Lerych63 Posted August 1, 2018 (edited) · Report post Кто знает ,скажите?? Что творят кетайцы..?? ..212 внешний айпи. Edited August 1, 2018 by Lerych63 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted August 1, 2018 · Report post Добро пожаловать. Ставим последнюю прошивку Удаляем пользователя по-умолчанию, заводим своего. Закрывайте доступ из Интернет на 53 порт (TCP/UDP). Вырубайте сервисы (или меняйте порты) /ip service set api disabled=yes address="" set telnet disabled=yes address="" set ftp disabled=yes address="" set www disabled=yes address="" set ssh address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32 set winbox address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32 set api-ssl disabled=yes address="" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
boav Posted August 1, 2018 · Report post В конфиге по умолчанию прекрасно закрыто все снаружи кроме пинга. Зачем его ломать/править/сносить если нет понимания даже этих простых правил? p.s.: наблюдал как один деятель снес конфиг по умолчанию, настроил всё, кроме правил фаерволла. Вообще НИ ОДНОГО. И admin без пароля. Получаса не прошло как на роутере сидела толпа ботов по ssh и долбила яндекс. 1 час назад, saaremaa сказал: set ssh address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32 set winbox address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32 Предположу следующим вопросом будет - а почему винбокс не подключается? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted August 2, 2018 · Report post 9 часов назад, boav сказал: Предположу следующим вопросом будет - а почему винбокс не подключается? Это вряд ли. Специально сделал синтаксис неверный, они у него просто не применятся без прописывания валидных IP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted August 2, 2018 · Report post У микротика есть замечательная вещь, у него открыта по дефолту: allow-remote-requests. Зачем так сделали- хз, но ее лучше поставить в но ЗЫ: Ну и файрволл - это устаревшая технология, выключить все сервисы и перенести data plane в отдельный врф- файрволл можно и не настраивать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 2, 2018 · Report post Правильно, никакой файрвол не нужен. Достаточно отключить все не используемые сервисы, у нужных ограничить доступ по IP, то же касается и админов. ДНС не использовать на устройствах с внешними адресами, выдайте на него серый и так же прикрывать не потребуется. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
boav Posted August 2, 2018 · Report post Может тогда проще вообще микротик не ставить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted August 2, 2018 · Report post 6 hours ago, VolanD666 said: У микротика есть замечательная вещь, у него открыта по дефолту: allow-remote-requests. Зачем так сделали- хз, но ее лучше поставить в но Как бы совсем не плохо иметь кэширующий DNS у себя локально, а с NO он ни от кого не будет принимать запросы, в т.ч. из локальной сети. Там дефолтовым файрволом все прекрасно закрыто, как выше @boav написал. Не надо его выносить и все отлично будет. @Saab95 Господа ОЧЕНЬ большие провайдеры без файрвола, ваши советы для домашних/офисных сетей в данном случае малоактуальны. Т.е. DNS сервер я должен у кого-то на компе что ли поставить ? Если вся сеть только и состоит из компов и единственного микротика. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Lerych63 Posted August 2, 2018 · Report post Что же это получается.. они пытаются всей гурьбой мне "отравить днс", и не остаётся ни чего другого только отключить кэш?,потому как проц улетает в 100%(650мг)моментально. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted August 2, 2018 · Report post 2 часа назад, McSea сказал: Как бы совсем не плохо иметь кэширующий DNS у себя локально, а с NO он ни от кого не будет принимать запросы, в т.ч. из локальной сети. Там дефолтовым файрволом все прекрасно закрыто, как выше @boav написал. Не надо его выносить и все отлично будет. @Saab95 Господа ОЧЕНЬ большие провайдеры без файрвола, ваши советы для домашних/офисных сетей в данном случае малоактуальны. Т.е. DNS сервер я должен у кого-то на компе что ли поставить ? Если вся сеть только и состоит из компов и единственного микротика. Почему нельзя выдавать провайдерский ДНС? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
yKpon Posted August 2, 2018 · Report post 4 часа назад, Saab95 сказал: ДНС не использовать на устройствах с внешними адресами, выдайте на него серый и так же прикрывать не потребуется. это конечно хорошо, но как у ТС сегодня ночью пошли атаки на 53 udp, абонентам выдаю реальники заблочил форвард 53 udp на пограничном CCR Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted August 2, 2018 (edited) · Report post 51 minutes ago, Lerych63 said: Что же это получается.. они пытаются всей гурьбой мне "отравить днс", и не остаётся ни чего другого только отключить кэш?,потому как проц улетает в 100%(650мг)моментально. Так закройте файрволом, в чем проблема ? Вот кусок стандартного конфига. который все закрывает, кроме пинга. Нужно что-то открыть - добавьте разрешающее правило выше последнего дропа. В LAN интерфейс лист внесите все свои локальные интерфейсы. /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="Сюда добавлять разрешающие правила" disabled=yes add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN Edited August 2, 2018 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
boav Posted August 2, 2018 · Report post 47 минут назад, Lerych63 сказал: Что же это получается.. они пытаются всей гурьбой мне "отравить днс", и не остаётся ни чего другого только отключить кэш?,потому как проц улетает в 100%(650мг)моментально. Настроить Фаерволл правильно Скрытый текст 1 chain=input action=drop connection-state=invalid log=no log-prefix="" 2 chain=input action=accept protocol=icmp 3 chain=input action=accept connection-state=established,related,untracked log=no log-prefix="" 4 chain=input action=drop in-interface-list=WAN log=no log-prefix="" С этого должно все начинаться и тогда из мира будет доступен только пинг микротика Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted August 2, 2018 (edited) · Report post @boav Правило 3 первым надо ставить. Под invalid иногда нужный трафик может попасть, и лучше чтобы established сразу уходили, через два правила лишняя загрузка процессора. Edited August 2, 2018 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
boav Posted August 2, 2018 · Report post @McSea Дропать инвалид первым узрел на каком то дефолтном конфиге. Они постоянно меняют дефолт. Обычно приходит новый роутер с дефолтом, смотрю что там нового и копирую себе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted August 2, 2018 · Report post Just now, boav said: @McSea Дропать инвалид первым узрел на каком то дефолтном конфиге. Они постоянно меняют дефолт. Обычно приходит новый роутер с дефолтом, смотрю что там нового и копирую себе. Я выше привел дефолт от 6.42.6 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
boav Posted August 2, 2018 · Report post @McSea Все может быть. Истина где то рядом ;). Я везде использую только багфикс ветку. На вкус и цвет фломастеры разные Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted August 2, 2018 (edited) · Report post 1 hour ago, VolanD666 said: Почему нельзя выдавать провайдерский ДНС? У меня провайдерский ДНС отвечает на некэшированные запросы значительно дольше (до 3 раз), чем клаудфлэровские 1.1.1.1/1.0.0.1 Причем до провайдера задержка (пинг) 1-2 мс, до 1.1.1.1 - 10 мс стабильно (зеркало тут рядом у нас, в Польше). Проверено DNSBench-ем. Ну а на кэшированные мой локальный естественно быстрее отвечает. Да, у провайдерского кэш больше, но вот такой у меня личный опыт. Да, еще забыл главную вещь - static DNS записи, в hosts по машинкам прописывать это намного неудобнее, чем в одном месте. Edited August 2, 2018 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Lerych63 Posted August 3, 2018 (edited) · Report post Сделал так https://hd.zp.ua/zakryvaem-53j-port-dns-na-routere-mikrotik-ot-vneshnih-zaprosov/ Edited August 3, 2018 by Lerych63 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 3, 2018 · Report post В 02.08.2018 в 17:55, yKpon сказал: это конечно хорошо, но как у ТС сегодня ночью пошли атаки на 53 udp, абонентам выдаю реальники заблочил форвард 53 udp на пограничном CCR Ну так для абонентов надо все заблочить, и ДНС, и виндовую шару и прочие гадости. Но если провайдер держит свой ДНС для абонентов, то не надо его на белый адрес вешать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted August 4, 2018 · Report post 14 часов назад, Saab95 сказал: Но если провайдер держит свой ДНС для абонентов, то не надо его на белый адрес вешать. емнип policy-access aka ACL есть и у unbound , и у bind если настроить то можно и на белый... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...