Как запретить доступ к Микротику и ping извне?

Обсуждение ПО и его настройки
Elevyr
Сообщения: 11
Зарегистрирован: 28 авг 2015, 05:54

03 сен 2015, 09:21

podarok66 писал(а):Так, я все-таки попал за нормальный комп, хоть и с задержкой. Как обещал, ограничение доступа к роутеру снаружи:

Код: Выделить всё

/ip service
set telnet address=192.168.0.0/24 disabled=yes
set ftp address=192.168.0.0/24 disabled=yes
set www address=192.168.0.0/24 disabled=yes
set ssh address=192.168.0.0/24
set www-ssl address=192.168.0.0/24 disabled=yes
set api address=192.168.0.0/24 disabled=yes
set winbox address=192.168.0.0/24
set api-ssl address=192.168.0.0/24 disabled=yes

При таком варианте к роутеру можно подключится только через Winbox или по ssh и только из внутренней сети 192.168.0.0/24
Дальше, для прикрытия возможности пинга нужно отключить ВСЕ правила в Firewall=>Filter и вбить одно единственное типа такого:

Код: Выделить всё

ip firewall filter add chain=input protocol=icmp in-interface=ВАШ_ИНТЕРФЕЙС_СМОТРЯЩИЙ_В_ИНТЕРНЕТ action=drop  

Обязательно указываем интерфейс, это как бы помогает определить, где рубить пакеты.
Жду результатов Ваших проб :-) Прошу прощения за временные разрывы между моими сообщениями, вторую неделю передвигаюсь более чем хаотично. А экран телефона у меня 4 дюйма, с моим плохим зрением особо не поотвечаешь.


Спасибо! Доступ из инета закрылся, а то уже в терминале писалось:
sep/03/2015 13:09:17 system,error,critical login failure for user root from 221.20
3
.3.117 via ssh
Кто-то пытался залезть, видимо.
А пинг пусть останется для диагностики работы роутера.


vallru
Сообщения: 2
Зарегистрирован: 05 сен 2015, 13:17

05 сен 2015, 13:56

Отключить протокол ICMP не является правильным, поскольку это также использоваться для других целей- https://ru.wikipedia.org/wiki/ICMP.Чтобы заблокировать PING надо запретить отклик- Понг пакетов:
/ip firewall filter
add action=drop chain=input comment="drop echo request" icmp-options=8:0
\ in-interface=ether1-gateway protocol=icmp


Аватара пользователя
ksa
Сообщения: 24
Зарегистрирован: 11 сен 2018, 12:07

11 окт 2018, 13:28

,
Последний раз редактировалось ksa 24 окт 2018, 17:33, всего редактировалось 1 раз.


Аватара пользователя
podarok66
Модератор
Сообщения: 3035
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

11 окт 2018, 13:45

Код: Выделить всё

/ip service
set ssh address=192.168.88.0/24,192.168.100.0/24,10.8.0.0/24,10.9.0.0/24 port=54378
set winbox address=192.168.88.0/24,192.168.100.0/24,10.8.0.0/24,10.9.0.0/24
Как то так....


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
reevvz
Сообщения: 33
Зарегистрирован: 22 июл 2016, 19:09

11 окт 2018, 18:23

vallru писал(а):
05 сен 2015, 13:56
Отключить протокол ICMP не является правильным, поскольку это также использоваться для других целей- https://ru.wikipedia.org/wiki/ICMP.Чтобы заблокировать PING надо запретить отклик- Понг пакетов:
/ip firewall filter
add action=drop chain=input comment="drop echo request" icmp-options=8:0
\ in-interface=ether1-gateway protocol=icmp
Я правильно понимаю что надо это правило в самый верх поставить до правила "Accept est and related"?


Ответить