Как запретить доступ к Микротику и ping извне?

Обсуждение ПО и его настройки
Elevyr
Сообщения: 34
Зарегистрирован: 28 авг 2015, 05:54

podarok66 писал(а):Так, я все-таки попал за нормальный комп, хоть и с задержкой. Как обещал, ограничение доступа к роутеру снаружи:

Код: Выделить всё

/ip service
set telnet address=192.168.0.0/24 disabled=yes
set ftp address=192.168.0.0/24 disabled=yes
set www address=192.168.0.0/24 disabled=yes
set ssh address=192.168.0.0/24
set www-ssl address=192.168.0.0/24 disabled=yes
set api address=192.168.0.0/24 disabled=yes
set winbox address=192.168.0.0/24
set api-ssl address=192.168.0.0/24 disabled=yes

При таком варианте к роутеру можно подключится только через Winbox или по ssh и только из внутренней сети 192.168.0.0/24
Дальше, для прикрытия возможности пинга нужно отключить ВСЕ правила в Firewall=>Filter и вбить одно единственное типа такого:

Код: Выделить всё

ip firewall filter add chain=input protocol=icmp in-interface=ВАШ_ИНТЕРФЕЙС_СМОТРЯЩИЙ_В_ИНТЕРНЕТ action=drop  

Обязательно указываем интерфейс, это как бы помогает определить, где рубить пакеты.
Жду результатов Ваших проб :-) Прошу прощения за временные разрывы между моими сообщениями, вторую неделю передвигаюсь более чем хаотично. А экран телефона у меня 4 дюйма, с моим плохим зрением особо не поотвечаешь.


Спасибо! Доступ из инета закрылся, а то уже в терминале писалось:
sep/03/2015 13:09:17 system,error,critical login failure for user root from 221.20
3
.3.117 via ssh
Кто-то пытался залезть, видимо.
А пинг пусть останется для диагностики работы роутера.


vallru
Сообщения: 2
Зарегистрирован: 05 сен 2015, 13:17

Отключить протокол ICMP не является правильным, поскольку это также использоваться для других целей- https://ru.wikipedia.org/wiki/ICMP.Чтобы заблокировать PING надо запретить отклик- Понг пакетов:
/ip firewall filter
add action=drop chain=input comment="drop echo request" icmp-options=8:0
\ in-interface=ether1-gateway protocol=icmp


Аватара пользователя
ksa
Сообщения: 46
Зарегистрирован: 11 сен 2018, 12:07

,
Последний раз редактировалось ksa 24 окт 2018, 17:33, всего редактировалось 1 раз.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Код: Выделить всё

/ip service
set ssh address=192.168.88.0/24,192.168.100.0/24,10.8.0.0/24,10.9.0.0/24 port=54378
set winbox address=192.168.88.0/24,192.168.100.0/24,10.8.0.0/24,10.9.0.0/24
Как то так....


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
reevvz
Сообщения: 44
Зарегистрирован: 22 июл 2016, 19:09

vallru писал(а): 05 сен 2015, 13:56 Отключить протокол ICMP не является правильным, поскольку это также использоваться для других целей- https://ru.wikipedia.org/wiki/ICMP.Чтобы заблокировать PING надо запретить отклик- Понг пакетов:
/ip firewall filter
add action=drop chain=input comment="drop echo request" icmp-options=8:0
\ in-interface=ether1-gateway protocol=icmp
Я правильно понимаю что надо это правило в самый верх поставить до правила "Accept est and related"?


dimass
Сообщения: 2
Зарегистрирован: 10 апр 2019, 17:52

Здравствуйте!

Бездумно, в панике применил вот этот набор правил

/ip service
set telnet address=192.168.0.0/24 disabled=yes
set ftp address=192.168.0.0/24 disabled=yes
set www address=192.168.0.0/24 disabled=yes
set ssh address=192.168.0.0/24
set www-ssl address=192.168.0.0/24 disabled=yes
set api address=192.168.0.0/24 disabled=yes
set winbox address=192.168.0.0/24
set api-ssl address=192.168.0.0/24 disabled=yes


А подсеть у меня 192.168.88.0/24 :(

Доступ к микротику пропал впринципе.

Прошу совета у бывалых, как быть теперь?

Возможен ли вариант в ручную прописать на машину в локальной сети что то из 192.168.0.0/24 и попробовать зайти?

Или бестолку, только ресет?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Да. Так же должен оставаться доступ по mac, если вы его не запретили ранее.


dimass
Сообщения: 2
Зарегистрирован: 10 апр 2019, 17:52

Спасибо за ответ!

Только вот я не понял, что значит да? ))

Да - бестолку, или да пропиши в локальную машину 192.168.88.0/24?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

По МАС зайти не проблема через winbox. А вот из-под сети 192.168.0.0/24 доступ может быть при соблюдении определённых условий.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить