Lerych63 Опубликовано 1 августа, 2018 (изменено) · Жалоба Кто знает ,скажите?? Что творят кетайцы..?? ..212 внешний айпи. Изменено 1 августа, 2018 пользователем Lerych63 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 1 августа, 2018 · Жалоба Добро пожаловать. Ставим последнюю прошивку Удаляем пользователя по-умолчанию, заводим своего. Закрывайте доступ из Интернет на 53 порт (TCP/UDP). Вырубайте сервисы (или меняйте порты) /ip service set api disabled=yes address="" set telnet disabled=yes address="" set ftp disabled=yes address="" set www disabled=yes address="" set ssh address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32 set winbox address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32 set api-ssl disabled=yes address="" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boav Опубликовано 1 августа, 2018 · Жалоба В конфиге по умолчанию прекрасно закрыто все снаружи кроме пинга. Зачем его ломать/править/сносить если нет понимания даже этих простых правил? p.s.: наблюдал как один деятель снес конфиг по умолчанию, настроил всё, кроме правил фаерволла. Вообще НИ ОДНОГО. И admin без пароля. Получаса не прошло как на роутере сидела толпа ботов по ssh и долбила яндекс. 1 час назад, saaremaa сказал: set ssh address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32 set winbox address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32 Предположу следующим вопросом будет - а почему винбокс не подключается? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 2 августа, 2018 · Жалоба 9 часов назад, boav сказал: Предположу следующим вопросом будет - а почему винбокс не подключается? Это вряд ли. Специально сделал синтаксис неверный, они у него просто не применятся без прописывания валидных IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 2 августа, 2018 · Жалоба У микротика есть замечательная вещь, у него открыта по дефолту: allow-remote-requests. Зачем так сделали- хз, но ее лучше поставить в но ЗЫ: Ну и файрволл - это устаревшая технология, выключить все сервисы и перенести data plane в отдельный врф- файрволл можно и не настраивать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 2 августа, 2018 · Жалоба Правильно, никакой файрвол не нужен. Достаточно отключить все не используемые сервисы, у нужных ограничить доступ по IP, то же касается и админов. ДНС не использовать на устройствах с внешними адресами, выдайте на него серый и так же прикрывать не потребуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boav Опубликовано 2 августа, 2018 · Жалоба Может тогда проще вообще микротик не ставить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 2 августа, 2018 · Жалоба 6 hours ago, VolanD666 said: У микротика есть замечательная вещь, у него открыта по дефолту: allow-remote-requests. Зачем так сделали- хз, но ее лучше поставить в но Как бы совсем не плохо иметь кэширующий DNS у себя локально, а с NO он ни от кого не будет принимать запросы, в т.ч. из локальной сети. Там дефолтовым файрволом все прекрасно закрыто, как выше @boav написал. Не надо его выносить и все отлично будет. @Saab95 Господа ОЧЕНЬ большие провайдеры без файрвола, ваши советы для домашних/офисных сетей в данном случае малоактуальны. Т.е. DNS сервер я должен у кого-то на компе что ли поставить ? Если вся сеть только и состоит из компов и единственного микротика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lerych63 Опубликовано 2 августа, 2018 · Жалоба Что же это получается.. они пытаются всей гурьбой мне "отравить днс", и не остаётся ни чего другого только отключить кэш?,потому как проц улетает в 100%(650мг)моментально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 2 августа, 2018 · Жалоба 2 часа назад, McSea сказал: Как бы совсем не плохо иметь кэширующий DNS у себя локально, а с NO он ни от кого не будет принимать запросы, в т.ч. из локальной сети. Там дефолтовым файрволом все прекрасно закрыто, как выше @boav написал. Не надо его выносить и все отлично будет. @Saab95 Господа ОЧЕНЬ большие провайдеры без файрвола, ваши советы для домашних/офисных сетей в данном случае малоактуальны. Т.е. DNS сервер я должен у кого-то на компе что ли поставить ? Если вся сеть только и состоит из компов и единственного микротика. Почему нельзя выдавать провайдерский ДНС? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 2 августа, 2018 · Жалоба 4 часа назад, Saab95 сказал: ДНС не использовать на устройствах с внешними адресами, выдайте на него серый и так же прикрывать не потребуется. это конечно хорошо, но как у ТС сегодня ночью пошли атаки на 53 udp, абонентам выдаю реальники заблочил форвард 53 udp на пограничном CCR Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 2 августа, 2018 (изменено) · Жалоба 51 minutes ago, Lerych63 said: Что же это получается.. они пытаются всей гурьбой мне "отравить днс", и не остаётся ни чего другого только отключить кэш?,потому как проц улетает в 100%(650мг)моментально. Так закройте файрволом, в чем проблема ? Вот кусок стандартного конфига. который все закрывает, кроме пинга. Нужно что-то открыть - добавьте разрешающее правило выше последнего дропа. В LAN интерфейс лист внесите все свои локальные интерфейсы. /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="Сюда добавлять разрешающие правила" disabled=yes add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN Изменено 2 августа, 2018 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boav Опубликовано 2 августа, 2018 · Жалоба 47 минут назад, Lerych63 сказал: Что же это получается.. они пытаются всей гурьбой мне "отравить днс", и не остаётся ни чего другого только отключить кэш?,потому как проц улетает в 100%(650мг)моментально. Настроить Фаерволл правильно Скрытый текст 1 chain=input action=drop connection-state=invalid log=no log-prefix="" 2 chain=input action=accept protocol=icmp 3 chain=input action=accept connection-state=established,related,untracked log=no log-prefix="" 4 chain=input action=drop in-interface-list=WAN log=no log-prefix="" С этого должно все начинаться и тогда из мира будет доступен только пинг микротика Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 2 августа, 2018 (изменено) · Жалоба @boav Правило 3 первым надо ставить. Под invalid иногда нужный трафик может попасть, и лучше чтобы established сразу уходили, через два правила лишняя загрузка процессора. Изменено 2 августа, 2018 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boav Опубликовано 2 августа, 2018 · Жалоба @McSea Дропать инвалид первым узрел на каком то дефолтном конфиге. Они постоянно меняют дефолт. Обычно приходит новый роутер с дефолтом, смотрю что там нового и копирую себе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 2 августа, 2018 · Жалоба Just now, boav said: @McSea Дропать инвалид первым узрел на каком то дефолтном конфиге. Они постоянно меняют дефолт. Обычно приходит новый роутер с дефолтом, смотрю что там нового и копирую себе. Я выше привел дефолт от 6.42.6 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boav Опубликовано 2 августа, 2018 · Жалоба @McSea Все может быть. Истина где то рядом ;). Я везде использую только багфикс ветку. На вкус и цвет фломастеры разные Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 2 августа, 2018 (изменено) · Жалоба 1 hour ago, VolanD666 said: Почему нельзя выдавать провайдерский ДНС? У меня провайдерский ДНС отвечает на некэшированные запросы значительно дольше (до 3 раз), чем клаудфлэровские 1.1.1.1/1.0.0.1 Причем до провайдера задержка (пинг) 1-2 мс, до 1.1.1.1 - 10 мс стабильно (зеркало тут рядом у нас, в Польше). Проверено DNSBench-ем. Ну а на кэшированные мой локальный естественно быстрее отвечает. Да, у провайдерского кэш больше, но вот такой у меня личный опыт. Да, еще забыл главную вещь - static DNS записи, в hosts по машинкам прописывать это намного неудобнее, чем в одном месте. Изменено 2 августа, 2018 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lerych63 Опубликовано 3 августа, 2018 (изменено) · Жалоба Сделал так https://hd.zp.ua/zakryvaem-53j-port-dns-na-routere-mikrotik-ot-vneshnih-zaprosov/ Изменено 3 августа, 2018 пользователем Lerych63 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 августа, 2018 · Жалоба В 02.08.2018 в 17:55, yKpon сказал: это конечно хорошо, но как у ТС сегодня ночью пошли атаки на 53 udp, абонентам выдаю реальники заблочил форвард 53 udp на пограничном CCR Ну так для абонентов надо все заблочить, и ДНС, и виндовую шару и прочие гадости. Но если провайдер держит свой ДНС для абонентов, то не надо его на белый адрес вешать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 4 августа, 2018 · Жалоба 14 часов назад, Saab95 сказал: Но если провайдер держит свой ДНС для абонентов, то не надо его на белый адрес вешать. емнип policy-access aka ACL есть и у unbound , и у bind если настроить то можно и на белый... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...