Страница 2 из 2
Re: Защита порта
Добавлено: 03 ноя 2019, 14:12
xvo
Dunlop писал(а): ↑03 ноя 2019, 13:23
А если не переводить HUAWEI в мост, то как тогда правильно настроить Mikrotik?
Правильно - перевести huawei в мост
Чуть хуже, но тоже нормально: настроить Huawei так, чтобы в его сети был только микротик и больше никаких других устройств, и добавить на нем маршрут в микротиковскую подсеть. На микротике же обычная home AP конфигурация, но с отключенным NAT'ом (NAT будет делаться на хуавее).
И я надеюсь, не надо объяснять, что если вы вы фильтруете на микротике, то всё, что идет напрямую в хуавей, минуя микротик, фильтроваться не будет?
Re: Защита порта
Добавлено: 03 ноя 2019, 14:36
bst-botsman
Dunlop писал(а): ↑03 ноя 2019, 14:02
Если есть возможность, прошу подсказать полный алгоритм, чтобы настройки фильтрации были на Микротике.
Полный алгоритм Вам уже подсказали... Huawei - в режиме "Bridge", и уже на Mikrotik поднимать все соединения и настраивать все Ваши хотелки...
P.S. Имею такой-же ONT-терминал от провайдера БелТелеКом...
Re: Защита порта
Добавлено: 03 ноя 2019, 14:46
Dunlop
xvo писал(а): ↑03 ноя 2019, 14:12
Dunlop писал(а): ↑03 ноя 2019, 13:23
А если не переводить HUAWEI в мост, то как тогда правильно настроить Mikrotik?
Правильно - перевести huawei в мост
Чуть хуже, но тоже нормально: настроить Huawei так, чтобы в его сети был только микротик и больше никаких других устройств, и добавить на нем маршрут в микротиковскую подсеть. На микротике же обычная home AP конфигурация, но с отключенным NAT'ом (NAT будет делаться на хуавее).
И я надеюсь, не надо объяснять, что если вы вы фильтруете на микротике, то всё, что идет напрямую в хуавей, минуя микротик, фильтроваться не будет?
Есть еще один вопрос, не относящийся к этой схеме
. Есть микротик на входе, за ним сервер, его постоянно атакуют с внешней сети. На Микротике прописаны такие правила:
Код: Выделить всё
/ip firewall filter
add chain=forward protocol=tcp dst-port=**** src-address-list=rdp_blacklist action=drop comment="drop rdp brute forcers" disabled=no
add chain=forward protocol=tcp dst-port=**** connection-state=new src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=1d comment="" disabled=no
add chain=forward protocol=tcp dst-port=**** connection-state=new src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m comment="" disabled=no
add chain=forward protocol=tcp dst-port=**** connection-state=new src-address-list=rdp_stage1 action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no
add chain=forward protocol=tcp dst-port=**** connection-state=new action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no
Всё отрабатывает, лишнее блокируют. У меня дома динамический ip, хотелось бы для себя сделать маленькую дырочку. Снять ограничение по вводу пароля. Есть доменное имя (.ddns.net), вставил его в adress list, корректно отображается. И встает вопрос, как привязать мое доменное имя к исключению, чтобы после обращения на порт он не закидывал мой адрес в эти листы.
Re: Защита порта
Добавлено: 03 ноя 2019, 14:53
xvo
Dunlop писал(а): ↑03 ноя 2019, 14:46
И встает вопрос, как привязать мое доменное имя к исключению, чтобы после обращения на порт он не закидывал мой адрес в эти листы.
А зачем?
Вы боитесь, что 4 раза подряд неправильно введете пароль?
Ну не вводите его в четвертый раз, если три раза уже ошиблись, подождите минуту, пока ваш адрес уйдет из этих листов.
Re: Защита порта
Добавлено: 03 ноя 2019, 15:30
Dunlop
xvo писал(а): ↑03 ноя 2019, 14:53
Dunlop писал(а): ↑03 ноя 2019, 14:46
И встает вопрос, как привязать мое доменное имя к исключению, чтобы после обращения на порт он не закидывал мой адрес в эти листы.
А зачем?
Вы боитесь, что 4 раза подряд неправильно введете пароль?
Ну не вводите его в четвертый раз, если три раза уже ошиблись, подождите минуту, пока ваш адрес уйдет из этих листов.
Правило привел для примера. В жизни листы на 10 минут. А ждать иногда нет времени. Да и просто хотелось бы подстраховаться, что мой ip никогда не улетит в бан.
Re: Защита порта
Добавлено: 03 ноя 2019, 16:19
xvo
Dunlop писал(а): ↑03 ноя 2019, 15:30
Правило привел для примера. В жизни листы на 10 минут. А ждать иногда нет времени. Да и просто хотелось бы подстраховаться, что мой ip никогда не улетит в бан.
В принципе адрес-листы поддерживают добавление доменных имен. Роутер периодически сам резолвит доменное имя и поддерживает динамечкую запись с нужным ip в том же листе.
Так что просто добавьте лист с записью для своего доменного имени и правило разрешающее доступ для этого листа выше вашей защиты.
Re: Защита порта
Добавлено: 10 ноя 2019, 12:55
IntelOut
Dunlop писал(а): ↑03 ноя 2019, 14:46
Всё отрабатывает, лишнее блокируют. У меня дома динамический ip, хотелось бы для себя сделать маленькую дырочку. Снять ограничение по вводу пароля. Есть доменное имя (.ddns.net), вставил его в adress list, корректно отображается. И встает вопрос, как привязать мое доменное имя к исключению, чтобы после обращения на порт он не закидывал мой адрес в эти листы.
Добавить в адреслист свой ddns домен.
На stage 1 или 2 прописать исключение. Не забыть восклицательный знак поставить
http://prntscr.com/puwiil