Защита порта

Обсуждение ПО и его настройки
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Dunlop писал(а): 03 ноя 2019, 13:23 А если не переводить HUAWEI в мост, то как тогда правильно настроить Mikrotik?
Правильно - перевести huawei в мост :-)
Чуть хуже, но тоже нормально: настроить Huawei так, чтобы в его сети был только микротик и больше никаких других устройств, и добавить на нем маршрут в микротиковскую подсеть. На микротике же обычная home AP конфигурация, но с отключенным NAT'ом (NAT будет делаться на хуавее).

И я надеюсь, не надо объяснять, что если вы вы фильтруете на микротике, то всё, что идет напрямую в хуавей, минуя микротик, фильтроваться не будет?


Telegram: @thexvo
bst-botsman
Сообщения: 184
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

Dunlop писал(а): 03 ноя 2019, 14:02 Если есть возможность, прошу подсказать полный алгоритм, чтобы настройки фильтрации были на Микротике.
Полный алгоритм Вам уже подсказали... Huawei - в режиме "Bridge", и уже на Mikrotik поднимать все соединения и настраивать все Ваши хотелки...

P.S. Имею такой-же ONT-терминал от провайдера БелТелеКом...


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
Dunlop
Сообщения: 27
Зарегистрирован: 01 ноя 2019, 09:00

xvo писал(а): 03 ноя 2019, 14:12
Dunlop писал(а): 03 ноя 2019, 13:23 А если не переводить HUAWEI в мост, то как тогда правильно настроить Mikrotik?
Правильно - перевести huawei в мост :-)
Чуть хуже, но тоже нормально: настроить Huawei так, чтобы в его сети был только микротик и больше никаких других устройств, и добавить на нем маршрут в микротиковскую подсеть. На микротике же обычная home AP конфигурация, но с отключенным NAT'ом (NAT будет делаться на хуавее).

И я надеюсь, не надо объяснять, что если вы вы фильтруете на микротике, то всё, что идет напрямую в хуавей, минуя микротик, фильтроваться не будет?
Есть еще один вопрос, не относящийся к этой схеме :-) . Есть микротик на входе, за ним сервер, его постоянно атакуют с внешней сети. На Микротике прописаны такие правила:

Код: Выделить всё

/ip firewall filter

add chain=forward protocol=tcp dst-port=**** src-address-list=rdp_blacklist action=drop comment="drop rdp brute forcers" disabled=no

add chain=forward protocol=tcp dst-port=**** connection-state=new src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=1d comment="" disabled=no

add chain=forward protocol=tcp dst-port=**** connection-state=new src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=**** connection-state=new src-address-list=rdp_stage1 action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=**** connection-state=new action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no
Всё отрабатывает, лишнее блокируют. У меня дома динамический ip, хотелось бы для себя сделать маленькую дырочку. Снять ограничение по вводу пароля. Есть доменное имя (.ddns.net), вставил его в adress list, корректно отображается. И встает вопрос, как привязать мое доменное имя к исключению, чтобы после обращения на порт он не закидывал мой адрес в эти листы.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Dunlop писал(а): 03 ноя 2019, 14:46 И встает вопрос, как привязать мое доменное имя к исключению, чтобы после обращения на порт он не закидывал мой адрес в эти листы.
А зачем?
Вы боитесь, что 4 раза подряд неправильно введете пароль?
Ну не вводите его в четвертый раз, если три раза уже ошиблись, подождите минуту, пока ваш адрес уйдет из этих листов.


Telegram: @thexvo
Dunlop
Сообщения: 27
Зарегистрирован: 01 ноя 2019, 09:00

xvo писал(а): 03 ноя 2019, 14:53
Dunlop писал(а): 03 ноя 2019, 14:46 И встает вопрос, как привязать мое доменное имя к исключению, чтобы после обращения на порт он не закидывал мой адрес в эти листы.
А зачем?
Вы боитесь, что 4 раза подряд неправильно введете пароль?
Ну не вводите его в четвертый раз, если три раза уже ошиблись, подождите минуту, пока ваш адрес уйдет из этих листов.
Правило привел для примера. В жизни листы на 10 минут. А ждать иногда нет времени. Да и просто хотелось бы подстраховаться, что мой ip никогда не улетит в бан.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Dunlop писал(а): 03 ноя 2019, 15:30 Правило привел для примера. В жизни листы на 10 минут. А ждать иногда нет времени. Да и просто хотелось бы подстраховаться, что мой ip никогда не улетит в бан.
В принципе адрес-листы поддерживают добавление доменных имен. Роутер периодически сам резолвит доменное имя и поддерживает динамечкую запись с нужным ip в том же листе.

Так что просто добавьте лист с записью для своего доменного имени и правило разрешающее доступ для этого листа выше вашей защиты.


Telegram: @thexvo
Аватара пользователя
IntelOut
Сообщения: 38
Зарегистрирован: 16 окт 2019, 23:12

Dunlop писал(а): 03 ноя 2019, 14:46 Всё отрабатывает, лишнее блокируют. У меня дома динамический ip, хотелось бы для себя сделать маленькую дырочку. Снять ограничение по вводу пароля. Есть доменное имя (.ddns.net), вставил его в adress list, корректно отображается. И встает вопрос, как привязать мое доменное имя к исключению, чтобы после обращения на порт он не закидывал мой адрес в эти листы.
Добавить в адреслист свой ddns домен.
На stage 1 или 2 прописать исключение. Не забыть восклицательный знак поставить :hi_hi_hi:
http://prntscr.com/puwiil


With best regards,
IntelOut
______________________________________
Homo homini lupus est...

Home: hAPac2, hAPac, hAPmini, CHR P1, hAP lite, hAP ac lite, cAP lite, mAP lite, hEX PoE lite, SXT Lite2, SXTsq Lite2
Work: MikroTik Zoo :sh_ok:

MTCNA
Ответить