Σελ. 61 από 141 ΠρώτηΠρώτη ... 4151565960616263667181 ... ΤελευταίαΤελευταία
Εμφάνιση 901-915 από 2110
  1. #901
    Εγγραφή
    25-10-2011
    Ηλικία
    39
    Μηνύματα
    515
    Downloads
    2
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    51200/5120
    ISP
    ΟΤΕ Conn-x
    Router
    Mikrotik RB951G-2HnD
    SNR / Attn
    3.5(dB) / 31.3(dB)
    Παράθεση Αρχικό μήνυμα από macro Εμφάνιση μηνυμάτων
    δε χρειαζεται καν ο κανονας, τον πιανει το drop everything else στο τελος.
    Ανφέρθηκα στο παρακάτω το οποίο δεν είναι υποχρεωτικό να χρησιμοποιηθεί μαζί με το firewall μου ανέβασες
    Παράθεση Αρχικό μήνυμα από Nikiforos Εμφάνιση μηνυμάτων
    Κώδικας:
    add action=drop chain=input dst-port=53 in-interface=ppp-out1 protocol=tcp
    add action=drop chain=input dst-port=53 in-interface=ppp-out1 protocol=udp
    Παράθεση Αρχικό μήνυμα από Nikiforos Εμφάνιση μηνυμάτων

    Ο κανονας για το DNS τελικα θελει interface in ή οχι ? σε αλλες σελιδες λεει οτι βαζεις το WAN ενω αλλου δεν εχει.
    Νομιζω αμα δεν εχει πιανει τους παντες ομως. Εμενα με ενδιαφερει να μην εχει απο εξω.

  2. #902
    Εγγραφή
    13-02-2004
    Περιοχή
    Αθήνα
    Μηνύματα
    17.103
    Downloads
    4
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    200/200 Mbps
    ISP
    Inalan FTTH
    Router
    CRS109-8G-1S-2HnD+HapAC2
    Παράθεση Αρχικό μήνυμα από macro Εμφάνιση μηνυμάτων
    δε χρειαζεται καν ο κανονας, τον πιανει το drop everything else στο τελος.
    σε καμια περιπτωση....
    τα ειχα ολα αυτα και παρολαυτα με σκισανε λογω του DNS....
    αμα ψαξεις εχει 10 σελιδες τουλαχιστον που τα λενε!

    Παράθεση Αρχικό μήνυμα από kostas2911 Εμφάνιση μηνυμάτων
    Εννοείται ότι αν δεν έχει interfaces τα πιάνει όλα.
    Μόνο το wan και είσαι οκ
    αυτο εχω καταλαβει και εγω γιαυτο και εχω βαλει το ppp-out1.
    Αναφερομαι στον κανονα για τα DNS μονο.

    https://www.facebook.com/academiamik...41801269204258

    HOW TO PROTECT FROM DNS ATTACK!
    Some simple rules to do for this:

    1: Redirect all queries from your network to your ISP DNS.
    /ip firewall nat
    add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53
    2. Block external DNS queries to your Mikrotik routerboard
    /ip firewall filter
    add chain=input protocol=udp dst-port=53 in-interface=WAN action drop
    add chain=input protocol=tcp dst-port=53 in-interface=WAN action drop

    Εχω και το ΝΑΤ σορρυ ξεχασα να το αναφερω πριν....

    Κώδικας:
    /ip firewall nat
    add action=redirect chain=dstnat comment="Redirect all DNS queries from my network to ISP DNS" dst-port=53 protocol=udp to-ports=53
    
    /ip firewall filter
    add action=drop chain=input dst-port=53 in-interface=ppp-out1 protocol=tcp
    add action=drop chain=input dst-port=53 in-interface=ppp-out1 protocol=udp
    ειχα ΟΛΟΥΣ τους γενικους κανονες που εχουμε αναφερει και με ειχαν σκισει ενα ΣΚ και τα δεδομενα βαρεσανε κοφτες!!! οταν εψαξα να δω τι εγινε απο τις συνδεσεις ειδα συνδεσεις απο εξωτερικο στην 53!!!!
    εβαλα τους παραπανω κανονες και σωθηκα!!!!
    το προβλημα ισχυει ΜΟΝΟ αν εχουμε ενεργο DNS server και με allow remote requests....
    Τελευταία επεξεργασία από το μέλος Nikiforos : 03-02-18 στις 22:08.

  3. #903
    Εγγραφή
    03-09-2011
    Μηνύματα
    3.275
    Downloads
    8
    Uploads
    0
    Ταχύτητα
    Όσο πιάνει
    ISP
    Cosmote-LTE
    Router
    Mikrotik Chateau LTE18
    Και ομως κοβεται, το εχω ρωτησει στη μικροτικ το συγκεκριμενο και μου απαντησαν οτι κοβεται. Οτιδηποτε in interface κοβεται απο το drop everything.
    Άλλα Ντάλλα....

  4. #904
    Εγγραφή
    13-02-2004
    Περιοχή
    Αθήνα
    Μηνύματα
    17.103
    Downloads
    4
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    200/200 Mbps
    ISP
    Inalan FTTH
    Router
    CRS109-8G-1S-2HnD+HapAC2
    εγω ειχα τον κανονα παντως και περασαν στην 53....
    οταν εβαλα τα παραπανω δεν ξαναεγινε ποτε τπτ και παλι καιρος πολυς απο τοτε!
    και εξαλου και αμα τους εχω δεν πειραζει πουθενα αλλωστε και προτεινονται απο παντου οι κανονες αυτοι.

  5. #905
    Εγγραφή
    14-05-2004
    Περιοχή
    GR/Crete
    Ηλικία
    38
    Μηνύματα
    5.194
    Downloads
    25
    Uploads
    0
    Ταχύτητα
    24576/1024
    ISP
    OTEnet
    Router
    Siemens κάτι
    SNR / Attn
    9,1(dB) / 28(dB)
    Path Level
    Fastpath
    Κόβονται στο τέλος. Αν όχι τότε υπάρχει αλλού τρύπα μαλλον.

    Τους είχα βάλει όταν χρησιμοποιουσα το τρύπιο firewall του denisun στο πρώτο ποστ και είχα θέματα με υψηλή χρήση επεξεργαστή από τον dns server.

  6. #906
    Εγγραφή
    25-10-2011
    Ηλικία
    39
    Μηνύματα
    515
    Downloads
    2
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    51200/5120
    ISP
    ΟΤΕ Conn-x
    Router
    Mikrotik RB951G-2HnD
    SNR / Attn
    3.5(dB) / 31.3(dB)
    Παράθεση Αρχικό μήνυμα από macro Εμφάνιση μηνυμάτων
    Και ομως κοβεται, το εχω ρωτησει στη μικροτικ το συγκεκριμενο και μου απαντησαν οτι κοβεται. Οτιδηποτε in interface κοβεται απο το drop everything.
    Αν δεν έχεις κάποιο κανόνα παραπάνω που να κάνει conflict όντως θα έπρεπε να κόβονται με τον κανόνα που λες

  7. #907
    Εγγραφή
    13-02-2004
    Περιοχή
    Αθήνα
    Μηνύματα
    17.103
    Downloads
    4
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    200/200 Mbps
    ISP
    Inalan FTTH
    Router
    CRS109-8G-1S-2HnD+HapAC2
    Καλημερα, δεν βλεπω καποιο λαθος πουθενα....
    οποτε εγω τους αφηνω να ειμαι καλυμμενος οπως και να εχει, κακο δεν κανουν, η φασολαδα μονο κανει....

  8. #908
    Εγγραφή
    03-09-2011
    Μηνύματα
    3.275
    Downloads
    8
    Uploads
    0
    Ταχύτητα
    Όσο πιάνει
    ISP
    Cosmote-LTE
    Router
    Mikrotik Chateau LTE18
    Νικηφορε....

    Για να μην εχεις κανονες διπλους και αχρειαστους στα χαμενα, καλο ειναι να τους δοκιμαζεις.
    Εγω αν θελω ας πουμε να δω αν κατι μου το κοβει το drop everything, το βαζω απο κατω και παρακολουθω αν γραφει ο κανονας.

    Αν δε γραψει σε καποιο ευλογο χρονικο διατημα σημαινει οτι τον κοβει ο drop απο πανω και δε χρειαζεται. Αν γραφει ομως εχω τρυπα.

    Κανε το ιδιο και εσυ.........
    Τελευταία επεξεργασία από το μέλος macro : 05-02-18 στις 20:57.
    Άλλα Ντάλλα....

  9. #909
    Εγγραφή
    13-02-2004
    Περιοχή
    Αθήνα
    Μηνύματα
    17.103
    Downloads
    4
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    200/200 Mbps
    ISP
    Inalan FTTH
    Router
    CRS109-8G-1S-2HnD+HapAC2
    καλησπερα, εχεις δικιο δεν εχουν μετρησεις τιποτα!
    ομως επειδη δεν εχω χρονο να τα τσεκαρω ολα αυτες τις μερες για τωρα θα τα αφησω οπως εχουν.

  10. #910
    Εγγραφή
    14-05-2004
    Περιοχή
    GR/Crete
    Ηλικία
    38
    Μηνύματα
    5.194
    Downloads
    25
    Uploads
    0
    Ταχύτητα
    24576/1024
    ISP
    OTEnet
    Router
    Siemens κάτι
    SNR / Attn
    9,1(dB) / 28(dB)
    Path Level
    Fastpath
    για τον συγκεκριμένο κανόνα για παράδειγμα δε γίνεται αυτό που λες

    γιατί αν δεν τον κόβει ο drop all others σημαίνει ότι υπάρχει κανόνας που κάνει ACCEPT
    οπότε αφού περάσει το ACCEPT ότι και να βάλεις απο κάτω ΔΕΝ θα κάνει κάτι

    Αυτό που μπορεί να κάνει είναι να βγάλει τον κανόνα "drop dns" και να δοκιμάσει απο άλλο μηχάνημα αν μπορεί να χρησιμοποιήσει το μηχάνημα σαν dns server (ή με κάποιο πιο έξυπνο τρόπο που δε γνωρίζω).

  11. #911
    Εγγραφή
    15-11-2002
    Περιοχή
    ΠΑΤΡΑ - ΑΝΩ ΠΟΛΗ
    Ηλικία
    48
    Μηνύματα
    1.538
    Downloads
    3
    Uploads
    0
    Άρθρα
    2
    Τύπος
    VDSL2
    ISP
    Vodafone
    Εμενα παντως κατι κοβει

    Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση. 

Όνομα:  Screenshot_2018-02-05_20-22-48.png 
Εμφανίσεις:  17 
Μέγεθος:  17,6 KB 
ID: 191093

  12. #912
    Εγγραφή
    03-09-2011
    Μηνύματα
    3.275
    Downloads
    8
    Uploads
    0
    Ταχύτητα
    Όσο πιάνει
    ISP
    Cosmote-LTE
    Router
    Mikrotik Chateau LTE18
    Theodor....

    Οκ υποτιθεται οτι ξερουμε πανω κατω τι εχουμε στο firewall μας και τι επιτρεπουμε και δεν ειναι ολο copy paste απο το ιντερνετ. Ασε που πιστευω οτι τον κοβει και απλα ο Νικηφορος επειδη τον ειχε πιει παλιοτερα, φοβαται λιγο.

    Γαλοτσας...

    Σε ολους κοβει αν το εχουμε πανω απο το drop everything else........ αλλο ειπα εγω.
    Άλλα Ντάλλα....

  13. #913
    Εγγραφή
    13-02-2004
    Περιοχή
    Αθήνα
    Μηνύματα
    17.103
    Downloads
    4
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    200/200 Mbps
    ISP
    Inalan FTTH
    Router
    CRS109-8G-1S-2HnD+HapAC2
    Παράθεση Αρχικό μήνυμα από galotzas Εμφάνιση μηνυμάτων
    Εμενα παντως κατι κοβει

    Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση. 

Όνομα:  Screenshot_2018-02-05_20-22-48.png 
Εμφανίσεις:  17 
Μέγεθος:  17,6 KB 
ID: 191093
    α εμενα δεν μετραει, μαλλον οπως τα λενε το εχεις ποιο πανω, εγω τα εχω κατω κατω οποτε κοβουν οι αλλοι.

    Παράθεση Αρχικό μήνυμα από macro Εμφάνιση μηνυμάτων
    Οκ υποτιθεται οτι ξερουμε πανω κατω τι εχουμε στο firewall μας και τι επιτρεπουμε και δεν ειναι ολο copy paste απο το ιντερνετ. Ασε που πιστευω οτι τον κοβει και απλα ο Νικηφορος επειδη τον ειχε πιει παλιοτερα, φοβαται λιγο.
    Εγω ξερω τι κανουν ολα αυτα που εχω στο firewall μου παντως, απλα εχω μερικους κανονες παραπανω για ασφαλεια που οι γενικοι κανονες πιανουν και αυτα ετσι κι αλλιως.
    Απλα επειδη με την κινητη με ειχαν σκισει εχω βαλει πολλα παραπανω, αυτα στο 951 με την κινητη, στο 109 με το pppoe-client εχω λιγοτερους.
    Θελει ξεκαθαρισμα καποια στιγμη αλλα δεν ασχολουμε τωρα, παντως κακο δεν κανουν να υπαρχουν παραπανω, να λειπουν αυτοι που πρεπει κανει ΠΟΛΥ κακο ομως οπως εχει αποδειχτει αλλωστε σε εμενα...
    Εκει που βρισκουμε τους κανονες για τα filters μιλωντας λενε και τι κανει ο καθενας, διαβαζουμε και μαθαινουμε, τωρα αν καποιος απλα κανει copy-paste και δεν διαβαζει τι κανουν τι να πω τοτε...
    εγω διαβαζω παντως και τους σημειωνω κιολας για να ξερω σε ενα αρχειο κειμενου.
    Μεχρι και κανονες για brute force attacks εχω πχ για SSH, telnet, FTP κτλ που και αυτοι ειναι αχρειαστοι γιατι μετα τα εβαλα ολα να μην παιζουν απο ιντερνετ οποτε μπαινω ΜΟΝΟ μεσω openvpn ή τοπικα.
    Απλα εχουν μεινει ακομα οι κανονες μεσα.
    Τελευταία επεξεργασία από το μέλος Nikiforos : 05-02-18 στις 22:43.

  14. #914
    Εγγραφή
    14-05-2004
    Περιοχή
    GR/Crete
    Ηλικία
    38
    Μηνύματα
    5.194
    Downloads
    25
    Uploads
    0
    Ταχύτητα
    24576/1024
    ISP
    OTEnet
    Router
    Siemens κάτι
    SNR / Attn
    9,1(dB) / 28(dB)
    Path Level
    Fastpath
    Παράθεση Αρχικό μήνυμα από macro Εμφάνιση μηνυμάτων
    Theodor....

    Οκ υποτιθεται οτι ξερουμε πανω κατω τι εχουμε στο firewall μας και τι επιτρεπουμε και δεν ειναι ολο copy paste απο το ιντερνετ. Ασε που πιστευω οτι τον κοβει και απλα ο Νικηφορος επειδη τον ειχε πιει παλιοτερα, φοβαται λιγο.

    Γαλοτσας...

    Σε ολους κοβει αν το εχουμε πανω απο το drop everything else........ αλλο ειπα εγω.
    Παράθεση Αρχικό μήνυμα από macro Εμφάνιση μηνυμάτων
    Νικηφορε....

    Για να μην εχεις κανονες διπλους και αχρειαστους στα χαμενα, καλο ειναι να τους δοκιμαζεις.
    Εγω αν θελω ας πουμε να δω αν κατι μου το κοβει το drop everything, το βαζω απο κατω και παρακολουθω αν γραφει ο κανονας.

    Αν δε γραψει σε καποιο ευλογο χρονικο διατημα σημαινει οτι τον κοβει ο drop απο πανω και δε χρειαζεται. Αν γραφει ομως εχω τρυπα.

    Κανε το ιδιο και εσυ.........
    σου ξαναλέω
    Δεν έχει νόημα το bold γιατί αν δεν τον κόβει το drop everything else τότε ή τον κόβει άλλος κανόνας είτε τον αφήνει.
    Μετά απο τον drop everything else δεν έχει νόημα να μπεί κάτι ούτε για δοκιμή που λές εκτός αν δεν έχουμε σωστό drop everything else ή δεν υπάγεται σε αυτόν.
    Βάζεις ένα passthrough απο πάνω και ένα log στον κανόνα που θές να κάνει drop/accept και τσεκάρεις ότι τα πιάνεις όλα.
    Μετά τον drop everything else πρακτικά δε γίνεται να περάσει τίποτα εκτός αν είναι λάθος ο κανόνας!!!
    Βάζεις chain=input/forward action=drop οπότε τί να ΜΗ πιάσει? Δεν υπάρχει κάποιο κριτήριο!


    Ο Nikiforos αν θυμάμαι καλά δεν είχε drop everything else (copy paste του Denisun μάλλον όπως και πολλοί άλλοι) ή το είχε περιορίσει μόνο για pppoe-client και δεν έπιανε το νετ της κινητής. Για αυτό έβαλε έξτρα κανόνα αντί να φτιάξει τον drop everything else.

  15. #915
    Εγγραφή
    13-02-2004
    Περιοχή
    Αθήνα
    Μηνύματα
    17.103
    Downloads
    4
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    200/200 Mbps
    ISP
    Inalan FTTH
    Router
    CRS109-8G-1S-2HnD+HapAC2
    καλημέρα, macro εχεις μπερδεψει πολλα πραγματα....

    το 951 είναι με κινητη με στικακι 4G usb στο εξοχικο, ΟΥΔΕΠΟΤΕ φτιαχτηκε firewall εκει βαση κανενος, πηρα γενικους κανονες που ειχα βγαλει φωτος τους εγραψα με το χερι γιατι ημουν και με ένα netbook που δεν είναι για να ανοίξεις ουτε σελιδα (1Ghz cpu, 512mb ram) και μετα εβαλα τους δικους μου και προσθεσα λιγακι αργοτερα μερικους ακομα για brute force attacks και DNS όταν την επαθα με αυτό.
    Οι κανονες με τα drop ΠΑΝΤΑ υπηρχαν μπηκαν από την 1η μερα που μου εκανε η cosmote το apn vpn-internet και πηρα public ip.
    Γιαυτο κιολας στην αρχη ειχα πολλα θεματα με τα vpn γιατι ηθελε κανονες να επιτρεπω subnets κτλ.
    Επισης εκει ΔΕΝ υπαρχει κανενα pppoe-client αυτό είναι στο 109 στην Αθηνα που εχω adsl modem και γραμμη φυσικα, στο εξοχικο δεν εχω γραμμη γιαυτο εχω βαλει κινητη cosmote 4G με παγια συνδεση (εχω και AWMN αλλα τον περισσοτερο καιρο ειμαστε μονο με τους γειτονες δικτυωμένοι).

    Στην Αθηνα τωρα ειχε μπει του Deni στο 109 και εκει ηθελε αλλαγες αλλα και παλι τους εχω αυτους τους κανονες, αλλα ουτε για DNS εχω , ουτε για brute force attacks κτλ.
    Απλα στο 951 την ωρα που το εστεινα ειχα πολλες επιθεσεις και γιαυτο τα εβαλα, και αργοτερα και το θεμα με το DNS, αλλα είμαι 99,9% ότι ειχα τους κανονες με το drop γιατι τους εβαλα την 1η μερα όπως θυμαμαι.
    Μπορει να ειχα κανει λαθος στον κανονα όμως και αντι να είναι για ppp-out1 να τον ειχα βαλει πχ στην ether1. Aυτο ναι μπορει, γιατι εκανα αλλαγες αργοτερα.

Σελ. 61 από 141 ΠρώτηΠρώτη ... 4151565960616263667181 ... ΤελευταίαΤελευταία

Παρόμοια Θέματα

  1. Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
    Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDs
    Μηνύματα: 136
    Τελευταίο Μήνυμα: 24-05-23, 22:17
  2. Μηνύματα: 493
    Τελευταίο Μήνυμα: 18-05-19, 17:35
  3. Mikrotik 2011 DHCP lease failed without success Point to Multipoint
    Από jvam στο φόρουμ Networking
    Μηνύματα: 2
    Τελευταίο Μήνυμα: 18-10-14, 21:56
  4. IPV6 + IPV4 SPEED TEST
    Από babis3g στο φόρουμ ADSL
    Μηνύματα: 7
    Τελευταίο Μήνυμα: 05-09-14, 18:00

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας