Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Samsung Galaxy A35

Sfat pentru aprinderea automata a...

Masina de copt paine - pareri

Cum reactivez Google Maps?
 Conectare tableta X220la Tv

Femeile tinere nu mai vor sa munc...

La mulți ani @un_dac!

La multi ani de Sfantul Gheorghe&...
 Job - Facultate sau certificare

Deadpool & Wolverine (2023)

sistem hibrid eoliana + panouri +...

Outlook e muta pe Android
 Constructie Mun. Iasi. Casa P+1.

Cum mai rezolvati cu chiriasii ra...

Tastatura si mouse cu baterie int...

AC Gree duce la palpait de becuri
 

Mikrotik RouterOS - configuratii diverse, tricks, etc

* * * * * 3 votes
  • Please log in to reply
430 replies to this topic

#289
Bx-ul

Bx-ul

    Junior Member

  • Grup: Members
  • Posts: 176
  • Înscris: 04.01.2009
Vad ca nu ai inteles, cine se poate conecta la WinBox, ce IP-uri? Doar IP-uri din LAN, sau si ceva din WAN? Daca IP ala (public) care incearca sa se conecteze este oricum blocat - cine si de ce mai logheaza asta?

Tu ori ai o problema cu "Cine poate accesa Winbox" pe care poate o / poate nu o gestionezi corespunzator - nu stiu inca, sau nu stii ca ai aceea problema (permiti ceva logare din WAN inspre Winbox?); ori ai o problema de logare inutila a unei scanari care oricum se intampla pe internet si pe care oricum o rejectezi.
Am zis eu ceva de ACL in mod special?

Vezi in primul rand cine scuipa acea logare, ce face acea regula de firewall si cine poate accesa in Winbox.Apoi vezi daca ai o problema sau nu.
Eu de exemplu nu permit conectare din afara LAN a Winbox si fac asta cu o regula de acceptare doar a IP-urilor din LAN ca sa se conecteze la Winbox in firewall; in plus, in IP/Services/Winbox am schimbat portul de conectare a Winbox si am setat doar anumite IP-uri sa se poata conecta la acesta. Exemplu: Daca ai retea separata pentru Guest, din Guest network sa nu te poti loga pe Winbox nici cu user si parola bune (pentru ca nu esti de pe o clasa de IP acceptata in acest caz).

Daca permiti logare din WAN, stii de pe ce IP exact, il citesti si il adaugi in o lista de IP-uri acceptate?

#290
KyKyKyKy

KyKyKyKy

    Guru Member

  • Grup: Senior Members
  • Posts: 23,189
  • Înscris: 18.04.2008
Acum am înțeles ce vrei să zici
Am încercat de pe conexiunea mobilă să mă leg la 8291 și îmi dă ERR_EMPTY_RESPONSE, dar în log îmi apare
16:36:09 warning denied winbox/dude connect from 5.14.135.27
16:36:11 warning denied winbox/dude connect from 5.14.135.27
16:36:16 warning denied winbox/dude connect from 5.14.135.27

La Services am doar două pool-uri (/24) care se pot conecta la WinBox. Doar nu lăsam pe WAN să vină toți.

#291
Bx-ul

Bx-ul

    Junior Member

  • Grup: Members
  • Posts: 176
  • Înscris: 04.01.2009
Stiu eu ce face fiecare, cu sau fara stiinta lui? Poate vroiai sa te poti conecta dintr-un IP static de undeva de la vreun abonament business din alta locatie fara sa folosesti VPN, lumea e mare, imaginatia / lipsa de imaginatie de asemenea.
Mesajul era clar, denied WinBox sau dude de pe IP-ul....
Recomand sa schimbi acel port in unul personalizat, iar experienta asta e cel mai bun motiv. Regula aia probabil facea bine ca loga aia, problema eu o vad in tinerea unui port stiut ca fiind al Mikrotik-urilor, pt ca iti tot bat diversi la usa si te scaneaza.
Mai arunca un ochi pe best practices la Mikrotik pe net (versiuni cat mai actuale, poti incepe cu Wiki al lor si atentie la ce iei aiurea de pe net - intai trebuie sa intelegi ce face fiecare chestie pe care vrei sa o folosesti si apoi sa intelegi unde si cum sa o folosesti, si abea apoi sa o implementezi si la tine in mod personalizat pe configuratia ta), etc.
Fie vorba inte noi, bine ca da empty response si nu access denied ca atunci aveam toti o mare problema :P

Edited by Ravy, 23 February 2023 - 07:39.


#292
KyKyKyKy

KyKyKyKy

    Guru Member

  • Grup: Senior Members
  • Posts: 23,189
  • Înscris: 18.04.2008
Oricum acele adrese ajung să fie blocate, la fel și cele care încercă să se conectezel la VPN.
Am un address list și o regulă în raw pentru astfel de indivizi:
Spoiler

 Bx-ul, on 22 februarie 2023 - 17:57, said:

Nu. VPN strict pentru WinBox. Nu am porturi deschise, decât cele necesare. Nu mai am server FTP sau HTTP pe „liber”. Doar VPN și două jocuri. Atât.
Era o idee și cu portul, dar nu cred că toate IP-urile din lumea asta stau să scaneze internetul. Am dat căutare pe RIPE unor adrese și am găsit multe server-e de hosting și vreo 3 ruși care luseară un 0/24. În rest nimic interesant. Chiar găsisem și un server de hosting din România căruia i-am dat e-mail. Posted Image
Am mai căutat pe site-uri diverse lucruri pentru MikroTik. Unele mi s-au părut dubioase și am zis pas.
Dar cu WinBo din WAN nu mi-a venit ideea până ieri să văd ce zice.

Edited by Ravy, 23 February 2023 - 09:27.


#293
kretzu77

kretzu77

    Custom title

  • Grup: Senior Members
  • Posts: 17,438
  • Înscris: 06.06.2006

 KyKyKyKy, on 23 februarie 2023 - 01:40, said:

Am un address list și o regulă în raw pentru astfel de indivizi:
Poti da share la regulile din raw?

#294
KyKyKyKy

KyKyKyKy

    Guru Member

  • Grup: Senior Members
  • Posts: 23,189
  • Înscris: 18.04.2008
Sigur
# feb/23/2023 07:54:52 by RouterOS 7.7
# software id = ZT1L-HSD7
#
# model = C53UiG+5HPaxD2HPaxD
# serial number = HDF087H8TBM
/ip firewall raw
add action=drop chain=prerouting in-interface=Digi.Net log-prefix=Crack \
	src-address-list=Crack


E una singură care „citește” mereu lista :)

#295
Bx-ul

Bx-ul

    Junior Member

  • Grup: Members
  • Posts: 176
  • Înscris: 04.01.2009
Doar pentru ca se discuta de RAW si firewall, las pentu cine mai cauta sau vrea sa citeasca:
https://wiki.mikroti...ual:Packet_Flow
cu mentiunea ca Digi foloseste PPPoE si ca de regula diagrama folosita este "PPPoE-in with bridge port out". Pentru scenarii cu Vlan-uri se complica un pic lucrurile si depinde de configuratie (vlan/port , router on a stick, smart switch-uri, etc)
Pentru firewall-uri, ce ziceam si mai devreme, punctul de start ar fi cam pe aici:
https://help.mikroti...ing your router
https://help.mikroti... First Firewall
https://help.mikroti...vanced Firewall
si continuam in ordine:
https://imgur.com/a/D2ZsdYs

Edited by Bx-ul, 23 February 2023 - 10:10.


#296
Bx-ul

Bx-ul

    Junior Member

  • Grup: Members
  • Posts: 176
  • Înscris: 04.01.2009
Cum se activeaza / dezactiveaza punctual o regula de firewall printr-un script? Am dat un exemplu pe topicul de hap ac2, dar probabil acolo e mai putina lume; si oricum, probabil fac eu ceva aiurea; asa ca:
cum se face? - Un exeplu va rog de script care sa faca asa ceva ? :)

#297
Bx-ul

Bx-ul

    Junior Member

  • Grup: Members
  • Posts: 176
  • Înscris: 04.01.2009
Hai sa explic mai simplu ca poate e si vreo alta solutie prin care sa fac ceea ce vreau:

Am un Pihole pus in retea, merge ok totul cand merge; problema e cand nu mai e acolo. Printr-un script fac fallback pe DNS-urile care ori fi altele din afara retelei (Google, RDS, etc). Problema apare la regulile de NAT.
Pentru ca Pihole sta intr-un VLAN intr-un VM, am niste exceptii si niste reguli de NAT ca sa trimit toate interogarile de DNS spre Pihole; adica un set de reguli pentru tcp/udp port 53 care trimite tot ce e pe acest port din acel VLAN (exceptand acel IP al Pihole) catre IP folosit de Pihole pentru a utiliza Pihole si in acel VLAN, si apoi reguli similare pentru fiecare VLAN de a trimite catre acel IP requesturile de DNS.

Cand Pihole nu e accesibil, vreau sa dezactivez acele reguli de NAT ca daca nu fac asta moare netul in mod evident pentru ca eu trimit intr-un IP care nu e accesibil toate requesturile de DNS.

M-am gandit sa fac scripting un switch de DNS_in_use cu un adress list pe care sa il folosesc in regulile de NAT si care sa fie cand PiHole cand cele de fallback, dar nu pot pentru ca in dest-net rule cand definesti "To Adress" nu poti folosi un adress list (fie el si cu un singur item care sa fie schimbat scriptic), ci trebuie sa pui un IP anume.

[ https://www.youtube-nocookie.com/embed/EdzDCkFaskc?feature=oembed - Pentru incarcare in pagina (embed) Click aici ]

#298
marchand

marchand

    Member

  • Grup: Members
  • Posts: 721
  • Înscris: 26.06.2008
Nu am inteles exact setup-ul tau dar cred ca te complici inutil cu scripturi . Nu este mai simplu sa configurezi din start cu 2 servere dns ? Primul il pui cel de la pihole iar al doilea dns-ul Google sau altul .

#299
cralin

cralin

    Member

  • Grup: Members
  • Posts: 664
  • Înscris: 18.09.2020
Te-ai gindit ca poate exista un motiv bine intemeiat pentru care marea majoritate a adminilor configureaza cel putin doua servere DNS pe care le pun la dispozitia clientilor ?

#300
Bx-ul

Bx-ul

    Junior Member

  • Grup: Members
  • Posts: 176
  • Înscris: 04.01.2009
Daca ai doua servere de DNS din ce stiu eu nu se folosesc dupa regula Primul gasit (primul setat pe DNS1), al doilea e ignorat si nu va fi folosit decat daca primul nu e disponibil. iar la urmatoarea incercare sa se incerce pe primul mereu. In plus daca al doilea e mai rapid in raspuns se va folosi al doilea (care nu e PiHole)
Din aceasta cauza nu pun doua sau mai multe DNS servers combinate lan cu exterior; doua sau mai multe de exterior, da, folosesc, si sunt ok cu asta; dar pentru ca e foarte posibil ca unele requesturi sa nu mearga in PiHole, cand acesta e in functiune, il pun doar pe el.
In plus daca clientul isi seteaza DNS ce vrea el, doar prin regula de NAT il pot prinde in PiHole cum vreau eu si ii ignor requestul de DNS Google sa zicem.

Rezolvarea cea mai simpla din ce stiu ar fi prin dezactivarea acelor reguli de NAT cand se trece pe DNS public, dar tocmai asta nu imi iese.

Edited by Bx-ul, 17 March 2023 - 21:31.


#301
marchand

marchand

    Member

  • Grup: Members
  • Posts: 721
  • Înscris: 26.06.2008

 Bx-ul, on 17 martie 2023 - 21:29, said:

Daca ai doua servere de DNS din ce stiu eu nu se folosesc dupa regula Primul gasit (primul setat pe DNS1), al doilea e ignorat si nu va fi folosit decat daca primul nu e disponibil. iar la urmatoarea incercare sa se incerce pe primul mereu. In plus daca al doilea e mai rapid in raspuns se va folosi al doilea (care nu e PiHole)


Vezi in link-ul de mai jos cum functioneaza dns-ul in windows

https://learn.micros...lution-timeouts

Cea mai simpla solutie este cu 2 dns-uri , pihole dns preferat . La fel ,sunt solutii simple la problema cu modificatul setarilor de retea de catre user

Edited by marchand, 17 March 2023 - 22:11.


#302
Bx-ul

Bx-ul

    Junior Member

  • Grup: Members
  • Posts: 176
  • Înscris: 04.01.2009
Reteaua nu foloseste decat in mica parte Windows pentru clienti; dar inteleg comportamentul Microsoft referitor la DNS.
Zi o solutie pentru a forta setarile DNS ale userilor catre DNS server's specificate in IP/DNS.Ceva care sa nu implice instalare clienti.
Inca ceva dubios, din scriptul care face switch intre DNS de fallback si cel de PiHole nu reusesc sa pun sa puna in loc de 1 DNS, doua DNS-uri; la fallback pune corect doau, dar probabil detecteaza ca sunt doua clase diferite si nu vrea.

Edited by Bx-ul, 17 March 2023 - 22:34.


#303
cralin

cralin

    Member

  • Grup: Members
  • Posts: 664
  • Înscris: 18.09.2020
Se poate cu loadbalancer si cu mai multe pihole-uri in spatele LB-ului.
Sau cu iptables si modulul socket (https://ipset.netfil...nsions.man.html)


Daca vrei tu neaparat sa faci cu Mikrotik, probabil ca se poate face cu netwatch.

Similar cu exemplul de WAN failover de aici doar ca in loc sa manipulezi distanta pentru o ruta ar trebui sa activezi/deactivezi regula de firewall care trimite traficul in alta parte atunci cind PIHole-ul tau nu raspunde la ping.

Edited by cralin, 17 March 2023 - 22:41.


#304
Bx-ul

Bx-ul

    Junior Member

  • Grup: Members
  • Posts: 176
  • Înscris: 04.01.2009
si revenim la problema mea, cum activez/dezactivez o regula de firewall nat prin scripting, pentru ca si cu Netwatch tot scriptic o faci

Nu vreau sa folosesc mai multe sisteme, Mikrotik-ul ar trebui sa stie asta, doar ca nu stiu eu cum sa fac corect ceea ce vreau :)

#305
cralin

cralin

    Member

  • Grup: Members
  • Posts: 664
  • Înscris: 18.09.2020
Ai citit/inteles cum functioneaza exemplul ala cu WAN failover ?

 Bx-ul, on 17 martie 2023 - 23:11, said:

si revenim la problema mea, cum activez/dezactivez o regula de firewall nat prin scripting, pentru ca si cu Netwatch tot scriptic o faci
"enable" si "disable" ?

Uite aici exemplu pentru cazul tau (poate fi extins relativ usor ca sa activeze/dezactiveze mai multe reguli de firewall):

/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=53 protocol=tcp to-addresses=192.168.1.10 comment="pi-hole-primary"
/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=53 protocol=tcp to-addresses=8.8.8.8 comment="pi-hole-fallback"
/tool netwatch add down-script="/ip firewall nat disable [find comment=\"pi-hole-primary\"]" host=192.168.1.10 interval=15s timeout=5s up-script="/ip firewall nat enable [find comment=\"pi-hole-primary\"]"


192.168.1.10 este adresa IP care o ai pe PI-Hole-ul tau si unde trimiti trafficul 53/tcp

Din cauza ordinii regulilor de firewall, traficul este "prins" de prima regula NAT atunci cind este activa.
Daca prima regula nu este activa, traficul este "prins" de a doua regula NAT

Netwatch activeaza prima regula atunci cind 192.168.1.10 raspunde la ping si o dezactiveaza atunci cind 192.168.1.10 nu raspunde la ping

Daca ai ROS 7.4 sau mai mare, Netwatch stie sa faca mai multe tipuri de teste nu numai un simplu ping.

Quote

Type of the probe:
- icmp - (ping-style) series of ICMP request-response with statistics
- tcp-conn - test TCP connection (3-way handshake) to a server specified by IP and port
- http-get - do an HTTP Get request and test for a range of correct replies
- simple - simplified ICMP probe, with fewer options than "ICMP" type, used for backward compatibility with the older Netwatch version

Cu tcp-conn poti chiar sa testezi daca ai conectivitate, 3-way handshake, pe portul 53/tcp de pe PiHole (testezi daca serviciul este functional nu doar daca host-ul este alive) si sa activezi/dezactivezi regula de firewall pe baza rezultatului acelui test de conectivitate.

Edited by Ravy, 18 March 2023 - 08:09.


#306
marchand

marchand

    Member

  • Grup: Members
  • Posts: 721
  • Înscris: 26.06.2008

 Bx-ul, on 17 martie 2023 - 22:34, said:

Zi o solutie pentru a forta setarile DNS ale userilor catre DNS server's specificate in IP/DNS.Ceva care sa nu implice instalare clienti.

Simplu - dhcp

Anunturi

Neurochirurgie minim invazivă Neurochirurgie minim invazivă

"Primum non nocere" este ideea ce a deschis drumul medicinei spre minim invaziv.

Avansul tehnologic extraordinar din ultimele decenii a permis dezvoltarea tuturor domeniilor medicinei. Microscopul operator, neuronavigația, tehnicile anestezice avansate permit intervenții chirurgicale tot mai precise, tot mai sigure. Neurochirurgia minim invazivă, sau prin "gaura cheii", oferă pacienților posibilitatea de a se opera cu riscuri minime, fie ele neurologice, infecțioase, medicale sau estetice.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate