Atman Posted June 8, 2011 Posted June 8, 2011 Доброго дня всем. Поставил на одну из сетей МТ, и гости не заставили сябя долго ждать. Третий деннь ломятся по SSH. Что можно сделать, чтобы обезопасить МТ от взлома? Можно ли отключить SSH, если я по удаленке администрирую МТ, использую winbox и webfig? Вставить ник Quote
kostil Posted June 8, 2011 Posted June 8, 2011 через winbox IP -> Services -> ssh - жмешь крестик сверху и будет тебе счастье или из консоли ip service disable [/ip service find where name=ssh] Вставить ник Quote
Atman Posted June 8, 2011 Author Posted June 8, 2011 через winbox IP -> Services -> ssh - жмешь крестик сверху и будет тебе счастье или из консоли ip service disable [/ip service find where name=ssh] где находится и как отключить, я знаю. меня интересует, не потеряю ли я связь с МТ. ОН находится от меня на расстоянии 160 км. По теории не должен, там другие порты, а как на практике? может отключить и 23 порт Telnet? Вставить ник Quote
kostil Posted June 8, 2011 Posted June 8, 2011 Отключить можно все чем не пользуешься. Если то что я описал сделать через winbox, то роутер не потеряешь, т.к. winbox никак не связан с ssh. Вставить ник Quote
rmika Posted June 8, 2011 Posted June 8, 2011 http://wiki.mikrotik.com/wiki/Drop_port_scanners Вставить ник Quote
rmika Posted June 8, 2011 Posted June 8, 2011 + наверно лимит конектов /ip firewall filter add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input connection-limit=5,32 disabled=no dst-port=22 limit=5,5 protocol=tcp Вставить ник Quote
Ivan_83 Posted June 8, 2011 Posted June 8, 2011 Микробы вообще везде, насекомых миллиарды - и что? Пущай ползают дальше, покуда вреда от них нет. Точно также скоро будут долбится по виндропбокс порту админки. Поставил пароль надёжный и живи спокойно. Вставить ник Quote
sherwood Posted June 8, 2011 Posted June 8, 2011 /ip firewall filter add action=drop chain=input comment="Accept router" disabled=no dst-port=\ 21-23,80,8291,3010 protocol=tcp src-address-list=!admin в address list=admin добавьте все ip которым вы разрешаете доступ к RB, в том числе и удаленные. поставьте это правило в самый верх в firewall filter. порт 3010 это для ssh, можете поменять под себя. это обезопасит RB даже от подбора пароля с других IP. Вставить ник Quote
Atman Posted June 8, 2011 Author Posted June 8, 2011 (edited) Спасибо всем за советы,никто пока не лезет, и это радует. Но есть одна проблема,раньше в этой сетке стоял Zyxel P-660, после замены на микротик, с этой сетки не могут попасть удаленно на видеорегистратор,похоже что мт дропает все исходящие порты , кроме 80, правила в фильтре все убрал, нужно ли прописывать в Firewall правила? Edited June 8, 2011 by Atman Вставить ник Quote
sherwood Posted June 8, 2011 Posted June 8, 2011 нужно ли прописывать в Firewall правила в RO все разрешено если явно не запрещено. если нет запрещающих правил, то тогда вопрос: как вы пытаетесь зайти на видео-регистратор? возможно надо про бросить порты... Вставить ник Quote
Atman Posted June 9, 2011 Author Posted June 9, 2011 нужно ли прописывать в Firewall правила в RO все разрешено если явно не запрещено. если нет запрещающих правил, то тогда вопрос: как вы пытаетесь зайти на видео-регистратор? возможно надо про бросить порты... Там где стоит видеорегистратор порты проброшены, с этой сетки перестали заходить в него после замены Zyxela на Микротик.Не пойму где копать? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.