Θεωρητικά βάσει documentation αυτό είναι το σωστό που λέει ο Κώστας (έτσι το έχω και εγώ). Τώρα, εάν το RouterOS είναι αρκετά έξυπνο να ταιριάξει το 4/0 με το 4/4, το οποίο -- μαθηματικά μιλώντας -- είναι στην ουσία το ίδιο πράγμα, και τα ορίσεις τα συγκεκριμένα στην ίδια γραμμή η οποία έχει 2πλάσιο bandwidth, τότε ίσως να δουλεύει σωστά από σπόντα!
Όσον αφορά τη συζήτηση περί "only-addresses" ή "both-addresses-and-ports", όσο περνούν τα χρόνια και τα web applications γίνονται Mobile friendly, δεν θα παρουσιάζονται προβλήματα με τη 2η μέθοδο. Mobile friendly σημαίνει ότι επειδή κινούμαστε με το κινητό μας π.χ. μεταξύ 3G και wi-fi, αλλάζει η WAN IP του κινητού μας. Αυτό το αντιλήφθηκαν οι web developers και δεν κλειδώνουν πια το session μας με την IP address αλλά με άλλα αναγνωριστικά (όπως το browser cookie). Έτσι σιγά σιγά θα συναντάμε όλο και λιγότερα sites που έχουν πρόβλημα όταν αλλάζουμε ξαφνικά IP address, ακόμη και τα web banking που ίσως θεωρούσαν παραδοσιακά ότι κλειδώνοντας και στην IP address δημιουργούσαν μια έξτρα προϋπόθεση ασφαλείας.
Εμφάνιση 1.006-1.020 από 2112
-
17-03-18, 13:37 Απάντηση: Mikrotik IPv4/IPv6 firewall #1006
-
17-03-18, 13:42 Απάντηση: Mikrotik IPv4/IPv6 firewall #1007
-
18-03-18, 11:57 Απάντηση: Mikrotik IPv4/IPv6 firewall #1008
Όπως το υπέθετα (και για αυτό όλες οι υπόλοιπες κάμερες δε βλέπουν WAN) οι κάμερες μου έχουν backdoor.
Επειδή έχω μία κάμερα στο δρόμο που θέλω να μου στέλνει εμαιλ της έχω αφήσει πρόσβαση πρός τα έξω (αλλά όχι προς τα μέσα με τη μορφή dstnat ή firewall dst-address accept).
Λογικά κάποιος δε μπορεί να τη δεί εκτός αν η ίδια η κάμερα μιλάει με κάποιο σερβερ επίτηδες (εκτός του mail server).
Τα backdoor περιγράφονται εδώ
http://seclists.org/fulldisclosure/2017/Sep/23
για παράδειγμα ένα απο τα 3 λινκς
Κώδικας:http://camera.ip/onvif-http/snapshot?auth=YWRtaW46MTEK
Ή έχει κάποιος κάποια άλλη ιδέα? Η κίνηση είναι μόνο μέσω http
- - - Updated - - -
Τουλάχιστον για το LAN δουλεύει.
Υποθέτω ότι θα δουλέψει και για το WAN.
Κώδικας:add action=drop chain=forward comment="Hikvision backdoor" content=YWRtaW46MTEK dst-address=192.168.254.6 log=yes log-prefix="Hikvision backdoor"
Αν και εκτός θέματος, στα πολύ γρήγορα απλά για να το ψάξω.
Κάποια άλλη ιδέα να μου έρχονται οι φωτογραφίες στο κινητό?
Η κάμερα μπορεί να αποθηκεύει τις φωτογραφίες μέσω ftp σε κάποιο φάκελο στο σερβερ.
Απο εκεί πώς θα φεύγουν?
-
18-03-18, 12:08 Απάντηση: Mikrotik IPv4/IPv6 firewall #1009
1) Δεν επιμενω για τους διαιρετες, απλα τονιζω οτι καποια στιγμη που ηθελα να το κανω αυτο σε 2 wan, το εκανα με 2/0-2/1-2/2 και πραγματικα δουλευε μια χαρα.
2) Ο φιλος elias νομιζω απαντησε γιατι το both-addresses-and-ports δεν εχει προβλημα τωρα πια.Άλλα Ντάλλα....
-
18-03-18, 13:37 Απάντηση: Mikrotik IPv4/IPv6 firewall #1010
Είμαι 99.99% σίγουρος ότι δε γινόταν οι μοιρασιά που ήθελες!
Μέσω interfaces φαίνονται πόσα πακέτα έχουν περάσει απο την κάθε σύνδεση και βλέπεις πόσο σωστά γίνεται το μοίρασμα.
Για το 2 αυτό πρέπει να είναι και ακούγεται απόλυτα λογικό.
- - - Updated - - -
The vulnerability exploited open port 80 from Internet side. Don’t leave any open ports on the input chain unless you limit access to your own IP.
https://forum.mikrotik.com/viewtopic.php?f=2&t=131748
Αυτό επιβεβαιώνει το πανέξυπνο κόλπο που είχα διαβάσει στο reddit και σας είχα περιγράψει.
Προσωπικά θα το ξεκινήσω αφού είναι πολύ πιο αποδοτικό απο οποιοδήποτε vpn και πιστεύω εξίσου ασφαλές.
Στα πολύ γρήγορα, βάζουμε το κινητό να ενημερώνει το dynamic dns για παράδειγμα tokinitomoy.duckdns.org
και αφήνουμε στο ρούτερ πρόσβαση μόνο απο το παραπάνω όνομα (μέσω address list)
Η καθυστέρηση ενημέρωσης της ΙΡ στα γρήγορα είδα ότι είναι <1'
-
18-03-18, 13:44 Απάντηση: Mikrotik IPv4/IPv6 firewall #1011
-
18-03-18, 14:08 Απάντηση: Mikrotik IPv4/IPv6 firewall #1012
κάνοντας δοκιμή τώρα... με noip... δεν συνδέετε καν....μα όταν είσαι πίσω από ΝΑΤ... μπορεί να δουλέψει?
RB3011 & RB LHGG & ZTE MC8020 | ucm6202 | fritzbox 7390 | HP microserver gen8 | Raspberry pi 2 tvserver | ....και αρκετά ακόμη...
-
18-03-18, 14:11 Απάντηση: Mikrotik IPv4/IPv6 firewall #1013
Τώρα που το δοκίμασα όντως ήταν πίσω απο ΝΑΤ οπότε έχεις δίκιο.
Όταν το είχα ξαναδοκιμάσει είχα μοναδική ΙΡ (94.χχχ) και δε νομίζω να ήμουν πίσω απο landline wifi.
Υπάρχει η δυνατότηα να ζητήσω απο τη Cosmote να μή με βγάζει πίσω απο ΝΑΤ? Έχω σύνδεση.
-
18-03-18, 14:14 Απάντηση: Mikrotik IPv4/IPv6 firewall #1014
-
18-03-18, 17:02 Απάντηση: Mikrotik IPv4/IPv6 firewall #1015
Καλησπέρα!
Τα έχω γράψει και στο θέμα κινητής. Όλες οι καρτοκινητες είναι μόνο πίσω από ΝΑΤ. Σε πάγιες συνδέσεις ζητάμε public ip. Όπως κάνα και εγώ και όταν το κάνουν τότε στο apn αντί Internet, γράφουμε vpn-Internet. Αν είμαστε πίσω από ΝΑΤ δεν ανοίγουν κανονικές πόρτες και δεν παίζουν υπηρεσίες ddns όπως πχ το Noip
-
18-03-18, 17:04 Απάντηση: Mikrotik IPv4/IPv6 firewall #1016
-
18-03-18, 18:44 Απάντηση: Mikrotik IPv4/IPv6 firewall #1017
Εγώ γιαυτο στο εξοχικό Έβαλα cosmote mobile Internet, αλλά υπάρχει τρόπος να κάνουμε την δουλειά μας με ssh ή vpn tunneling αλλά χρειάζεται ένας Linux server και μια γραμμή που να έχει public ip.
- - - Updated - - -
Επειδή τα εχω γράψει εκεί αναλυτικότερα που είναι το σωστότερο θέμα γιαυτό το ανέφερα. Δεν την είπα σε κανέναν... Τώρα ειμαι από κινητό δεν μπορώ να γράψω εκθέσεις...
- - - Updated - - -
καλησπέρα!
ναι τα ιδια παθαινα και εγω οταν εκανα δοκιμες στο θεμα της κινητης με το twin sim cosmote whats up.
Ειχα μιλησει μαζι τους και μου εστειλαν email οτι πρεπει να κανω παγια συνδεση ιντερνετ.
Οταν την εκανα ΠΑΛΙ ειχα ip πισω απο ΝΑΤ!
και μου ειπαν οτι απο default δινουν ετσι, αλλα οταν κανεις παγια συνδεση μπορεις τηλεφωνικα να ζητησεις να παρεις vpn-internet, ετσι λενε αυτο το apn.
Οταν ενεργοποιηθει θα σε ενημερωσουν με SMS και μετα αλλαζεις το ονομα του apn απο σκετο ιντερνετ σε vpn-internet.
Και απο τοτε και μετα θα εχεις ΠΑΝΤΑ μονο public ips και κανεις τα παντα!
μονο προσεξε μετα θες πολυ καλοστημενο firewall!
εγω μεχρι να το στησω με εσκιζαν συνεχεια!
αυτα εννοουσα πριν οτι δεν μπορουσα να γραψω εκθεσεις, γιατι ημουν σε φιλικο σπιτι και απο κινητο και με χαλια σημα....τωρα που ηρθα σπιτι σου απαντησα, απλα ανεφερα το θεμα επειδη εκει τα ειχα πει ποιο αναλυτικα ολα αυτα. Εξηγουμε για να μην παρεξηγουμε.
-
19-03-18, 01:02 Απάντηση: Mikrotik IPv4/IPv6 firewall #1018
ερώτηση προς ειδικούς...
το freepbx έχει το fail2ban για την ασφάλεια από μη εξουσιοδοτημένους χρήστες στα extension του. που αν κάποιος προσπαθήσει 1-2 φόρες τρώει ban για Χ διάστημα.
παίζει να το κάνει αυτό το mikrotik, δηλαδή μπορεί ας πούμε να καταλάβει αν μια σύνδεση udp με πόρτα 5060 προς το κέντρο είναι οκ... και αν οχι να τον βάζει στην άκρη?RB3011 & RB LHGG & ZTE MC8020 | ucm6202 | fritzbox 7390 | HP microserver gen8 | Raspberry pi 2 tvserver | ....και αρκετά ακόμη...
-
19-03-18, 07:25 Απάντηση: Mikrotik IPv4/IPv6 firewall #1019
καλημέρα και καλη εβδομαδα!
εχω βρει αυτά και μερικα απο αυτά τα εχω βαλει στο rb με την κινητη για παραπανω ασφαλεια, φανταζομαι με μερικες τροποποιήσεις ισως να κανουν αυτό που θες.
http://www.linux-sys-adm.com/how-to-...l-on-mikrotik/
-
19-03-18, 09:31 Απάντηση: Mikrotik IPv4/IPv6 firewall #1020
αυτό έχω για τη θύρα του winbox
με την προϋπόθεση ότι στο τέλος υπάρχει κανόνας input drop all others
αλλιώς βάλε εσύ ένα drop
Κώδικας:add action=add-src-to-address-list address-list=wb_blacklist address-list-timeout=1w3d chain=input comment="WinBox brute forcers blacklisting" connection-state=new \ dst-port=8291 protocol=tcp src-address-list=wb_stage3 add action=add-src-to-address-list address-list=wb_stage3 address-list-timeout=1m chain=input comment="WinBox brute forcers the third stage" connection-state=new \ dst-port=8291 protocol=tcp src-address-list=wb_stage2 add action=add-src-to-address-list address-list=wb_stage2 address-list-timeout=1m chain=input comment="WinBox brute forcers the second stage" connection-state=new \ dst-port=8291 protocol=tcp src-address-list=wb_stage1 add action=add-src-to-address-list address-list=wb_stage1 address-list-timeout=1m chain=input comment="WinBox brute forcers the first stage" connection-state=new \ dst-port=8291 protocol=tcp src-address-list=!wb_stage1 add action=accept chain=input dst-port=8291 protocol=tcp src-address-list=!wb_blacklist
Παρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks