Αυτο τωρα δουλευει? Το προηγουμενο παντως δε δουλευε σιγουρα. Τα επαιρνε ολα και τα εβαζε στο drop..........
Μιας και εχουμε διαβασει το ιδιο post στο ΜΤ forums........... το blackhole λενε οτι ειναι καλυτερο και απο το RAW. Το δοκιμασες?
Εμφάνιση 1.516-1.530 από 2112
-
03-05-20, 16:06 Απάντηση: Mikrotik IPv4/IPv6 firewall #1516
Τελευταία επεξεργασία από το μέλος macro : 03-05-20 στις 16:17.
Άλλα Ντάλλα....
-
03-05-20, 18:07 Απάντηση: Mikrotik IPv4/IPv6 firewall #1517
Με 2ο το drop μαζεύει και τα βάζει στο address list. Έτσι το δουλεύω τώρα.
Το blackhole όχι ακόμη.
- - - Updated - - -
Μόλις έφτιαξα και το blackhole με mangle mark και ip route
Κώδικας:/ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=ddosed new-routing-mark=ddoser-route-mark passthrough=no src-address-list=ddoser /ip route add distance=1 routing-mark=ddoser-route-mark type=blackhole
Τελευταία επεξεργασία από το μέλος jkarabas : 03-05-20 στις 18:14.
CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
03-05-20, 18:13 Απάντηση: Mikrotik IPv4/IPv6 firewall #1518
To κανονα απο το RAW το εχεις disable ομως ετσι? Τις καταχωρησεις των ip's που πιανει το blackhole που τις βλεπεις και τις σβηνεις? Τι εννοεις για τον drop οτι τον εβαλες τελευταιο? Εχεις και τα 2?
Αν εβαλες και τα 2 δεν εννoουσα αυτο. Μονο το Blackhole.Άλλα Ντάλλα....
-
03-05-20, 18:21 Απάντηση: Mikrotik IPv4/IPv6 firewall #1519
Κάτσε να τα πάρουμε με τη σειρά.
Εδώ μου είπες γιατί δεν έχω το drop τελευταίο σαν κανόνα σωστά?
Σου απάντησα ότι όλοι το έχουν δηλωμένο σαν 2ο κατά σειρά κανόνα και δούλευε.
Τελικά τώρα τον δοκιμάζω και σαν τελευταίο κανόνα.
Με το blackhole εννοούσες μόνο αυτόν? Γιατί έχω και τις δηλώσεις στο RAW και το blackhole.
Disable τον κανόνα drop αυτό εννοείς?Τελευταία επεξεργασία από το μέλος jkarabas : 03-05-20 στις 18:50.
CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
03-05-20, 19:20 Απάντηση: Mikrotik IPv4/IPv6 firewall #1520
Ναι να τα βρουμε λιγο.
Οσων αφορα το raw το drop το εβαλες τελευταιο? Οσων αφορα το blackhole αυτο υποτιθεται αντικαθιστα το ddos protection. Εννοουσα οτι αν βαλεις το blackhole, κανεις disable το ddos στο raw, ολους τους κανονες.Άλλα Ντάλλα....
-
03-05-20, 19:24 Απάντηση: Mikrotik IPv4/IPv6 firewall #1521
Ναι όσο αφορά το drop το έβαλα τελευταίο, αν και όπως σου είπα στο forum κανείς δεν το έχει τελευταίο.
Πάμε τώρα στο blackhole.
Βάλαμε επιπλέον τις 2 εντολές. Δεν αναφέρει πουθενά ότι αντικαθιστά το RAW, έτσι υποθέτω.
Ο τύπος γράφει:
Is it good idea to have following rules in addition to action=drop ?
Και παρακάτω:
When add these new rules , packets don't go to firewall filters and the drop rule does not count anymore . But i want to know which one is better ?
Τελοσπάντων εάν εννοεί ή το ένα ή το άλλο θα κάνω disable όλους του κανόνες απο το RAW και θα αφήσω μόνο το blackhole και θα το τσεκάρω.Τελευταία επεξεργασία από το μέλος jkarabas : 03-05-20 στις 19:30.
CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
03-05-20, 19:45 Απάντηση: Mikrotik IPv4/IPv6 firewall #1522
Κατι αλλο...... με το drop στο τελος σου κανει τπτ drop?
Και μολις εχεις καποιο νεο απο το blackhole ενημερωσε εδω. Θα το δω και εγω απο αυριο...........Άλλα Ντάλλα....
-
03-05-20, 21:09 Απάντηση: Mikrotik IPv4/IPv6 firewall #1523
Ναι κάνει drop.
Εγώ θα συμφωνήσω μαζί σου, η λογική λέει ότι το drop μπαίνει τελευταίο. Έτσι ξέρουμε.
Πάντως είτε 2ο το βάλω είτε τελευταίο μαζεύει και στις 2 περιπτώσεις.
Το αφήνω πλέον στο τέλος.
- - - Updated - - -
Εννοείται, αυτή τη στιγμή έχω κάνει disable όλους του κανόνες από το RAW και έχω αφήσω το blackhole.
Μέχρι στιγμής δεν βλέπω κίνηση στο magle και φυσικά άδεια τα address list.
Θα ενημερώσω και αργότερα.
- - - Updated - - -
Ύστερα από αρκετή ώρα δοκιμών.
Δεν παίζει καθόλου με τις 2 εντολές που αφορά το blackhole με disable τους κανόνες στο RAW.
Πρέπει οι κανόνες να είναι enable στο RAW για να δουλέψει.
Επίσης διαπίστωσα ότι μπλοκάρει την πρόσβαση σε συγκεκριμένες ιστοσελίδες, τη στιγμή που θα βάλει την Ip στη λίστα.
Κάποιες φορές μου βάζει και την local ip απο το pc μου στο ddoser στη λίστα.
Δεν βλέπω γενικότερα σωστή συμπεριφορά.
Αυτά μέχρι τώρα.CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
03-05-20, 23:26 Απάντηση: Mikrotik IPv4/IPv6 firewall #1524
Το δοκίμασα και δουλεύει:
Spoiler:| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
04-05-20, 10:45 Απάντηση: Mikrotik IPv4/IPv6 firewall #1525
Τα εχω μεταφερει και εγω ολα στο raw, μολις τελειωσω θα ποσταρω το πληρες firewall που εχω.
Εδω για να κανετε τα τεστ σας........ μη ξεχνατε να κανετε delete το address list απο το πρωτο τεστ (port scanner) για να μπορει να συνεχισει στο δευτερο (ddos attack) αλλιως κανει ban την ip τους. Εμενα για να μου συνεχισει εκανα disable και το drop απο το port scanning μολις ειδα οτι πιανει τα πακετα.
http://www.shieldtest.com/Τελευταία επεξεργασία από το μέλος macro : 04-05-20 στις 12:19.
Άλλα Ντάλλα....
-
04-05-20, 13:41 Απάντηση: Mikrotik IPv4/IPv6 firewall #1526
Έτσι όπως πάει τελικά όλοι στο RAW θα τα μεταφέρουμε.
Τα μεταφέρω και εγώ σιγά-σιγά
Port scan και για android εύκολο και γρήγορο.
- - - Updated - - -
Στο ddos attack to test τι σου έβγαλε?Τελευταία επεξεργασία από το μέλος jkarabas : 04-05-20 στις 13:21.
CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
04-05-20, 13:51 Απάντηση: Mikrotik IPv4/IPv6 firewall #1527
Το περασα, με το drop κανονα δευτερο. Εσυ? Port scanners εχει και online για να μη κατεβαζετε ασκοπα.
Και εδω εχω και το δικο μου firewall........
Κώδικας:/ip firewall filter add action=accept chain=input comment="Accept Input Established Related" connection-state=established,related add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge add action=drop chain=input comment="Drop everything else Input" add action=accept chain=forward comment="Accept forward Established Related" connection-state=established,related add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge add action=drop chain=forward comment="Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat
Κώδικας:/ip firewall raw add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______Add Port scanners to list" protocol=tcp psd=21,3s,3,1 time=0s-1d,sun,mon,tue,wed,thu,fri,sat add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______NMAP NULL scan" protocol=tcp psd=21,3s,3,1 tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=drop chain=prerouting comment="______Drop Port scanners from list" src-address-list="Port Scanners" add action=jump chain=prerouting comment=______ddos_Protection jump-target=block-ddos protocol=tcp tcp-flags=syn add action=drop chain=prerouting dst-address-list=ddosed src-address-list=ddoser add action=return chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s add action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m chain=block-ddos add action=add-src-to-address-list address-list=ddoser address-list-timeout=10m chain=block-ddos add action=jump chain=prerouting comment="______Make jumps to ICMP chains" jump-target=icmp protocol=icmp add action=accept chain=icmp comment="______Echo reply" icmp-options=0:0 protocol=icmp add action=accept chain=icmp comment="______Net unreachable" icmp-options=3:0 protocol=icmp add action=accept chain=icmp comment="______Host unreachable" icmp-options=3:1 protocol=icmp add action=accept chain=icmp comment="______Host unreachable fragmentation required" icmp-options=3:4 protocol=icmp add action=accept chain=icmp comment="______Allow source quench" icmp-options=4:0 protocol=icmp add action=accept chain=icmp comment="______Allow echo request" icmp-options=8:0 protocol=icmp add action=accept chain=icmp comment="______Allow time exceed" icmp-options=11:0 protocol=icmp add action=accept chain=icmp comment="______Allow parameter bad" icmp-options=12:0 protocol=icmp add action=drop chain=icmp comment="______Deny all other ICMP types" add action=drop chain=prerouting comment="______Blocked Ports TCP" port=0,20,21,22,23,67-69,161-162,135-139,444-445,1080,1900 protocol=tcp add action=drop chain=prerouting comment="______Blocked Ports UDP" port=0,20,21,22,23,161-162,135-139,444-445,1080,1900 protocol=udp
Τελευταία επεξεργασία από το μέλος macro : 04-05-20 στις 21:25.
Άλλα Ντάλλα....
-
04-05-20, 14:10 Απάντηση: Mikrotik IPv4/IPv6 firewall #1528/ip firewall raw
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______Add Port scanners to list" protocol=tcp psd=21,3s,3,1 time=0s-1d,sun,mon,tue,wed,thu,fri,sat
-
04-05-20, 14:36 Απάντηση: Mikrotik IPv4/IPv6 firewall #1529
Kανενα θεμα ποτε. Ουτως ή αλλως το ρουτερ γινεται καθημερινα ρεσταρτ καθε πρωι με schedule task. Ασε που γενικως δε μαζευω και πολλα απο attacks.
Kαι μια χαρα αλλαζουν τα threshold και στο RAW. Μηπως εννοεις οτι και να αλλαζουν απλα δε παιζει η ρυθμιση?Άλλα Ντάλλα....
-
04-05-20, 14:37 Απάντηση: Mikrotik IPv4/IPv6 firewall #1530
Μια χαρά το firewall σου!!
Μια παρατήρηση....στους κανόνες:
Κώδικας:add action=accept chain=input comment="Accept Input Established Related" connection-state=established,related add action=accept chain=forward comment="Accept forward Established Related" connection-state=established,related
Επίσης στο Ddos τσεκάρισες αν έχεις πρόβλημα με σελίδες;CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
Παρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks