Chirurgia spinală minim invazivă
Chirurgia spinală minim invazivă oferă pacienților oportunitatea unui tratament eficient, permițându-le o recuperare ultra rapidă și nu în ultimul rând minimizând leziunile induse chirurgical. Echipa noastră utilizează un spectru larg de tehnici minim invazive, din care enumerăm câteva: endoscopia cu variantele ei (transnazală, transtoracică, transmusculară, etc), microscopul operator, abordurile trans tubulare și nu în ultimul rând infiltrațiile la toate nivelurile coloanei vertebrale. www.neurohope.ro |
Mikrotik RouterOS - configuratii diverse, tricks, etc
Last Updated: Feb 22 2024 12:48, Started by
Tyby
, Jul 11 2019 16:43
·
17
#289
Posted 22 February 2023 - 08:19
Vad ca nu ai inteles, cine se poate conecta la WinBox, ce IP-uri? Doar IP-uri din LAN, sau si ceva din WAN? Daca IP ala (public) care incearca sa se conecteze este oricum blocat - cine si de ce mai logheaza asta?
Tu ori ai o problema cu "Cine poate accesa Winbox" pe care poate o / poate nu o gestionezi corespunzator - nu stiu inca, sau nu stii ca ai aceea problema (permiti ceva logare din WAN inspre Winbox?); ori ai o problema de logare inutila a unei scanari care oricum se intampla pe internet si pe care oricum o rejectezi. Am zis eu ceva de ACL in mod special? Vezi in primul rand cine scuipa acea logare, ce face acea regula de firewall si cine poate accesa in Winbox.Apoi vezi daca ai o problema sau nu. Eu de exemplu nu permit conectare din afara LAN a Winbox si fac asta cu o regula de acceptare doar a IP-urilor din LAN ca sa se conecteze la Winbox in firewall; in plus, in IP/Services/Winbox am schimbat portul de conectare a Winbox si am setat doar anumite IP-uri sa se poata conecta la acesta. Exemplu: Daca ai retea separata pentru Guest, din Guest network sa nu te poti loga pe Winbox nici cu user si parola bune (pentru ca nu esti de pe o clasa de IP acceptata in acest caz). Daca permiti logare din WAN, stii de pe ce IP exact, il citesti si il adaugi in o lista de IP-uri acceptate? |
#290
Posted 22 February 2023 - 16:40
Acum am înțeles ce vrei să zici
Am încercat de pe conexiunea mobilă să mă leg la 8291 și îmi dă ERR_EMPTY_RESPONSE, dar în log îmi apare 16:36:09 warning denied winbox/dude connect from 5.14.135.27 16:36:11 warning denied winbox/dude connect from 5.14.135.27 16:36:16 warning denied winbox/dude connect from 5.14.135.27La Services am doar două pool-uri (/24) care se pot conecta la WinBox. Doar nu lăsam pe WAN să vină toți. |
#291
Posted 22 February 2023 - 17:57
Stiu eu ce face fiecare, cu sau fara stiinta lui? Poate vroiai sa te poti conecta dintr-un IP static de undeva de la vreun abonament business din alta locatie fara sa folosesti VPN, lumea e mare, imaginatia / lipsa de imaginatie de asemenea.
Mesajul era clar, denied WinBox sau dude de pe IP-ul.... Recomand sa schimbi acel port in unul personalizat, iar experienta asta e cel mai bun motiv. Regula aia probabil facea bine ca loga aia, problema eu o vad in tinerea unui port stiut ca fiind al Mikrotik-urilor, pt ca iti tot bat diversi la usa si te scaneaza. Mai arunca un ochi pe best practices la Mikrotik pe net (versiuni cat mai actuale, poti incepe cu Wiki al lor si atentie la ce iei aiurea de pe net - intai trebuie sa intelegi ce face fiecare chestie pe care vrei sa o folosesti si apoi sa intelegi unde si cum sa o folosesti, si abea apoi sa o implementezi si la tine in mod personalizat pe configuratia ta), etc. Fie vorba inte noi, bine ca da empty response si nu access denied ca atunci aveam toti o mare problema Edited by Ravy, 23 February 2023 - 07:39. |
#292
Posted 23 February 2023 - 01:40
Oricum acele adrese ajung să fie blocate, la fel și cele care încercă să se conectezel la VPN.
Am un address list și o regulă în raw pentru astfel de indivizi:
Spoiler
Bx-ul, on 22 februarie 2023 - 17:57, said:
Nu. VPN strict pentru WinBox. Nu am porturi deschise, decât cele necesare. Nu mai am server FTP sau HTTP pe „liber”. Doar VPN și două jocuri. Atât. Era o idee și cu portul, dar nu cred că toate IP-urile din lumea asta stau să scaneze internetul. Am dat căutare pe RIPE unor adrese și am găsit multe server-e de hosting și vreo 3 ruși care luseară un 0/24. În rest nimic interesant. Chiar găsisem și un server de hosting din România căruia i-am dat e-mail. Am mai căutat pe site-uri diverse lucruri pentru MikroTik. Unele mi s-au părut dubioase și am zis pas. Dar cu WinBo din WAN nu mi-a venit ideea până ieri să văd ce zice. Edited by Ravy, 23 February 2023 - 09:27. |
#293
Posted 23 February 2023 - 01:48
#294
Posted 23 February 2023 - 07:56
Sigur
# feb/23/2023 07:54:52 by RouterOS 7.7 # software id = ZT1L-HSD7 # # model = C53UiG+5HPaxD2HPaxD # serial number = HDF087H8TBM /ip firewall raw add action=drop chain=prerouting in-interface=Digi.Net log-prefix=Crack \ src-address-list=Crack E una singură care „citește” mereu lista |
#295
Posted 23 February 2023 - 10:06
Doar pentru ca se discuta de RAW si firewall, las pentu cine mai cauta sau vrea sa citeasca:
https://wiki.mikroti...ual:Packet_Flow cu mentiunea ca Digi foloseste PPPoE si ca de regula diagrama folosita este "PPPoE-in with bridge port out". Pentru scenarii cu Vlan-uri se complica un pic lucrurile si depinde de configuratie (vlan/port , router on a stick, smart switch-uri, etc) Pentru firewall-uri, ce ziceam si mai devreme, punctul de start ar fi cam pe aici: https://help.mikroti...ing your router https://help.mikroti... First Firewall https://help.mikroti...vanced Firewall si continuam in ordine: https://imgur.com/a/D2ZsdYs Edited by Bx-ul, 23 February 2023 - 10:10. |
#296
Posted 17 March 2023 - 11:07
Cum se activeaza / dezactiveaza punctual o regula de firewall printr-un script? Am dat un exemplu pe topicul de hap ac2, dar probabil acolo e mai putina lume; si oricum, probabil fac eu ceva aiurea; asa ca:
cum se face? - Un exeplu va rog de script care sa faca asa ceva ? |
#297
Posted 17 March 2023 - 19:03
Hai sa explic mai simplu ca poate e si vreo alta solutie prin care sa fac ceea ce vreau:
Am un Pihole pus in retea, merge ok totul cand merge; problema e cand nu mai e acolo. Printr-un script fac fallback pe DNS-urile care ori fi altele din afara retelei (Google, RDS, etc). Problema apare la regulile de NAT. Pentru ca Pihole sta intr-un VLAN intr-un VM, am niste exceptii si niste reguli de NAT ca sa trimit toate interogarile de DNS spre Pihole; adica un set de reguli pentru tcp/udp port 53 care trimite tot ce e pe acest port din acel VLAN (exceptand acel IP al Pihole) catre IP folosit de Pihole pentru a utiliza Pihole si in acel VLAN, si apoi reguli similare pentru fiecare VLAN de a trimite catre acel IP requesturile de DNS. Cand Pihole nu e accesibil, vreau sa dezactivez acele reguli de NAT ca daca nu fac asta moare netul in mod evident pentru ca eu trimit intr-un IP care nu e accesibil toate requesturile de DNS. M-am gandit sa fac scripting un switch de DNS_in_use cu un adress list pe care sa il folosesc in regulile de NAT si care sa fie cand PiHole cand cele de fallback, dar nu pot pentru ca in dest-net rule cand definesti "To Adress" nu poti folosi un adress list (fie el si cu un singur item care sa fie schimbat scriptic), ci trebuie sa pui un IP anume. [ https://www.youtube-nocookie.com/embed/EdzDCkFaskc?feature=oembed - Pentru incarcare in pagina (embed) Click aici ] |
#298
Posted 17 March 2023 - 20:58
Nu am inteles exact setup-ul tau dar cred ca te complici inutil cu scripturi . Nu este mai simplu sa configurezi din start cu 2 servere dns ? Primul il pui cel de la pihole iar al doilea dns-ul Google sau altul .
|
|
#299
Posted 17 March 2023 - 21:02
Te-ai gindit ca poate exista un motiv bine intemeiat pentru care marea majoritate a adminilor configureaza cel putin doua servere DNS pe care le pun la dispozitia clientilor ?
|
#300
Posted 17 March 2023 - 21:29
Daca ai doua servere de DNS din ce stiu eu nu se folosesc dupa regula Primul gasit (primul setat pe DNS1), al doilea e ignorat si nu va fi folosit decat daca primul nu e disponibil. iar la urmatoarea incercare sa se incerce pe primul mereu. In plus daca al doilea e mai rapid in raspuns se va folosi al doilea (care nu e PiHole)
Din aceasta cauza nu pun doua sau mai multe DNS servers combinate lan cu exterior; doua sau mai multe de exterior, da, folosesc, si sunt ok cu asta; dar pentru ca e foarte posibil ca unele requesturi sa nu mearga in PiHole, cand acesta e in functiune, il pun doar pe el. In plus daca clientul isi seteaza DNS ce vrea el, doar prin regula de NAT il pot prinde in PiHole cum vreau eu si ii ignor requestul de DNS Google sa zicem. Rezolvarea cea mai simpla din ce stiu ar fi prin dezactivarea acelor reguli de NAT cand se trece pe DNS public, dar tocmai asta nu imi iese. Edited by Bx-ul, 17 March 2023 - 21:31. |
#301
Posted 17 March 2023 - 22:10
Bx-ul, on 17 martie 2023 - 21:29, said:
Daca ai doua servere de DNS din ce stiu eu nu se folosesc dupa regula Primul gasit (primul setat pe DNS1), al doilea e ignorat si nu va fi folosit decat daca primul nu e disponibil. iar la urmatoarea incercare sa se incerce pe primul mereu. In plus daca al doilea e mai rapid in raspuns se va folosi al doilea (care nu e PiHole) Vezi in link-ul de mai jos cum functioneaza dns-ul in windows https://learn.micros...lution-timeouts Cea mai simpla solutie este cu 2 dns-uri , pihole dns preferat . La fel ,sunt solutii simple la problema cu modificatul setarilor de retea de catre user Edited by marchand, 17 March 2023 - 22:11. |
#302
Posted 17 March 2023 - 22:34
Reteaua nu foloseste decat in mica parte Windows pentru clienti; dar inteleg comportamentul Microsoft referitor la DNS.
Zi o solutie pentru a forta setarile DNS ale userilor catre DNS server's specificate in IP/DNS.Ceva care sa nu implice instalare clienti. Inca ceva dubios, din scriptul care face switch intre DNS de fallback si cel de PiHole nu reusesc sa pun sa puna in loc de 1 DNS, doua DNS-uri; la fallback pune corect doau, dar probabil detecteaza ca sunt doua clase diferite si nu vrea. Edited by Bx-ul, 17 March 2023 - 22:34. |
#303
Posted 17 March 2023 - 22:37
Se poate cu loadbalancer si cu mai multe pihole-uri in spatele LB-ului.
Sau cu iptables si modulul socket (https://ipset.netfil...nsions.man.html) Daca vrei tu neaparat sa faci cu Mikrotik, probabil ca se poate face cu netwatch. Similar cu exemplul de WAN failover de aici doar ca in loc sa manipulezi distanta pentru o ruta ar trebui sa activezi/deactivezi regula de firewall care trimite traficul in alta parte atunci cind PIHole-ul tau nu raspunde la ping. Edited by cralin, 17 March 2023 - 22:41. |
|
#304
Posted 17 March 2023 - 23:11
si revenim la problema mea, cum activez/dezactivez o regula de firewall nat prin scripting, pentru ca si cu Netwatch tot scriptic o faci
Nu vreau sa folosesc mai multe sisteme, Mikrotik-ul ar trebui sa stie asta, doar ca nu stiu eu cum sa fac corect ceea ce vreau |
#305
Posted 18 March 2023 - 02:22
Ai citit/inteles cum functioneaza exemplul ala cu WAN failover ?
Bx-ul, on 17 martie 2023 - 23:11, said:
si revenim la problema mea, cum activez/dezactivez o regula de firewall nat prin scripting, pentru ca si cu Netwatch tot scriptic o faci Uite aici exemplu pentru cazul tau (poate fi extins relativ usor ca sa activeze/dezactiveze mai multe reguli de firewall): /ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=53 protocol=tcp to-addresses=192.168.1.10 comment="pi-hole-primary" /ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=53 protocol=tcp to-addresses=8.8.8.8 comment="pi-hole-fallback" /tool netwatch add down-script="/ip firewall nat disable [find comment=\"pi-hole-primary\"]" host=192.168.1.10 interval=15s timeout=5s up-script="/ip firewall nat enable [find comment=\"pi-hole-primary\"]" 192.168.1.10 este adresa IP care o ai pe PI-Hole-ul tau si unde trimiti trafficul 53/tcp Din cauza ordinii regulilor de firewall, traficul este "prins" de prima regula NAT atunci cind este activa. Daca prima regula nu este activa, traficul este "prins" de a doua regula NAT Netwatch activeaza prima regula atunci cind 192.168.1.10 raspunde la ping si o dezactiveaza atunci cind 192.168.1.10 nu raspunde la ping Daca ai ROS 7.4 sau mai mare, Netwatch stie sa faca mai multe tipuri de teste nu numai un simplu ping. Quote Type of the probe: - icmp - (ping-style) series of ICMP request-response with statistics - tcp-conn - test TCP connection (3-way handshake) to a server specified by IP and port - http-get - do an HTTP Get request and test for a range of correct replies - simple - simplified ICMP probe, with fewer options than "ICMP" type, used for backward compatibility with the older Netwatch version Cu tcp-conn poti chiar sa testezi daca ai conectivitate, 3-way handshake, pe portul 53/tcp de pe PiHole (testezi daca serviciul este functional nu doar daca host-ul este alive) si sa activezi/dezactivezi regula de firewall pe baza rezultatului acelui test de conectivitate. Edited by Ravy, 18 March 2023 - 08:09. |
#306
Posted 18 March 2023 - 08:18
Anunturi
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users