Перейти к содержимому
Калькуляторы

Безопасность Firewall / Services

Ответить

Katona   

Katona
Опубликовано · Жалоба

Всем привет!

 

Как известно, в разделе IP -> Services можно настроить адреса, с которых Микротик будет доступен для управления, например, по ssh. Если я указываю в этом списке локальную сеть, стоит ли дополнительно настраивать Firewall (запрет подключения по ssh через публичный IP)? Или достаточно будет настройки Services?

 

Заранее спасибо!

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

BF-Systems   

BF-Systems
Опубликовано · Жалоба

Или достаточно будет настройки Services?

 

порт ssh перевесте на любой другой кроме 22, отключите все кроме ssh и winbox

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Saab95   

Saab95
Опубликовано · Жалоба

Как известно, в разделе IP -> Services можно настроить адреса, с которых Микротик будет доступен для управления, например, по ssh. Если я указываю в этом списке локальную сеть, стоит ли дополнительно настраивать Firewall (запрет подключения по ssh через публичный IP)? Или достаточно будет настройки Services?

 

На микротике вообще нет смысла закрываться снаружи, только при включении DNS и NTP сервера. Но в правильно спланированных сетях, эти задачи можно возложить на второй микротик, который будет подключен к первому и получать доступ в интернет через серый адрес.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Katona   

Katona
Опубликовано · Жалоба

Как известно, в разделе IP -> Services можно настроить адреса, с которых Микротик будет доступен для управления, например, по ssh. Если я указываю в этом списке локальную сеть, стоит ли дополнительно настраивать Firewall (запрет подключения по ssh через публичный IP)? Или достаточно будет настройки Services?

 

На микротике вообще нет смысла закрываться снаружи, только при включении DNS и NTP сервера. Но в правильно спланированных сетях, эти задачи можно возложить на второй микротик, который будет подключен к первому и получать доступ в интернет через серый адрес.

 

А если, допустим, у меня в локальной сети 2 влана: один для пользователей, другой для админов, и я оставляю только доступ по ssh для админов. Достаточно ли будет прописать в IP-Services подсеть для админов в Available from (ssh)? Или стоит дополнительно добавить соответствующее правило в Firewall?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Saab95   

Saab95
Опубликовано · Жалоба

А если, допустим, у меня в локальной сети 2 влана: один для пользователей, другой для админов, и я оставляю только доступ по ssh для админов. Достаточно ли будет прописать в IP-Services подсеть для админов в Available from (ssh)? Или стоит дополнительно добавить соответствующее правило в Firewall?

 

Не надо никаких лишних правил. Можете указать подсеть для админов, если хотите ограничить доступ. Но на практике абоненты не ломятся в сеть провайдера, вы можете сделать одно простое правило - если адрес находится в подсети для абонентов и запрос идет на служебные адреса, то дроп. Именно по этой причине нужно разделять адреса для выдачи абонентам и для адресации оборудования.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Mikrotik Wireless