Προσωπικά δεν είχα ποτέ θέμα με παραβιάσεις ή οποιαδήποτε ενόχληση από έξω.
Επίσης δεν είχα θέμα με cpu/mem load.
Τέλειο δεν είναι τίποτε.
Απλά μου αρέσει να πειραματίζομαι.
Αν δεις υπάρχουν 100άδες conf.
Λίγο πολύ μοιάζουν μεταξύ τους.
Προσωπικά κάποια θέματα δεν τα θεωρώ απαραίτητα.
Άλλα γιατί δεν τα χρειάζομαι (όπως έλεγχο στο fw που εξήγησα γιατί) και άλλα γιατί δεν θεωρώ ότι θα με χρησιμεύουν πχ το dos (ποιος θα ασχοληθεί μαζί μου, άρα γιατί να φορτώνω το μηχάνημα με περισσότερους ελέγχους).
Σχετικά με το τελευταίο... θα μπορούσαμε να προσθέσουμε όλους τους κανόνες που βρίσκουμε από εδώ και από εκεί.
Σίγουρα θα ήμασταν πολύ περισσότερο προστατευμένοι.
Αλλά είναι να βάζεις στον ΗΥ 2-3-4-5 av ή να προσθέτεις στο σπίτι 2-3-4 συναγερμούς και 6-7-8 κλειδαριές.
Σίγουρα θα είσαι καλύτερα προστατευμένος.
Αλλά σίγουρα και θα σου προσέθετε έναν επιπλέον κόπο για να ξεκλειδώσεις.
Έτσι και στο ΜΤ... φορτώνοντας κανόνες "μήπως και τους χρειαστώ" αυξάνεις την πολυπλοκότητα (αύριο μεθαύριο δεν θα θυμάσαι τι έκανες και γιατί) και αυξάνεις τους ελέγχους (άρα cpu/mem load).
Γι αυτό βάζω τους απολύτους απαραίτητους πχ icmp check, port scan.
Τα παραπάνω είναι καθαρά προσωπική άποψη.
Δεν κατηγορώ κανέναν που θα βάλει περισσότερους κανόνες γιατί έτσι αισθάνεται περισσότερο ασφαλής.
Εμφάνιση 1.546-1.560 από 2110
-
04-05-20, 21:04 Απάντηση: Mikrotik IPv4/IPv6 firewall #1546
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
04-05-20, 21:08 Απάντηση: Mikrotik IPv4/IPv6 firewall #1547
-
04-05-20, 21:22 Απάντηση: Mikrotik IPv4/IPv6 firewall #1548
Φυσικά στο κόβει, αλλά όπως αναφέρθηκε για λόγους ασφαλείας δεν την ανοίγουμε την πόρτα.
Τώρα οι λύσεις είναι:
Aλλαγή πόρτας και άνοιγμα της νέας στο firewall
Χρήση VPN που αυτό δουλεύω αλλά όχι σε mikrotik server ovpn(το έχω σαν backup)
Port knocking ( δεν το έχω δουλέψει)
Για το port knocking και ένα βίντεο που θα το καταλάβεις καλύτερα πως λειτουργεί.
Port KnockingΤελευταία επεξεργασία από το μέλος jkarabas : 04-05-20 στις 21:43.
CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
04-05-20, 21:24 Απάντηση: Mikrotik IPv4/IPv6 firewall #1549
Απο 3,5%-5% που ετρωγε μονο το firewall στην ιδια χρηση μου "καιει" απο 0%-1% χρηση cpu......μιλαω μονο για το fw και οχι ολη τη χρηση του cpu.
Άλλα Ντάλλα....
-
04-05-20, 21:42 Απάντηση: Mikrotik IPv4/IPv6 firewall #1550CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
05-05-20, 10:58 Απάντηση: Mikrotik IPv4/IPv6 firewall #1551
Δε μπορουσα να κατεβασω τορρεντς, με επιανε το drop scanner και μου μπαναριζε το μηχανημα στο εσωτερικο μου δικτυο. Προσθεσα στο πρωτο κανονα, στο "add port scanners to list" in.interface>!bridge και δουλευει κανονικα τωρα.
Δλδ πριν δουλευε το port scanning και απο μεσα προς τα εξω.
Μπορειτε ακομη να βαλετε στο src.address>!192.168.5.0/24 (LAN ip range), ολο το range του εσωτερικου σας δικτυου δλδ. Ή το ενα ή το αλλο την κανουν τη δουλεια............Άλλα Ντάλλα....
-
05-05-20, 11:38 Απάντηση: Mikrotik IPv4/IPv6 firewall #1552CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
05-05-20, 11:38 Απάντηση: Mikrotik IPv4/IPv6 firewall #1553
Καλημερα,
Εγραψα για port scanning, οχι ddos. Ο ddos δε με επιανε.
Μια αλλη λυση που δοκιμασα ειναι να μεταφερω το κανονα allow all input from lan στο RAW πανω πανω με prerouting>in.interface>bridge>accept, χωρις να επεμβεις στο κανονα του port scanning και κανοντας disable τον αντιστοιχο στο filter.
Επαιξε και αυτο μια χαρα αλλα δεν εχω αποφασισει πιο θα κρατησω. Επειδη δε γνωριζω αν μεταφεροντας το allow lan στο raw με καθιστα τρυπιο..........Άλλα Ντάλλα....
-
05-05-20, 12:08 Απάντηση: Mikrotik IPv4/IPv6 firewall #1554
Καλημέρα
Ναι το είδα μετά ότι εννοούσες για το port scanning.
Ωπα τώρα το πρόσεξα σε μένα δεν μπανάρει κάτι γιατί είχα εξαρχής στο in interface το ppp-out.
Για αυτό λέμε πάντα καλό είναι να ορίζουμε συγκεκριμένα τα interfaces στους κανόνες.
- - - Updated - - -
Εγώ λέω να κρατήσεις το allow lan στο filter επειδή ακόμη δεν γνωρίζουμε τη συμπεριφόρα του κανόνα στο RAW.
Γράψε κιόλας στο forum της mikrotik για αυτό να δούμε τι θα σου πούνε.CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
05-05-20, 12:10 Απάντηση: Mikrotik IPv4/IPv6 firewall #1555
Εγω εχω load balance ομως και δε πολυ γουσταρω να εχω διπλους κανονες για ολα. Προς το παρον με !bridge το εχω.
Άλλα Ντάλλα....
-
05-05-20, 12:18 Απάντηση: Mikrotik IPv4/IPv6 firewall #1556CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
05-05-20, 13:01 Απάντηση: Mikrotik IPv4/IPv6 firewall #1557
Εχω load balance με 3 γραμμες wan1,2,3...... με συνεπεια αν εβαζα τις wan στο in interface και οχι το !bridge θα επρεπε να εχω 3 κανονες για τα 3 διαφορετικα wan. Δε παιζω με pppoe-out1,2,3 για λογους που ψιλοβαριεμαι να εξηγω. Eχω 3 διαφορετικα isolated subnets, επειδη το ιντερνετ μοιραζεται σε πολλους εδω που ειμαι. Μιλαω για το σπιτι και οχι στη δουλεια που και εκει καπως ετσι τα εχω.
Συνολικα εχω 6 ΜΤ, 3 για router και 3 για repeaters.Τελευταία επεξεργασία από το μέλος macro : 05-05-20 στις 13:07.
Άλλα Ντάλλα....
-
05-05-20, 13:18 Απάντηση: Mikrotik IPv4/IPv6 firewall #1558
Σε home / small office... ότι και να γράφετε... ότι και να λέτε...
ΔΕΝ ΧΡΕΙΑΖΕΤΑΙ ΕΛΕΓΧΟΣ ΠΑΚΕΤΩΝ ΑΠΟ ΜΕΣΑ ΠΡΟΣ ΤΑ ΕΞΩ.
Δεν θα επιχειρήσει η σύζυγος να σου κάνει dos, ούτε ο γιος port scanner.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
05-05-20, 13:56 Απάντηση: Mikrotik IPv4/IPv6 firewall #1559
Ουτε γραψαμε ουτε ειπαμε το αντιθετο, ακριβως αυτο που λες καναμε.........
Άλλα Ντάλλα....
-
05-05-20, 14:16 Απάντηση: Mikrotik IPv4/IPv6 firewall #1560
Αυτό νομίζω ότι είναι το τελευταίο σου conf.
1. Ακόμα και να μην το είχες πεις και να μην το εννοούσες ή όπως θέλεις να το πεις...
από την στιγμή που σου από τις δοκιμές σου βλέπεις ότι σου μπλοκάρει κίνηση από το lan...
σημαίνει ότι υπάρχει λάθος.
2. Όλη κίνηση περνάει πρώτα από το raw όπου δεν έχεις πουθενά δήλωση για in-interface.
Οπότε όλοι οι κανόνες σου αφορούν τα πάντα.
Βάλε ένα απλό drop για όλα τα icmp και δώσε ping από το lan στο ρούτερ ή προς τα έξω για να δεις ότι ο κανόνας δουλεύει.
Δήλωσε τώρα in-interface το ppp για να δεις ότι θα σου βγάλει κανονικότατα τα ping προς έξω και προς το ρούτερ.
Δες αν θέλεις και το δικό μου raw.
3. Ότι περνάει από raw ελέγχεται στο filter.
Εκεί επιμένεις να ελέγχεις πακέτα και στο forward.
Αν και εκεί δεν δεν βάλεις περιορισμό για in-interface οι κανόνες θα αφορούν και την εσωτερική κίνηση.
Την γλιτώνεις με το !dst-nat και το allow from lan στο Input.
Δηλαδή... αφού υποβάλεις όλη την εσωτερική κίνηση σε έλεγχο... μετά του λες... "πέρασε".
Ενώ μπορείς να απαλλάξεις όλα τα εσωτερικά πακέτα από τον βάσανο του ελέγχου απλά δηλώντας αρχικά ένα in-interface.
Επίσης... αν θέλεις δες το δικό μου filter (αυτό που αρχικά θεώρησες "ελλειπές" αν θυμάμαι καλά).
4. Σχετικά με το forward...
Αφού λοιπόν δεν θέλεις να ελέγχεις την εσωτερική κίνηση...
πώς ακριβώς θα βρεθεί ένα πακέτα που έρχεται από έξω στο forward χωρίς πρώτα να περάσει από το Input;
Το είχα πει ξανά και το αναφέρουν και όσοι σχολιάζουν για έλεγχο πακέτων στο forward.
Χρειάζεται μόνο εάν έχεις στο εσωτερικό σου δίκτυο servers που είναι προσβάσιμοι από έξω.
Το vpn αν είναι στημένο στο ΜΤ δεν χρειάζεται έλεγχο και στο forward παρά μόνο στο input.
Αυτός είναι ο γενικός κανόνας.
Από εκεί και πέρα... ότι θέλει κάνει ο κάθε ένας.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
Παρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks