Εγώ σαν κανόνα βάζω πρώτα τον έλεγχο για ddos και μετά για port scan.
Εμφάνιση 2.026-2.040 από 2112
-
17-05-22, 22:31 Απάντηση: Mikrotik IPv4/IPv6 firewall #2026
64 65 6E 69 53 75 6E
- Εγγραφή
- 28-03-2006
- Περιοχή
- KV G434
- Ηλικία
- 49
- Μηνύματα
- 42.309
- Downloads
- 23
- Uploads
- 0
- Τύπος
- FTTH
- Ταχύτητα
- 310/31
- ISP
- Cosmote
- DSLAM
- ΟΤΕ - ΕΡΜΟΥ
- Router
- RB4011iGS+5 ONT: G-010G-R
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
17-05-22, 22:48 Απάντηση: Mikrotik IPv4/IPv6 firewall #2027
Eminent Member
- Εγγραφή
- 08-11-2004
- Περιοχή
- Θεσσαλονίκη
- Ηλικία
- 59
- Μηνύματα
- 2.547
- Downloads
- 13
- Uploads
- 0
- Τύπος
- FTTH
- Ταχύτητα
- 1G/1G
- ISP
- Inalan
- Router
- Mikrotik 5009
Ετσι το εχω
Λες να αλλαξω καποια σειρα?
-
17-05-22, 22:56 Απάντηση: Mikrotik IPv4/IPv6 firewall #2028
64 65 6E 69 53 75 6E
- Εγγραφή
- 28-03-2006
- Περιοχή
- KV G434
- Ηλικία
- 49
- Μηνύματα
- 42.309
- Downloads
- 23
- Uploads
- 0
- Τύπος
- FTTH
- Ταχύτητα
- 310/31
- ISP
- Cosmote
- DSLAM
- ΟΤΕ - ΕΡΜΟΥ
- Router
- RB4011iGS+5 ONT: G-010G-R
Όπως σου είπα εγώ έχω πρώτα τα ddos και μετά το port scanner.
Επίσης... τα icmp δεν τα χρειάζεσαι.
Έχω αναφερθεί στο θέμα αυτό.
Είναι κατάλοιπο από παλιά.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
18-05-22, 09:31 Απάντηση: Mikrotik IPv4/IPv6 firewall #2029
Της Παρασκευής το γάλα !!!
- Εγγραφή
- 03-09-2011
- Μηνύματα
- 3.279
- Downloads
- 8
- Uploads
- 0
- Ταχύτητα
- Όσο πιάνει
- ISP
- Cosmote-LTE
- Router
- Mikrotik Chateau LTE18
Μια χαρα χρειαζονται τα icmp για το fine tuning...........
Άλλα Ντάλλα....
-
18-05-22, 10:34 Απάντηση: Mikrotik IPv4/IPv6 firewall #2030
Advanced Member
- Εγγραφή
- 09-03-2004
- Περιοχή
- Ag. Paraskevi / Athens
- Μηνύματα
- 534
- Downloads
- 0
- Uploads
- 0
- Τύπος
- WiFi
- Ταχύτητα
- 100/100
- ISP
- Custom
- Router
- PfSense - Mikrotik
89.248.165.0/24 = RECYBER PROJECT (UK - Netherlands), γνωστες κουφαλες, banned εδω και χρονο. Spam, port scans, ολα τα καλα.
Αρχικό μήνυμα από BillyVan
Το 163. ειναι πολυ μεγαλο.. Αν εννοεις το 163.123.142.128/25 ειναι κι αυτοι spammers, banned.
-
18-05-22, 10:54 Απάντηση: Mikrotik IPv4/IPv6 firewall #2031
Eminent Member
- Εγγραφή
- 08-11-2004
- Περιοχή
- Θεσσαλονίκη
- Ηλικία
- 59
- Μηνύματα
- 2.547
- Downloads
- 13
- Uploads
- 0
- Τύπος
- FTTH
- Ταχύτητα
- 1G/1G
- ISP
- Inalan
- Router
- Mikrotik 5009
Εννοοουσα το 89.248.163.xxx Αρχικό μήνυμα από dalex
-
18-05-22, 14:42 Απάντηση: Mikrotik IPv4/IPv6 firewall #2032
Της Παρασκευής το γάλα !!!
- Εγγραφή
- 03-09-2011
- Μηνύματα
- 3.279
- Downloads
- 8
- Uploads
- 0
- Ταχύτητα
- Όσο πιάνει
- ISP
- Cosmote-LTE
- Router
- Mikrotik Chateau LTE18
Και κατι αλλο σα συμπληρωμα, εχω την εντυπωση οτι πρωτα το port scanner σα κανονας ειναι πιο σωστο. Αν ειναι πρωτος, θα σου ριξει την ip πριν πρoλαβει να σου κανει ddos attack. Αν σου κανει ddos ομως θα σου floodarei αμεσως το ρουτερ και δε θα λειτουργει τιποτα απο ιντερνετ.
Άλλα Ντάλλα....
-
18-05-22, 16:00 Απάντηση: Mikrotik IPv4/IPv6 firewall #2033
64 65 6E 69 53 75 6E
- Εγγραφή
- 28-03-2006
- Περιοχή
- KV G434
- Ηλικία
- 49
- Μηνύματα
- 42.309
- Downloads
- 23
- Uploads
- 0
- Τύπος
- FTTH
- Ταχύτητα
- 310/31
- ISP
- Cosmote
- DSLAM
- ΟΤΕ - ΕΡΜΟΥ
- Router
- RB4011iGS+5 ONT: G-010G-R
Γι αυτό θεωρώ ότι πρέπει να πάει πάνω από το port scan. Αρχικό μήνυμα από macro
Σχετικά με το φιλτράρισμα των icmp έχω διαβάσει ότι με ενεργοποιημένο το TCP SynCookies είσαι οκ
και ότι οι νέοι πυρήνες προσφέρουν έτσι και αλλιώς προστασία για icmp.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
18-05-22, 17:35 Απάντηση: Mikrotik IPv4/IPv6 firewall #2034
Aut viam inveniam aut faciam.
- Εγγραφή
- 28-04-2005
- Μηνύματα
- 2.637
- Downloads
- 12
- Uploads
- 0
- Τύπος
- VDSL2
- Ταχύτητα
- 22000/2500
- ISP
- ΟΤΕ Conn-x
- Router
- RB4011iGS+5HacQ2HnD
Τώρα που το ανέφερες ποιες είναι οι σωστές ρυθμίσεις στα ip settings του winbox? Αρχικό μήνυμα από deniSun
- - - Updated - - -
Τώρα που το ψάχνω προτείνουν το TCP SynCookies να είναι enable.
Επίσης προτείνουν το RP filter να είναι στην επιλογή restrict.
Reccomandation: use strict mode to prevent ip spoofing from DDdoS attacksCPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
18-05-22, 18:52 Απάντηση: Mikrotik IPv4/IPv6 firewall #2035
Της Παρασκευής το γάλα !!!
- Εγγραφή
- 03-09-2011
- Μηνύματα
- 3.279
- Downloads
- 8
- Uploads
- 0
- Ταχύτητα
- Όσο πιάνει
- ISP
- Cosmote-LTE
- Router
- Mikrotik Chateau LTE18
Δεν εχει να κανει αυτο που ειπα με την ασφαλεια αλλα με το fine tuning. Γιατι να δεχεσαι ή να περιμενεις ολο το πακετο και να μη χρησιμοποιεις αυτα που χρειαζονται μονο? Για παραδειγμα αν εχεις σε ενα echo bad parameter, γιατι να περιμενεις την αρνητικη απαντηση ας πουμε και να μη το απορριπτεις κατευθειαν? Αυτο ειναι ολο.
Οσων αφορα το strict mode που λεει ο jkarabas, καλυτερα να μη το εχεις enable. Δε θυμαμαι ποια ειναι αυτα, αλλα καποια πραγματα δε δουλευουν.
Deni.....Οσων αφορα τη σειρα των ddos - port scanners, εξηγησα γιατι πρεπει να μπαινει πρωτα το port scanner rule. Επειδη στην Ελλαδα εχουμε δυναμικες ips και καθολου κανονα ddos να μην εχεις, δε τρεχει καστανο γιατι με ενα ρεσταρτ στο μοντεμ σε χασανε.Τελευταία επεξεργασία από το μέλος macro : 18-05-22 στις 18:58.
Άλλα Ντάλλα....
-
19-05-22, 19:17 Απάντηση: Mikrotik IPv4/IPv6 firewall #2036
64 65 6E 69 53 75 6E
- Εγγραφή
- 28-03-2006
- Περιοχή
- KV G434
- Ηλικία
- 49
- Μηνύματα
- 42.309
- Downloads
- 23
- Uploads
- 0
- Τύπος
- FTTH
- Ταχύτητα
- 310/31
- ISP
- Cosmote
- DSLAM
- ΟΤΕ - ΕΡΜΟΥ
- Router
- RB4011iGS+5 ONT: G-010G-R
Δεν υπάρχουν σωστά και λάθη. Αρχικό μήνυμα από jkarabas
Εξαρτάται το setup του καθενός.
Το RP filter θέλει προσοχή.
- - - Updated - - -
Εξ άλλου με το advanced fw που προτείνει η ΜΤ νομίζω ότι είσαι καλυμμένος για ip spoofing.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
19-05-22, 19:23 Απάντηση: Mikrotik IPv4/IPv6 firewall #2037
Aut viam inveniam aut faciam.
- Εγγραφή
- 28-04-2005
- Μηνύματα
- 2.637
- Downloads
- 12
- Uploads
- 0
- Τύπος
- VDSL2
- Ταχύτητα
- 22000/2500
- ISP
- ΟΤΕ Conn-x
- Router
- RB4011iGS+5HacQ2HnD
Tο TCP SynCookie το έχεις enable?
CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
19-05-22, 21:30 Απάντηση: Mikrotik IPv4/IPv6 firewall #2038
64 65 6E 69 53 75 6E
- Εγγραφή
- 28-03-2006
- Περιοχή
- KV G434
- Ηλικία
- 49
- Μηνύματα
- 42.309
- Downloads
- 23
- Uploads
- 0
- Τύπος
- FTTH
- Ταχύτητα
- 310/31
- ISP
- Cosmote
- DSLAM
- ΟΤΕ - ΕΡΜΟΥ
- Router
- RB4011iGS+5 ONT: G-010G-R
Ναι..... Αρχικό μήνυμα από jkarabas
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
28-05-22, 08:51 Απάντηση: Mikrotik IPv4/IPv6 firewall #2039
Junior Member
- Εγγραφή
- 12-09-2011
- Μηνύματα
- 95
- Downloads
- 0
- Uploads
- 0
Θα ήθελα λίγο βοήθεια με το VLAN isolation που υλοποιώ και αν είναι σωστοί οι κανόνες που έχω δηλώσει στο forward chain και η σειρά τους.
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related \
hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
add action=accept chain=forward in-interface=bridge log=yes out-interface-list=WAN
add action=accept chain=forward in-interface=bridge-2 log=yes out-interface-list=\
WAN
add action=accept chain=forward in-interface=bridge-1 log=yes \
out-interface-list=WAN
add action=accept chain=forward in-interface=bridge-4 log=yes \
out-interface-list=WAN src-address=192.168.xx.xx
add action=accept chain=forward in-interface=bridge-3 log=yes \
out-interface-list=WAN
add action=accept chain=forward comment="VLAN 2 MACHINE Management Access" log=yes out-interface=bridge-2 \
src-address=192.168.xx.xxx
add action=drop chain=forward comment="VLAN Isolation" in-interface=bridge log=yes out-interface=!bridge
add action=drop chain=forward in-interface=bridge-1 log=yes out-interface=!bridge-1
add action=drop chain=forward in-interface=bridge-2 log=yes out-interface=!bridge-2
add action=drop chain=forward in-interface=bridge-3 log=yes out-interface=!bridge-3
add action=drop chain=forward in-interface=bridge-4 log=yes out-interface=!bridge-4
add action=drop chain=forward in-interface=zerotier1 log=yes out-interface=!zerotier1
add action=drop chain=forward in-interface=!bridge log=yes out-interface=bridge
add action=drop chain=forward in-interface=!bridge-1 log=yes out-interface=bridge-1
add action=drop chain=forward in-interface=!bridge-2 log=yes out-interface=bridge-2
add action=drop chain=forward in-interface=!bridge-3 log=yes out-interface=bridge-3
add action=drop chain=forward in-interface=!bridge-4 log=yes out-interface=bridge-4
add action=drop chain=forward in-interface=!zerotier1 log=yes out-interface=zerotier1
.... συνέχεια με άλλους κανόνες άσχετους με το ερώτημά μου....
add action=drop chain=forward comment="Drop Everything Else (Forward Chain)" log=yes
Όσον αφορά τους κανόνες που είναι με έντονο κείμενο τους έβαλα γιατί αλλιώς δεν είχα πρόσβαση στο internet σε κανένα bridge-vlan (μόνο εσωτερικά)
Πιστεύετε ότι είναι σωστοί οι κανόνες όπως τους έχω;
Μήπως θα έπρεπε τους πρώτους έντονους να τους κάνω π.χ.
add action=accept chain=forward in-interface=bridge log=yes out-interface-list=WAN connection-state=new
ή δεν παίζει ρόλο;
Σας ευχαριστώΤελευταία επεξεργασία από το μέλος unemployed_ghost : 28-05-22 στις 09:11.
-
28-05-22, 10:03 Απάντηση: Mikrotik IPv4/IPv6 firewall #2040
64 65 6E 69 53 75 6E
- Εγγραφή
- 28-03-2006
- Περιοχή
- KV G434
- Ηλικία
- 49
- Μηνύματα
- 42.309
- Downloads
- 23
- Uploads
- 0
- Τύπος
- FTTH
- Ταχύτητα
- 310/31
- ISP
- Cosmote
- DSLAM
- ΟΤΕ - ΕΡΜΟΥ
- Router
- RB4011iGS+5 ONT: G-010G-R
Στην ουσία του λες ότι όλα τα bridgeX να μπορούν να βγαίνουν σε wan
αλλά να μην επικοινωνούν μεταξύ τους.
Από την στιγμή που σου δουλεύει είναι οκ. Αρχικό μήνυμα από unemployed_ghost
Με το connection-state = new θα γλυτώσεις από περισσότερους ελέγχους. Αρχικό μήνυμα από unemployed_ghost
Εξαρτάται φυσικά και από την κίνηση που έχεις.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
ΠαράθεσηΠαρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks