Chirurgia cranio-cerebrală minim invazivă
Tehnicile minim invazive impun utilizarea unei tehnologii ultramoderne. Endoscoapele operatorii de diverse tipuri, microscopul operator dedicat, neuronavigația, neuroelectrofiziologia, tehnicile avansate de anestezie, chirurgia cu pacientul treaz reprezintă armamentarium fără de care neurochirurgia prin "gaura cheii" nu ar fi posibilă. Folosind tehnicile de mai sus, tratăm un spectru larg de patologii cranio-cerebrale. www.neurohope.ro |
MikroTik RBD52G-5HacD2HnD-TC hAP ac²
Last Updated: Dec 04 2023 00:42, Started by
sonnydellmarco
, May 04 2018 13:36
·
32
#235
Posted 03 March 2019 - 12:08
Pai din acel motiv se recomanda...pentru ca eu sunt de parere ca sub 5% din utilizatori inteleg din retelistica suficient astfel incat sa configureze corect un MK.
Bun, revenind la situatia mea, ca sa fiu ami clar, voi enumera o parte dintre dispozitivele pe care le folosesc: - PC, laptop, NAS (un NSA310 si un qnap ocazional). Aste e cat se poate de clar ca au nevoie de internet si retea locala "trusted" - becuri yeelight + benzi led (astea au si nu au voie la internet). Daca vreau sa functineze cu Amazon dot (alexa) au nevoei de acces la internet - Amazon dot (are nevoie doar de acces la internet) - Hassio (are nevoie de acces la internet doar cand vreau sa fac update). In rest are nevoie de acces la reteaua IOT (controlez cu el becurile si benzile cu led) - xiaomi gateway (acces doar local, IOT) - radio cu internet (doar internet) - receivere (de regula doar internet dar...depinde) - camera supraveghere (acces in reteaua trusted, dar fara acces la internet). Bun, intrebarile mele erau: 1. Este suficient sa folosesc 192.168.0.0/24 si destinatie 192.168.10.0/24 pentru a restrictiona accesul dintr-o retea in alta? 2. trebuie sa folosesc si regula inversa concomitent? 3. spuneai ceva de genul ca reteaua trusted trebuie sa aiba acces la IoT dar invers nu. Cum ste posibil asa ceva? Schimbul de informatii este bidirectional. Ceva inseamnaa ca nu inteleg. Multumesc. |
#236
Posted 03 March 2019 - 16:22
@Johnny: n-am cum sa compar, nu folosesc asus/tp-link/etc.
1. Este suficient sa folosesc 192.168.0.0/24 si destinatie 192.168.10.0/24 pentru a restrictiona accesul dintr-o retea in alta? Depinde ce vrei sa faci...regula, asa cum ai zis-o tu, interzice accesul din 0.0/24 in 10.0/24 dar nu si invers. 2. trebuie sa folosesc si regula inversa concomitent? Da, daca vrei ca sa limitezi accesul din 10.0/24 in 0.0/24 3. spuneai ceva de genul ca reteaua trusted trebuie sa aiba acces la IoT dar invers nu. Cum ste posibil asa ceva? Schimbul de informatii este bidirectional. Ceva inseamnaa ca nu inteleg. Este bi-directional dar poti controla ce schimb are loc: Ca sa ai acces in IoT din alt vlan dar nu si din IoT in alt vlan (de management in cazul de fata), vlan-ul IoT trebuie sa raspunda la established/related si sa aiba interzis la new connections (chain forward) Totodata, IoT nu ar trebui sa aiba acces nici la interfata router-ului (getaway-ul vlan-lului - in cazul de fata, pt mkr, chain input). Ca informatii suplimentare, incearca sa prospectezi ce inseamna fiecare chain in parte preecum si fiecare tip de conexiune in parte (ele sunt cam universal valabile in orice "univers *NIX). O sa le gasesti (chain-urile) cu mici diferente de nume, ca de ex: mkr: chain forward / cisco univers: IN (pachetele ce trec prin router si nu au ca destinatie nicio interfata (eth) al lui: ex. pachet pleacat din 192.168.0.10 (un calculator) catre 10.10.10.10 (un server din alt vlan sau altfel zis tot ce vine din WAN catre LAN) mkr: chain input / cisco univers LOCAL (pachetele ce au ca destinatie o adresa a uneia din interfatetele de access ale routerului) ex: eth1 are ca ip 10.0.0.1 iar tu accesezi via http/ssh interfata lui (ca sa il setezi de ex). (sau tot ce vine din WAN catre LOCAL (router-ul propriu-zis)) exemplu de reguli: /ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="ssh from wan" dst-port=22 protocol=tcp add action=accept chain=input comment="winbox from wan" dst-port=8291 protocol=tcp add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LANprin regulile de mai sus routerul mkr de mai sus accepta orice conexiune din WAN (internet) pe portul 22(ssh) si portul 8291 (winbox din wan), raspunde la ping catre interfata lui ce vine din orice retea, si da drop la orice alta conexiune ce nu vine din lan catre interfata lui. Conteaza totusi ordinea regulilor de firewall: de ex: daca ultima regula add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LANera inainte de add action=accept chain=input comment="ssh from wan" dst-port=22 protocol=tcpnu mergea niciun ssh din wan pt deja router-ul stabilise ca tot ce nu vine din LAN e droped (prima regula care se potriveste este luata in calcul, restul dupa nu mai conteaza) mkr: chain output / cisco OUT (pachetele ce pleaca din reteaua ta, trecand prin router, catre o alta retea / pt router o alta retea poate insemna si alta interfata (vlan) nu neaparat internet) ca trafic de pachete ai asa (copy/paste ca sunt explicate "ca la cartea" mikrotik) / te intereseaza pentru inceput (si de cele mai multe ori in 99% din cazuri ) doar new/established/related Interprets the connection tracking analysis data for a particular packet: established - a packet which belongs to an existing connection invalid - a packet that does not have determined state in connection tracking (usually - severe out-of-order packets, packets with wrong sequence/ack number, or in case of resource overusage on router), for this reason invalid packet will not participate in NAT (as only connection-state=new packets do), and will still contain original source IP address when routed. We strongly suggest to drop all connection-state=invalid packets in firewall filter forward and input chains new - the packet has started a new connection, or otherwise associated with a connection which has not seen packets in both directions. related - a packet which is related to, but not part of an existing connection, such as ICMP errors or a packet which begins FTP data connection untracked - packet which was set to bypass connection tracking in firewall RAW tables. O sa incerc sa revin si cu exemple concrete cu ce priveste inter-vlan routing. |
#237
Posted 04 March 2019 - 16:02
therefore....
restrictii totale intre vlan-uri (nimeni nu comunica cu nimeni) /interface list member add list=VLAN interface=vlan10 add list=VLAN interface=vlan20 add list=VLAN interface=vlan30 /ip firewall filter add chain=forward action="drop" comment="No inter-VLAN access" \ in-interface-list=VLAN out-interface-list=VLAN" acces din management (vlan10) in IOT (vlan20) dar nu si invers: /ip firewall address-list add list=VLAN10 address=10.0.10.0/24 add list=VLAN20 address=10.0.20.0/24 /ip firewall filter add chain=forward src-address-list=vlan10 connection-state=new,established,related,untracked add chain=forward src-address-list=vlan20 connection-state=established,related add action=accept chain=forward in-interface=vlan20 out-interface=vlan10 protocol=icmp add action=drop chain=forward in-interface=vlan20 out-interface=vlan10vlan20 doar raspunde (la established/related si la ping) din ce vine din vlan10 nu poate initia noi (new) conexiuni in vlan10. Edited by ogo, 04 March 2019 - 16:31. |
#238
Posted 04 March 2019 - 23:39
Mulțumesc dar sunt pierdut de mult.
Bebe e racit rau și...nu prea pot sa ma concentrez. Tocmai mi-ai distrus universul. Am înțeles ca nu stiu absolut nimic si ca totul e extrem de complicat. Trebuie sa rumeg tot ce mi-ai scris. Apreciez mult și chiar trebuie sa iti dau de bãut. Când vii in Brașov, aștept un pm. |
#239
Posted 20 June 2019 - 10:47
Salut,
As vrea si eu sa iau acest router pentru acasa, dar am o ingrijorare referitor la nivelul de securitate pe care il ofera, intrucat sunt tot felul de comentarii pe net asupra acestui aspect, am vazut ca anul sistemul de operare Router OS, a avut o vulnerabilitate semnificativa, nu stiu dc s-a rezolvat. Nefiind programator, desi sunt inginer de sistem amator pt ce am in casa , voi face configurarile din WinBox si as fi foarte interest cum sa procedez. Mai precis, exista atatea tutoriale pe net pe acest aspect incat nu stiu pe care sa-l urmez. Daca m-ati putea indrepta catre o sursa despre care stiti ca e ok, raman recunoscator. Multumesc. Edited by Semaca007, 20 June 2019 - 10:48. |
#240
Posted 20 June 2019 - 11:43
Winbox-ul te ajuta dar daca nu ai ceva interes in a trece la cli nu prea o sa reusesti alte configurari strict specifice nevoilor tale.
Configuratia standard este indeajuns de secure atata timp cat nu expui (gratuit) echipamentul in internet (ssh, gui interface, etc). Sunt mii de tutoriale online cam pt orice, totusi incepe cu wiki-ul celor de la mkr. Nu e f explicit dar face o introducere de baza pentru toate cazurile - majoritatea insa sunt cli nu WinBox. Notiunile elementare de networking sunt un must have, nu exista next-next-done in mkr. |
#241
Posted 20 June 2019 - 22:34
Desigur ca am ceva interes sa trec la cli, am inceput sa citesc pe unde m-ai trimis tu, m-am mai uitat o data la comenzile date de Tyby la un mom dat aici si am inteles mai mult din ele decat prima data , o sa mai citesc in continuare.
Am comandat router-ul din titlu, sper sa ma descurc. Daca nu, mai intreb pe aici. |
#243
Posted 21 June 2019 - 12:56
O prima intrebare: de ce e mai ok sa ai 2 retele (2.4 Mhz si 5 Mhz), in loc de una cu routerul setat pe auto?
|
#244
Posted 21 June 2019 - 13:30
Depinde ce clienti ai dar prima oara ce vrei sa zici mai exact cu “routerul setat pe auto” ?
|
|
#245
Posted 21 June 2019 - 15:20
@Semaca: 2.4GHz este buna pentru device-urile mai vechi (legacy) care nu suporta 5GHz sau pentru cazul in care acel device este prea departe de router si semnalul pe 5GHz este insuficient (care poate sa fie si la 2 metri daca ai un perete de beton intre router si device. Auto?.. channel selection sau ce anume?
LE: Offtopic: doar mie mi se pare ca denumirile astea de la device-urile MIkrotik sunt exagerat de stupid de lungi? Edited by AWE, 21 June 2019 - 15:23. |
#246
Posted 21 June 2019 - 15:33
Parca am vazut undeva o setare "auto", adica allege router-ul frecventa cea mai buna pt fiecare client.
|
#248
Posted 21 June 2019 - 18:42
Semaca007, on 21 iunie 2019 - 15:33, said:
Parca am vazut undeva o setare "auto", adica allege router-ul frecventa cea mai buna pt fiecare client. Toti clientii vor fi pe aceeasi frecventa . AWE, on 21 iunie 2019 - 15:20, said:
LE: Offtopic: doar mie mi se pare ca denumirile astea de la device-urile MIkrotik sunt exagerat de stupid de lungi? Explicatia lor a fost ca au dorit sa creeze un cod din denumirea produsului. - https://wiki.mikroti...:Product_Naming |
#249
Posted 21 June 2019 - 20:49
@ndor: pai sincer nu vad sensul, nu au nshpe milioane de produse incat sa necesite denumiri atat de kilometrice. In rest, no problem, produsele sunt ok. Bine, cata vreme nu te astepti la performante de enterprise router la ceva de cateva sute de lei.
|
|
#250
Posted 22 June 2019 - 07:20
@ogo: Inca nu am router-ul sa pun si eu un printscreen, o sa-l am in aprox 1 sapatamana, dar citisem despre asta undeva. Intre timp vreau sa creez comenzile pentru customizare.
@ndor: Da, cam asa ceva citisem si eu. Inca o intrebare: cand fac update de routeros si firmware, vine cu configuratia default si tr sa adaug numai customizarile mele, nu tr sa ma apuc sa fac tot ce scrie aici, corect? |
#251
Posted 22 June 2019 - 08:31
AWE, on 21 iunie 2019 - 20:49, said:
@ndor: pai sincer nu vad sensul, nu au nshpe milioane de produse incat sa necesite denumiri atat de kilometrice. In rest, no problem, Semaca007, on 22 iunie 2019 - 07:20, said:
Inca o intrebare: cand fac update de routeros si firmware, vine cu configuratia default si tr sa adaug numai customizarile mele, nu tr sa ma apuc sa fac tot ce scrie aici, corect? |
Anunturi
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users