Katona Опубликовано 11 сентября, 2015 · Жалоба Всем привет! Как известно, в разделе IP -> Services можно настроить адреса, с которых Микротик будет доступен для управления, например, по ssh. Если я указываю в этом списке локальную сеть, стоит ли дополнительно настраивать Firewall (запрет подключения по ssh через публичный IP)? Или достаточно будет настройки Services? Заранее спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BF-Systems Опубликовано 11 сентября, 2015 · Жалоба Или достаточно будет настройки Services? порт ssh перевесте на любой другой кроме 22, отключите все кроме ssh и winbox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 сентября, 2015 · Жалоба Как известно, в разделе IP -> Services можно настроить адреса, с которых Микротик будет доступен для управления, например, по ssh. Если я указываю в этом списке локальную сеть, стоит ли дополнительно настраивать Firewall (запрет подключения по ssh через публичный IP)? Или достаточно будет настройки Services? На микротике вообще нет смысла закрываться снаружи, только при включении DNS и NTP сервера. Но в правильно спланированных сетях, эти задачи можно возложить на второй микротик, который будет подключен к первому и получать доступ в интернет через серый адрес. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Katona Опубликовано 6 октября, 2015 · Жалоба Как известно, в разделе IP -> Services можно настроить адреса, с которых Микротик будет доступен для управления, например, по ssh. Если я указываю в этом списке локальную сеть, стоит ли дополнительно настраивать Firewall (запрет подключения по ssh через публичный IP)? Или достаточно будет настройки Services? На микротике вообще нет смысла закрываться снаружи, только при включении DNS и NTP сервера. Но в правильно спланированных сетях, эти задачи можно возложить на второй микротик, который будет подключен к первому и получать доступ в интернет через серый адрес. А если, допустим, у меня в локальной сети 2 влана: один для пользователей, другой для админов, и я оставляю только доступ по ssh для админов. Достаточно ли будет прописать в IP-Services подсеть для админов в Available from (ssh)? Или стоит дополнительно добавить соответствующее правило в Firewall? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 18 октября, 2015 · Жалоба А если, допустим, у меня в локальной сети 2 влана: один для пользователей, другой для админов, и я оставляю только доступ по ssh для админов. Достаточно ли будет прописать в IP-Services подсеть для админов в Available from (ssh)? Или стоит дополнительно добавить соответствующее правило в Firewall? Не надо никаких лишних правил. Можете указать подсеть для админов, если хотите ограничить доступ. Но на практике абоненты не ломятся в сеть провайдера, вы можете сделать одно простое правило - если адрес находится в подсети для абонентов и запрос идет на служебные адреса, то дроп. Именно по этой причине нужно разделять адреса для выдачи абонентам и для адресации оборудования. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...