Mikrotik IPv4/IPv6 firewall

[BillyVan]

Εξαρταται πως εχεις στημενα πολλα πραγματα.

Ας πουμε απο Ελλαδα ειναι allow μεν αλλα μεχρι ενα σημειο.

Αν προσπαθησει μια ιπ ελληνικη να μπει 3 φορες σε vpn δικο μου (με λαθος στοιχεια) την μπλοκαρω.

Αν απο εξωτερικο προσπαθησουν να συνδεθουν στο vpn μου και δεν ειναι στη λιστα οκ ολα καλα.

Απο Κινα πχ δε θελω παρε δωσε οποτε τρωνε πορτα.

Οπως το λες συμφωνω σε μεγαλο βαθμο αλλα δεν ειναι ασπρο μαυρο στο στησιμο και τις αναγκες του καθενος μας.

[deniSun]

Εξαρταται πως εχεις στημενα πολλα πραγματα.

Ας πουμε απο Ελλαδα ειναι allow μεν αλλα μεχρι ενα σημειο.

Αν προσπαθησει μια ιπ ελληνικη να μπει 3 φορες σε vpn δικο μου (με λαθος στοιχεια) την μπλοκαρω.

Αν απο εξωτερικο προσπαθησουν να συνδεθουν στο vpn μου και δεν ειναι στη λιστα οκ ολα καλα.

Απο Κινα πχ δε θελω παρε δωσε οποτε τρωνε πορτα.

Οπως το λες συμφωνω σε μεγαλο βαθμο αλλα δεν ειναι ασπρο μαυρο στο στησιμο και τις αναγκες του καθενος μας.

Εγώ θα το έκανα ως εξής:
block όλη η Κίνα
οτιδήποτε άλλο με έλεγχο για 3 fail.
Έτσι θα έχεις μόνο μία λίστα.

Το έχω γράψει πολλές φορές ότι οι μεγάλες λίστες δεν μπορούν να διαχειριστούν από κανένα ρούτερ.
Δεν είναι αυτός ο ρόλος τους.
Το είχα δοκιμάσει παλιότερα σε adblock κλπ.
Στην ουσία θα δουλέψει αλλά θα χάσεις σε απόδοση.
Στην δική σου περίπτωση με τις λίστες που βάζεις θα καθυστερεί μόνο κατά την ανανέωση της λίστας (στην ουσία θα είναι σαν να freezeάρει το ρούτερ κατά την διαδικασία)
και κατά την πρώτη σύνδεση των χρηστών.
Αντίστοιχες υλοποιήσεις σε ubi γίνονται με άλλες λογικές.
Δηλώνεις όσες geo IP lists θέλεις και ο έλεγχος γίνεται από δικό τους server.
Στο ρούτερ δεν φορτώνεται τίποτε.
Το ίδιο γίνεται και με την υπηρεσία adblock που προσφέρουν.
Προφανώς δεν υπάρχει έλεγχος στις λίστες αυτές (δεν μπορείς να δηλώσεις κάποια μπλοκαρισμένη ΙΡ ή range ως white).

[teodor_ch]

Εναλλακτικά αφήνεις μόνο το cloudflare και μπαίνεις μέσω αυτού.
Εκεί μπλοκάρεις ότι θέλεις. Μπορείς να προσθέσεις και access control.

[jkarabas]

Στο RAW blacklist δεν χρησιμοποιείτε;
Έγινε ολόκληρη κουβέντα παλιότερα για αυτό το λόγο και τον σκοπό που το κάνουμε.

[macro]

Αληθεια υπαρχει σκοπος? Εγω που ειμαι πισω απο cgnat, ουτε FW δεν εχω περασει στο ρουτερ, αφου δε με φτανει κανεις.

[BillyVan]

Αληθεια υπαρχει σκοπος? Εγω που ειμαι πισω απο cgnat, ουτε FW δεν εχω περασει στο ρουτερ, αφου δε με φτανει κανεις.

Συμφωνω απολυτα.

Ετσι ακριβως ημουνα για χρόνια και ποτε δεν ειχα κανενα απολυτως πρόβλημα.

Και δε χρειαζεται cgnat για να εισαι οκ (βεβαια δεν εχεις public ip πχ) , φτανει και το ρουτερ του παροχου και μετα το Μικροτικ μια χαρα παιζει και το διπλο νατ οταν ρυθμιστει σωστα στα παντα.

[deniSun]

Θα έχουμε νέα τάση λοιπόν από εδώ και πέρα.
Αιτήσεις στον πάροχο να σε βάλουν (όχι να σε βγάλουν) πίσω από cgnat.

[BillyVan]

Αν χρειαζεσαι public ip τοτε ειναι μονοδρομος το firewall με ή και χωρις λιστες.

Στο κατω κατω και το μαμα firewall μια χαρα κανει τη δουλεια του.

Εμεις οι πυροβολημενοι το ψαχνουμε συνεχεια ισως και παραπανω απ οτι πρεπει.

[macro]

Μηπως το basic FW ειναι οκ και εχεις παραπανω απο μια σφαιρες μεσα σου?

[BillyVan]

Μηπως το basic FW ειναι οκ και εχεις παραπανω απο μια σφαιρες μεσα σου?

χαχαχα αμετρητες σφαιρες

[RyDeR]

Πως γίνεται η υλοποίηση hairpin nat (loopback) σε rOS7; Τα παλιά rules που είχα στο rOS6 δεν μου λειτουργούν μετά το update.

[romankonis]

https://help.mikrotik.com/docs/displ...rpin%20NAT,%3F