Katona Posted September 11, 2015 Всем привет! Как известно, в разделе IP -> Services можно настроить адреса, с которых Микротик будет доступен для управления, например, по ssh. Если я указываю в этом списке локальную сеть, стоит ли дополнительно настраивать Firewall (запрет подключения по ssh через публичный IP)? Или достаточно будет настройки Services? Заранее спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BF-Systems Posted September 11, 2015 Или достаточно будет настройки Services? порт ssh перевесте на любой другой кроме 22, отключите все кроме ssh и winbox Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 13, 2015 Как известно, в разделе IP -> Services можно настроить адреса, с которых Микротик будет доступен для управления, например, по ssh. Если я указываю в этом списке локальную сеть, стоит ли дополнительно настраивать Firewall (запрет подключения по ssh через публичный IP)? Или достаточно будет настройки Services? На микротике вообще нет смысла закрываться снаружи, только при включении DNS и NTP сервера. Но в правильно спланированных сетях, эти задачи можно возложить на второй микротик, который будет подключен к первому и получать доступ в интернет через серый адрес. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Katona Posted October 6, 2015 Как известно, в разделе IP -> Services можно настроить адреса, с которых Микротик будет доступен для управления, например, по ssh. Если я указываю в этом списке локальную сеть, стоит ли дополнительно настраивать Firewall (запрет подключения по ssh через публичный IP)? Или достаточно будет настройки Services? На микротике вообще нет смысла закрываться снаружи, только при включении DNS и NTP сервера. Но в правильно спланированных сетях, эти задачи можно возложить на второй микротик, который будет подключен к первому и получать доступ в интернет через серый адрес. А если, допустим, у меня в локальной сети 2 влана: один для пользователей, другой для админов, и я оставляю только доступ по ssh для админов. Достаточно ли будет прописать в IP-Services подсеть для админов в Available from (ssh)? Или стоит дополнительно добавить соответствующее правило в Firewall? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 18, 2015 А если, допустим, у меня в локальной сети 2 влана: один для пользователей, другой для админов, и я оставляю только доступ по ssh для админов. Достаточно ли будет прописать в IP-Services подсеть для админов в Available from (ssh)? Или стоит дополнительно добавить соответствующее правило в Firewall? Не надо никаких лишних правил. Можете указать подсеть для админов, если хотите ограничить доступ. Но на практике абоненты не ломятся в сеть провайдера, вы можете сделать одно простое правило - если адрес находится в подсети для абонентов и запрос идет на служебные адреса, то дроп. Именно по этой причине нужно разделять адреса для выдачи абонентам и для адресации оборудования. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...