvasol, választasz egy szimpatikus megoldást és megvalósítod)
Új hozzászólás Aktív témák
ekkold- exHWSW - Értünk mindenhez IS
- Mobil flották
- Trollok komolyan
- PlayStation 5
- Bambu Lab 3D nyomtatók
- Elemlámpa, zseblámpa
- Azonnali informatikai kérdések órája
- Világ Ninjái és Kódfejtői, egyesüljetek!
- PROHARDVER! feedback: bugok, problémák, ötletek
- AMD Ryzen 9 / 7 / 5 9***(X) "Zen 5" (AM5)
- További aktív témák...
- 184 - Lenovo Legion Pro 7 (16IAX10H) - Intel Core U9 275HX, RTX 5090
- 183 - Lenovo Legion Pro 7 (16IAX10H) - Intel Core U9 275HX, RTX 5090
- MacBook Pro 16" M1 Max 32GB RAM 1024GB SSD Astro szürke - Nagyon szép karcmentes állapot !
- Microsoft Surface Pro 7+ - Újszerű, billentyűzettel és ceruzával
- Sapphire Pulse Radeon Rx 5500 XT 4Gb Videókártya CSERE
- LG 45GS95QX - 45" Ívelt OLED / 2K WQHD / 240Hz 0.03ms / NVIDIA G-Sync / FreeSync Premium / HDMI 2.1
- GYÖNYÖRŰ iPhone 12 mini 128GB Blue -1 ÉV GARANCIA - Kártyafüggetlen, MS3854, 100% Akkumulátor
- HIBÁTLAN iPhone 13 Pro Max 128GB Sierra Blue 1ÉV GARANCIA -Kártyafüggetlen, MS3552, 100% Akkumulátor
- ÁRGARANCIA!Épített KomPhone Ryzen 7 9800X3D 32/64GB RAM RX 9070 XT 16GB GAMER PC termékbeszámítással
- Kaspersky, BitDefender, Avast és egyéb vírusírtó licencek a legolcsóbban, egyenesen a gyártóktól!
Állásajánlatok
Cég: BroadBit Hungary Kft.
Város: Budakeszi
Cég: Laptopműhely Bt.
Város: Budapest