Не работает обновление DDNS no-ip

Обсуждение ПО и его настройки
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

vomus писал(а):
podarok66 писал(а):Знаете, у меня вообще строка из Вашего скрипта:
Проверьте вы построчно скрипт, там дел на полчаса.


Даже если это все убрать и оставить только /tool fetch ИЗ КОНСОЛИ, то будет вот что:

Код: Выделить всё

[vomus@MikroTik] > /tool fetch mode=http user=.... password=.... url="http://dynupdate.no-ip.com/nic/update\?hostname=vomus.no-ip.biz&myip=5.139.86.253"       status: failed

failure: closing connection: <connection failed> 8.23.224.120:80 (4)
[vomus@MikroTik] > :put [resolve vomus.no-ip.biz]
91.218.87.205
[vomus@MikroTik] >

Соответственно, вопрос совсем не в скрипте (я конечно все поправил в смысле /interface find name=), но до этого, как я понимаю, и дело не дошло.

а покажите ка свой фаервольчик.../ip firewall export


vomus
Сообщения: 48
Зарегистрирован: 28 окт 2013, 22:00

Вот. Я про это сразу подумал и даже добавил правило в output, разрешающее ходить на dynupdate.no-ip.com по 80 порту. Эффекта это не дало.

Код: Выделить всё

[vomus@MikroTik] > /ip firewall export
# jan/22/2014 19:39:46 by RouterOS 6.5
# software id = R9KJ-T416
#
/ip firewall filter
add action=drop chain=input comment="Drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=3h chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=\
    ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=\
    ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=\
    ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=reject chain=input comment="Reject port scanners" in-interface=Rostelecom-PPPoE protocol=tcp tcp-flags=syn
add action=reject chain=input in-interface=Rostelecom-PPPoE protocol=tcp tcp-flags=fin,syn,ack
add chain=input comment="Allow IPsec connections" connection-state=new dst-port=500 in-interface=Rostelecom-PPPoE protocol=udp
add chain=input connection-state=new connection-type="" dst-port=1701 in-interface=Rostelecom-PPPoE protocol=udp
add chain=input connection-state=new dst-port=4500 in-interface=Rostelecom-PPPoE protocol=udp
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=Rostelecom-PPPoE
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=Rostelecom-PPPoE src-address=10.161.0.0/16


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Код: Выделить всё

add action=reject chain=input in-interface=Rostelecom-PPPoE protocol=tcp tcp-flags=fin,syn,ack

а это вообще нормально? )))

Код: Выделить всё

Вот. Я про это сразу подумал и даже добавил правило в output, разрешающее ходить на dynupdate.no-ip.com по 80 порту. Эффекта это не дало.

вы бы лучше весь свой список правил выключили, секунд на 15, я думаю за это время, вас никто не взломает. и проверили. как инпут тут тоже учавствует.


vomus
Сообщения: 48
Зарегистрирован: 28 окт 2013, 22:00

simpl3x писал(а):

Код: Выделить всё

add action=reject chain=input in-interface=Rostelecom-PPPoE protocol=tcp tcp-flags=fin,syn,ack

а это вообще нормально? )))

Код: Выделить всё

Вот. Я про это сразу подумал и даже добавил правило в output, разрешающее ходить на dynupdate.no-ip.com по 80 порту. Эффекта это не дало.

вы бы лучше весь свой список правил выключили, секунд на 15, я думаю за это время, вас никто не взломает. и проверили. как инпут тут тоже учавствует.


Вот эти самые сканеры портов и блокируют. Как же тогда это обойти? Комбинация этих флагов может служить показателем сканера...


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

а вообще, эти флаги нужны для образования tcp сессии.
если отключить правило, оно работает? давайте будем последовательны, решим вашу тему топика.
а конкретизировать правило достаточно просто:
1. можно сделать исключение для no-ip
2. можно добавить например ограничение на количество соедиений в секунду, минуту, час...
фаервол достаточно гибкий.


vomus
Сообщения: 48
Зарегистрирован: 28 окт 2013, 22:00

simpl3x писал(а):а вообще, эти флаги нужны для образования tcp сессии.
если отключить правило, оно работает? давайте будем последовательны, решим вашу тему топика.
а конкретизировать правило достаточно просто:
1. можно сделать исключение для no-ip
2. можно добавить например ограничение на количество соедиений в секунду, минуту, час...
фаервол достаточно гибкий.


Спасибо.


Ответить