Σελ. 104 από 141 ΠρώτηΠρώτη ... 849499102103104105106109114124 ... ΤελευταίαΤελευταία
Εμφάνιση 1.546-1.560 από 2110
  1. #1546
    Εγγραφή
    28-03-2006
    Περιοχή
    KV G434
    Ηλικία
    49
    Μηνύματα
    42.182
    Downloads
    23
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    310/31
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΕΡΜΟΥ
    Router
    RB4011iGS+5 ONT: G-010G-R
    Παράθεση Αρχικό μήνυμα από puntomania Εμφάνιση μηνυμάτων
    βάλε άλλη πόρτα...μεγαλύτερη...μη συνηθισμένη....

    - - - Updated - - -



    να το πω διαφορετικά... η πλειοψηφία έχει ένα απλό ρουτερ...με το όποιο firewall το συνοδεύει...

    μήπως είναι λίγο υπερβολικά όλα αυτά...που ανακατεύουμε....!!!
    Προσωπικά δεν είχα ποτέ θέμα με παραβιάσεις ή οποιαδήποτε ενόχληση από έξω.
    Επίσης δεν είχα θέμα με cpu/mem load.
    Τέλειο δεν είναι τίποτε.
    Απλά μου αρέσει να πειραματίζομαι.

    Αν δεις υπάρχουν 100άδες conf.
    Λίγο πολύ μοιάζουν μεταξύ τους.
    Προσωπικά κάποια θέματα δεν τα θεωρώ απαραίτητα.
    Άλλα γιατί δεν τα χρειάζομαι (όπως έλεγχο στο fw που εξήγησα γιατί) και άλλα γιατί δεν θεωρώ ότι θα με χρησιμεύουν πχ το dos (ποιος θα ασχοληθεί μαζί μου, άρα γιατί να φορτώνω το μηχάνημα με περισσότερους ελέγχους).
    Σχετικά με το τελευταίο... θα μπορούσαμε να προσθέσουμε όλους τους κανόνες που βρίσκουμε από εδώ και από εκεί.
    Σίγουρα θα ήμασταν πολύ περισσότερο προστατευμένοι.
    Αλλά είναι να βάζεις στον ΗΥ 2-3-4-5 av ή να προσθέτεις στο σπίτι 2-3-4 συναγερμούς και 6-7-8 κλειδαριές.
    Σίγουρα θα είσαι καλύτερα προστατευμένος.
    Αλλά σίγουρα και θα σου προσέθετε έναν επιπλέον κόπο για να ξεκλειδώσεις.
    Έτσι και στο ΜΤ... φορτώνοντας κανόνες "μήπως και τους χρειαστώ" αυξάνεις την πολυπλοκότητα (αύριο μεθαύριο δεν θα θυμάσαι τι έκανες και γιατί) και αυξάνεις τους ελέγχους (άρα cpu/mem load).
    Γι αυτό βάζω τους απολύτους απαραίτητους πχ icmp check, port scan.

    Τα παραπάνω είναι καθαρά προσωπική άποψη.
    Δεν κατηγορώ κανέναν που θα βάλει περισσότερους κανόνες γιατί έτσι αισθάνεται περισσότερο ασφαλής.
    | "Anyone can build a fast CPU.
    | The trick is to build a fast system."
    |____________Seymour Cray...

  2. #1547
    Εγγραφή
    26-11-2018
    Μηνύματα
    81
    Downloads
    0
    Uploads
    0
    ISP
    ΟΤΕ Conn-x
    Router
    RB751G-2HnD & HAP Lite TC
    Παράθεση Αρχικό μήνυμα από kostasandr Εμφάνιση μηνυμάτων
    συμφωνω, αλλα ποιος αλλος τροπος υπαρχει περα απο αυτο και vpn που δεν θελω να μπλεξω
    https://wiki.mikrotik.com/wiki/Port_Knocking

  3. #1548
    Εγγραφή
    28-04-2005
    Μηνύματα
    2.637
    Downloads
    12
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    22000/2500
    ISP
    ΟΤΕ Conn-x
    Router
    RB4011iGS+5HacQ2HnD
    Παράθεση Αρχικό μήνυμα από kostasandr Εμφάνιση μηνυμάτων
    Καλησπερα.
    Στην υλοποιηση σου επιτρεπει την απομακρυσμενη συνδεση μεσω cloud-winbox, η θελει να προσθεσεις κανονα;
    Φυσικά στο κόβει, αλλά όπως αναφέρθηκε για λόγους ασφαλείας δεν την ανοίγουμε την πόρτα.
    Τώρα οι λύσεις είναι:
    Aλλαγή πόρτας και άνοιγμα της νέας στο firewall
    Χρήση VPN που αυτό δουλεύω αλλά όχι σε mikrotik server ovpn(το έχω σαν backup)
    Port knocking ( δεν το έχω δουλέψει)

    Για το port knocking και ένα βίντεο που θα το καταλάβεις καλύτερα πως λειτουργεί.

    Port Knocking
    Τελευταία επεξεργασία από το μέλος jkarabas : 04-05-20 στις 21:43.
    CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION

  4. #1549
    Εγγραφή
    03-09-2011
    Μηνύματα
    3.275
    Downloads
    8
    Uploads
    0
    Ταχύτητα
    Όσο πιάνει
    ISP
    Cosmote-LTE
    Router
    Mikrotik Chateau LTE18
    Απο 3,5%-5% που ετρωγε μονο το firewall στην ιδια χρηση μου "καιει" απο 0%-1% χρηση cpu......μιλαω μονο για το fw και οχι ολη τη χρηση του cpu.
    Άλλα Ντάλλα....

  5. #1550
    Εγγραφή
    28-04-2005
    Μηνύματα
    2.637
    Downloads
    12
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    22000/2500
    ISP
    ΟΤΕ Conn-x
    Router
    RB4011iGS+5HacQ2HnD
    Παράθεση Αρχικό μήνυμα από puntomania Εμφάνιση μηνυμάτων
    μήπως είναι λίγο υπερβολικά όλα αυτά...που ανακατεύουμε....!!!
    Δεν θα το έλεγα. Απλά όλοι μας πειραματιζόμαστε και παράλληλα μαθαίνουμε και ανταλλάσσουμε τις απόψεις εδώ μέσα.
    Είναι όπως το βλέπει ο καθένας.
    Τα σκαλίζουμε και μένα προσωπικά αυτό μου αρέσει.
    Εγώ έτσι το βλέπω.
    CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION

  6. #1551
    Εγγραφή
    03-09-2011
    Μηνύματα
    3.275
    Downloads
    8
    Uploads
    0
    Ταχύτητα
    Όσο πιάνει
    ISP
    Cosmote-LTE
    Router
    Mikrotik Chateau LTE18
    Δε μπορουσα να κατεβασω τορρεντς, με επιανε το drop scanner και μου μπαναριζε το μηχανημα στο εσωτερικο μου δικτυο. Προσθεσα στο πρωτο κανονα, στο "add port scanners to list" in.interface>!bridge και δουλευει κανονικα τωρα.

    Δλδ πριν δουλευε το port scanning και απο μεσα προς τα εξω.

    Μπορειτε ακομη να βαλετε στο src.address>!192.168.5.0/24 (LAN ip range), ολο το range του εσωτερικου σας δικτυου δλδ. Ή το ενα ή το αλλο την κανουν τη δουλεια............
    Άλλα Ντάλλα....

  7. #1552
    Εγγραφή
    28-04-2005
    Μηνύματα
    2.637
    Downloads
    12
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    22000/2500
    ISP
    ΟΤΕ Conn-x
    Router
    RB4011iGS+5HacQ2HnD
    Παράθεση Αρχικό μήνυμα από macro Εμφάνιση μηνυμάτων
    Δε μπορουσα να κατεβασω τορρεντς, με επιανε το drop scanner και μου μπαναριζε το μηχανημα στο εσωτερικο μου δικτυο. Προσθεσα στο πρωτο κανονα, στο "add port scanners to list" in.interface>!bridge και δουλευει κανονικα τωρα.

    Δλδ πριν δουλευε το port scanning και απο μεσα προς τα εξω.

    Μπορειτε ακομη να βαλετε στο src.address>!192.168.5.0/24 (LAN ip range), ολο το range του εσωτερικου σας δικτυου δλδ. Ή το ενα ή το αλλο την κανουν τη δουλεια............
    Να υποθέσω αναφέρεσαι στο DDos ή στο port scanning;

    Torrent δεν κατεβάζω οπότε δεν το παρατήρησα. Θα το δοκιμάσω όμως.


    Μόλις το δοκίμασα αλλά δεν βλέπω να έχει πρόβλημα.
    Κατέβασα ένα torrent test file και κατεβαίνει σωστά.
    Δεν μπανάρει καμία ip και δεν πιάνει κάτι.
    CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION

  8. #1553
    Εγγραφή
    03-09-2011
    Μηνύματα
    3.275
    Downloads
    8
    Uploads
    0
    Ταχύτητα
    Όσο πιάνει
    ISP
    Cosmote-LTE
    Router
    Mikrotik Chateau LTE18
    Καλημερα,

    Εγραψα για port scanning, οχι ddos. Ο ddos δε με επιανε.

    Μια αλλη λυση που δοκιμασα ειναι να μεταφερω το κανονα allow all input from lan στο RAW πανω πανω με prerouting>in.interface>bridge>accept, χωρις να επεμβεις στο κανονα του port scanning και κανοντας disable τον αντιστοιχο στο filter.

    Επαιξε και αυτο μια χαρα αλλα δεν εχω αποφασισει πιο θα κρατησω. Επειδη δε γνωριζω αν μεταφεροντας το allow lan στο raw με καθιστα τρυπιο..........
    Άλλα Ντάλλα....

  9. #1554
    Εγγραφή
    28-04-2005
    Μηνύματα
    2.637
    Downloads
    12
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    22000/2500
    ISP
    ΟΤΕ Conn-x
    Router
    RB4011iGS+5HacQ2HnD
    Παράθεση Αρχικό μήνυμα από macro Εμφάνιση μηνυμάτων
    Καλημερα,

    Εγραψα για port scanning, οχι ddos. Ο ddos δε με επιανε.

    Μια αλλη λυση που δοκιμασα ειναι να μεταφερω το κανονα allow all input from lan στο RAW πανω πανω με prerouting>in.interface>bridge>accept, χωρις να επεμβεις στο κανονα του port scanning και κανοντας disable τον αντιστοιχο στο filter.

    Επαιξε και αυτο μια χαρα αλλα δεν εχω αποφασισει πιο θα κρατησω. Επειδη δε γνωριζω αν μεταφεροντας το allow lan στο raw με καθιστα τρυπιο..........
    Καλημέρα
    Ναι το είδα μετά ότι εννοούσες για το port scanning.
    Ωπα τώρα το πρόσεξα σε μένα δεν μπανάρει κάτι γιατί είχα εξαρχής στο in interface το ppp-out.
    Για αυτό λέμε πάντα καλό είναι να ορίζουμε συγκεκριμένα τα interfaces στους κανόνες.

    - - - Updated - - -

    Παράθεση Αρχικό μήνυμα από macro Εμφάνιση μηνυμάτων
    Καλημερα,

    Εγραψα για port scanning, οχι ddos. Ο ddos δε με επιανε.

    Μια αλλη λυση που δοκιμασα ειναι να μεταφερω το κανονα allow all input from lan στο RAW πανω πανω με prerouting>in.interface>bridge>accept, χωρις να επεμβεις στο κανονα του port scanning και κανοντας disable τον αντιστοιχο στο filter.

    Επαιξε και αυτο μια χαρα αλλα δεν εχω αποφασισει πιο θα κρατησω. Επειδη δε γνωριζω αν μεταφεροντας το allow lan στο raw με καθιστα τρυπιο..........
    Εγώ λέω να κρατήσεις το allow lan στο filter επειδή ακόμη δεν γνωρίζουμε τη συμπεριφόρα του κανόνα στο RAW.
    Γράψε κιόλας στο forum της mikrotik για αυτό να δούμε τι θα σου πούνε.
    CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION

  10. #1555
    Εγγραφή
    03-09-2011
    Μηνύματα
    3.275
    Downloads
    8
    Uploads
    0
    Ταχύτητα
    Όσο πιάνει
    ISP
    Cosmote-LTE
    Router
    Mikrotik Chateau LTE18
    Εγω εχω load balance ομως και δε πολυ γουσταρω να εχω διπλους κανονες για ολα. Προς το παρον με !bridge το εχω.
    Άλλα Ντάλλα....

  11. #1556
    Εγγραφή
    28-04-2005
    Μηνύματα
    2.637
    Downloads
    12
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    22000/2500
    ISP
    ΟΤΕ Conn-x
    Router
    RB4011iGS+5HacQ2HnD
    Παράθεση Αρχικό μήνυμα από macro Εμφάνιση μηνυμάτων
    Εγω εχω load balance ομως και δε πολυ γουσταρω να εχω διπλους κανονες για ολα. Προς το παρον με !bridge το εχω.
    Τι εννοείς διπλούς κανόνες δεν κατάλαβα; Σε ποια περίπτωση θα έχεις διπλό κανόνα;
    Επίσης το !bridge δεν είναι το ίδιο με το που βάλεις ppp-out?
    To load balanced που το βλέπεις;
    CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION

  12. #1557
    Εγγραφή
    03-09-2011
    Μηνύματα
    3.275
    Downloads
    8
    Uploads
    0
    Ταχύτητα
    Όσο πιάνει
    ISP
    Cosmote-LTE
    Router
    Mikrotik Chateau LTE18
    Εχω load balance με 3 γραμμες wan1,2,3...... με συνεπεια αν εβαζα τις wan στο in interface και οχι το !bridge θα επρεπε να εχω 3 κανονες για τα 3 διαφορετικα wan. Δε παιζω με pppoe-out1,2,3 για λογους που ψιλοβαριεμαι να εξηγω. Eχω 3 διαφορετικα isolated subnets, επειδη το ιντερνετ μοιραζεται σε πολλους εδω που ειμαι. Μιλαω για το σπιτι και οχι στη δουλεια που και εκει καπως ετσι τα εχω.

    Συνολικα εχω 6 ΜΤ, 3 για router και 3 για repeaters.
    Τελευταία επεξεργασία από το μέλος macro : 05-05-20 στις 13:07.
    Άλλα Ντάλλα....

  13. #1558
    Εγγραφή
    28-03-2006
    Περιοχή
    KV G434
    Ηλικία
    49
    Μηνύματα
    42.182
    Downloads
    23
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    310/31
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΕΡΜΟΥ
    Router
    RB4011iGS+5 ONT: G-010G-R
    Σε home / small office... ότι και να γράφετε... ότι και να λέτε...

    ΔΕΝ ΧΡΕΙΑΖΕΤΑΙ ΕΛΕΓΧΟΣ ΠΑΚΕΤΩΝ ΑΠΟ ΜΕΣΑ ΠΡΟΣ ΤΑ ΕΞΩ.

    Δεν θα επιχειρήσει η σύζυγος να σου κάνει dos, ούτε ο γιος port scanner.
    | "Anyone can build a fast CPU.
    | The trick is to build a fast system."
    |____________Seymour Cray...

  14. #1559
    Εγγραφή
    03-09-2011
    Μηνύματα
    3.275
    Downloads
    8
    Uploads
    0
    Ταχύτητα
    Όσο πιάνει
    ISP
    Cosmote-LTE
    Router
    Mikrotik Chateau LTE18
    Ουτε γραψαμε ουτε ειπαμε το αντιθετο, ακριβως αυτο που λες καναμε.........
    Άλλα Ντάλλα....

  15. #1560
    Εγγραφή
    28-03-2006
    Περιοχή
    KV G434
    Ηλικία
    49
    Μηνύματα
    42.182
    Downloads
    23
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    310/31
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΕΡΜΟΥ
    Router
    RB4011iGS+5 ONT: G-010G-R
    Παράθεση Αρχικό μήνυμα από macro Εμφάνιση μηνυμάτων
    Ουτε γραψαμε ουτε ειπαμε το αντιθετο, ακριβως αυτο που λες καναμε.........
    Αυτό νομίζω ότι είναι το τελευταίο σου conf.
    1. Ακόμα και να μην το είχες πεις και να μην το εννοούσες ή όπως θέλεις να το πεις...
    από την στιγμή που σου από τις δοκιμές σου βλέπεις ότι σου μπλοκάρει κίνηση από το lan...
    σημαίνει ότι υπάρχει λάθος.
    2. Όλη κίνηση περνάει πρώτα από το raw όπου δεν έχεις πουθενά δήλωση για in-interface.
    Οπότε όλοι οι κανόνες σου αφορούν τα πάντα.
    Βάλε ένα απλό drop για όλα τα icmp και δώσε ping από το lan στο ρούτερ ή προς τα έξω για να δεις ότι ο κανόνας δουλεύει.
    Δήλωσε τώρα in-interface το ppp για να δεις ότι θα σου βγάλει κανονικότατα τα ping προς έξω και προς το ρούτερ.
    Δες αν θέλεις και το δικό μου raw.
    3. Ότι περνάει από raw ελέγχεται στο filter.
    Εκεί επιμένεις να ελέγχεις πακέτα και στο forward.
    Αν και εκεί δεν δεν βάλεις περιορισμό για in-interface οι κανόνες θα αφορούν και την εσωτερική κίνηση.
    Την γλιτώνεις με το !dst-nat και το allow from lan στο Input.
    Δηλαδή... αφού υποβάλεις όλη την εσωτερική κίνηση σε έλεγχο... μετά του λες... "πέρασε".
    Ενώ μπορείς να απαλλάξεις όλα τα εσωτερικά πακέτα από τον βάσανο του ελέγχου απλά δηλώντας αρχικά ένα in-interface.
    Επίσης... αν θέλεις δες το δικό μου filter (αυτό που αρχικά θεώρησες "ελλειπές" αν θυμάμαι καλά).
    4. Σχετικά με το forward...
    Αφού λοιπόν δεν θέλεις να ελέγχεις την εσωτερική κίνηση...
    πώς ακριβώς θα βρεθεί ένα πακέτα που έρχεται από έξω στο forward χωρίς πρώτα να περάσει από το Input;
    Το είχα πει ξανά και το αναφέρουν και όσοι σχολιάζουν για έλεγχο πακέτων στο forward.
    Χρειάζεται μόνο εάν έχεις στο εσωτερικό σου δίκτυο servers που είναι προσβάσιμοι από έξω.
    Το vpn αν είναι στημένο στο ΜΤ δεν χρειάζεται έλεγχο και στο forward παρά μόνο στο input.
    Αυτός είναι ο γενικός κανόνας.
    Από εκεί και πέρα... ότι θέλει κάνει ο κάθε ένας.
    | "Anyone can build a fast CPU.
    | The trick is to build a fast system."
    |____________Seymour Cray...

Σελ. 104 από 141 ΠρώτηΠρώτη ... 849499102103104105106109114124 ... ΤελευταίαΤελευταία

Παρόμοια Θέματα

  1. Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
    Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDs
    Μηνύματα: 136
    Τελευταίο Μήνυμα: 24-05-23, 22:17
  2. Μηνύματα: 493
    Τελευταίο Μήνυμα: 18-05-19, 17:35
  3. Mikrotik 2011 DHCP lease failed without success Point to Multipoint
    Από jvam στο φόρουμ Networking
    Μηνύματα: 2
    Τελευταίο Μήνυμα: 18-10-14, 21:56
  4. IPV6 + IPV4 SPEED TEST
    Από babis3g στο φόρουμ ADSL
    Μηνύματα: 7
    Τελευταίο Μήνυμα: 05-09-14, 18:00

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας