Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.
Обсуждение ПО и его настройки
simpl3x
Модератор
Сообщения: 1532 Зарегистрирован: 19 апр 2012, 14:03
22 янв 2014, 18:19
vomus писал(а): podarok66 писал(а): Знаете, у меня вообще строка из Вашего скрипта: Проверьте вы построчно скрипт, там дел на полчаса.
Даже если это все убрать и оставить только /tool fetch ИЗ КОНСОЛИ, то будет вот что:
Код: Выделить всё
[vomus@MikroTik] > /tool fetch mode=http user=.... password=.... url="http://dynupdate.no-ip.com/nic/update\?hostname=vomus.no-ip.biz&myip=5.139.86.253" status: failed failure: closing connection: <connection failed> 8.23.224.120:80 (4) [vomus@MikroTik] > :put [resolve vomus.no-ip.biz] 91.218.87.205 [vomus@MikroTik] >
Соответственно, вопрос совсем не в скрипте (я конечно все поправил в смысле /interface find name=), но до этого, как я понимаю, и дело не дошло.
а покажите ка свой фаервольчик.../ip firewall export
vomus
Сообщения: 48 Зарегистрирован: 28 окт 2013, 22:00
22 янв 2014, 18:37
Вот. Я про это сразу подумал и даже добавил правило в output, разрешающее ходить на dynupdate.no-ip.com по 80 порту. Эффекта это не дало.
Код: Выделить всё
[vomus@MikroTik] > /ip firewall export # jan/22/2014 19:39:46 by RouterOS 6.5 # software id = R9KJ-T416 # /ip firewall filter add action=drop chain=input comment="Drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=3h chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=\ ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=\ ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=\ ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp add action=reject chain=input comment="Reject port scanners" in-interface=Rostelecom-PPPoE protocol=tcp tcp-flags=syn add action=reject chain=input in-interface=Rostelecom-PPPoE protocol=tcp tcp-flags=fin,syn,ack add chain=input comment="Allow IPsec connections" connection-state=new dst-port=500 in-interface=Rostelecom-PPPoE protocol=udp add chain=input connection-state=new connection-type="" dst-port=1701 in-interface=Rostelecom-PPPoE protocol=udp add chain=input connection-state=new dst-port=4500 in-interface=Rostelecom-PPPoE protocol=udp add chain=input comment="default configuration" protocol=icmp add chain=input comment="default configuration" connection-state=established add chain=input comment="default configuration" connection-state=related add action=drop chain=input comment="default configuration" in-interface=Rostelecom-PPPoE add chain=forward comment="default configuration" connection-state=established add chain=forward comment="default configuration" connection-state=related add action=drop chain=forward comment="default configuration" connection-state=invalid /ip firewall nat add action=masquerade chain=srcnat comment="default configuration" out-interface=Rostelecom-PPPoE src-address=10.161.0.0/16
simpl3x
Модератор
Сообщения: 1532 Зарегистрирован: 19 апр 2012, 14:03
22 янв 2014, 19:46
Код: Выделить всё
add action=reject chain=input in-interface=Rostelecom-PPPoE protocol=tcp tcp-flags=fin,syn,ack
а это вообще нормально? )))
Код: Выделить всё
Вот. Я про это сразу подумал и даже добавил правило в output, разрешающее ходить на dynupdate.no-ip.com по 80 порту. Эффекта это не дало.
вы бы лучше весь свой список правил выключили, секунд на 15, я думаю за это время, вас никто не взломает. и проверили. как инпут тут тоже учавствует.
vomus
Сообщения: 48 Зарегистрирован: 28 окт 2013, 22:00
22 янв 2014, 20:16
simpl3x писал(а): Код: Выделить всё
add action=reject chain=input in-interface=Rostelecom-PPPoE protocol=tcp tcp-flags=fin,syn,ack
а это вообще нормально? )))
Код: Выделить всё
Вот. Я про это сразу подумал и даже добавил правило в output, разрешающее ходить на dynupdate.no-ip.com по 80 порту. Эффекта это не дало.
вы бы лучше весь свой список правил выключили, секунд на 15, я думаю за это время, вас никто не взломает. и проверили. как инпут тут тоже учавствует.
Вот эти самые сканеры портов и блокируют. Как же тогда это обойти? Комбинация этих флагов может служить показателем сканера...
simpl3x
Модератор
Сообщения: 1532 Зарегистрирован: 19 апр 2012, 14:03
23 янв 2014, 08:14
а вообще, эти флаги нужны для образования tcp сессии. если отключить правило, оно работает? давайте будем последовательны, решим вашу тему топика. а конкретизировать правило достаточно просто: 1. можно сделать исключение для no-ip 2. можно добавить например ограничение на количество соедиений в секунду, минуту, час... фаервол достаточно гибкий.
vomus
Сообщения: 48 Зарегистрирован: 28 окт 2013, 22:00
23 янв 2014, 09:35
simpl3x писал(а): а вообще, эти флаги нужны для образования tcp сессии. если отключить правило, оно работает? давайте будем последовательны, решим вашу тему топика. а конкретизировать правило достаточно просто: 1. можно сделать исключение для no-ip 2. можно добавить например ограничение на количество соедиений в секунду, минуту, час... фаервол достаточно гибкий.
Спасибо.