Russian Users MikroTik | Форум пользователей MikroTik

podarok66 писал(а):Так, я все-таки попал за нормальный комп, хоть и с задержкой. Как обещал, ограничение доступа к роутеру снаружи:
Код: Выделить всё
/ip service
set telnet address=192.168.0.0/24 disabled=yes
set ftp address=192.168.0.0/24 disabled=yes
set www address=192.168.0.0/24 disabled=yes
set ssh address=192.168.0.0/24
set www-ssl address=192.168.0.0/24 disabled=yes
set api address=192.168.0.0/24 disabled=yes
set winbox address=192.168.0.0/24
set api-ssl address=192.168.0.0/24 disabled=yes
При таком варианте к роутеру можно подключится только через Winbox или по ssh и только из внутренней сети 192.168.0.0/24
Дальше, для прикрытия возможности пинга нужно отключить ВСЕ правила в Firewall=>Filter и вбить одно единственное типа такого:
Код: Выделить всё
ip firewall filter add chain=input protocol=icmp in-interface=ВАШ_ИНТЕРФЕЙС_СМОТРЯЩИЙ_В_ИНТЕРНЕТ action=drop  
Обязательно указываем интерфейс, это как бы помогает определить, где рубить пакеты.
Жду результатов Ваших проб Прошу прощения за временные разрывы между моими сообщениями, вторую неделю передвигаюсь более чем хаотично. А экран телефона у меня 4 дюйма, с моим плохим зрением особо не поотвечаешь.

Спасибо! Доступ из инета закрылся, а то уже в терминале писалось:
sep/03/2015 13:09:17 system,error,critical login failure for user root from 221.20
3
.3.117 via ssh
Кто-то пытался залезть, видимо.
А пинг пусть останется для диагностики работы роутера.

Отключить протокол ICMP не является правильным, поскольку это также использоваться для других целей- https://ru.wikipedia.org/wiki/ICMP.Чтобы заблокировать PING надо запретить отклик- Понг пакетов:
/ip firewall filter
add action=drop chain=input comment="drop echo request" icmp-options=8:0
\ in-interface=ether1-gateway protocol=icmp

Код: Выделить всё

/ip service
set ssh address=192.168.88.0/24,192.168.100.0/24,10.8.0.0/24,10.9.0.0/24 port=54378
set winbox address=192.168.88.0/24,192.168.100.0/24,10.8.0.0/24,10.9.0.0/24

Как то так....

vallru писал(а): ↑05 сен 2015, 13:56 Отключить протокол ICMP не является правильным, поскольку это также использоваться для других целей- https://ru.wikipedia.org/wiki/ICMP.Чтобы заблокировать PING надо запретить отклик- Понг пакетов:
/ip firewall filter
add action=drop chain=input comment="drop echo request" icmp-options=8:0
\ in-interface=ether1-gateway protocol=icmp

Я правильно понимаю что надо это правило в самый верх поставить до правила "Accept est and related"?

Здравствуйте!

Бездумно, в панике применил вот этот набор правил

/ip service
set telnet address=192.168.0.0/24 disabled=yes
set ftp address=192.168.0.0/24 disabled=yes
set www address=192.168.0.0/24 disabled=yes
set ssh address=192.168.0.0/24
set www-ssl address=192.168.0.0/24 disabled=yes
set api address=192.168.0.0/24 disabled=yes
set winbox address=192.168.0.0/24
set api-ssl address=192.168.0.0/24 disabled=yes

А подсеть у меня 192.168.88.0/24 :(

Доступ к микротику пропал впринципе.

Прошу совета у бывалых, как быть теперь?

Возможен ли вариант в ручную прописать на машину в локальной сети что то из 192.168.0.0/24 и попробовать зайти?

Или бестолку, только ресет?

Да. Так же должен оставаться доступ по mac, если вы его не запретили ранее.

Спасибо за ответ!

Только вот я не понял, что значит да? ))

Да - бестолку, или да пропиши в локальную машину 192.168.88.0/24?

По МАС зайти не проблема через winbox. А вот из-под сети 192.168.0.0/24 доступ может быть при соблюдении определённых условий.

Russian Users MikroTik | Форум пользователей MikroTik

Как запретить доступ к Микротику и ping извне?

Re: Как запретить доступ к Микротику и ping извне?

Re: Как запретить доступ к Микротику и ping извне?

Re: Как запретить доступ к Микротику и ping извне?

Re: Как запретить доступ к Микротику и ping извне?

Re: Как запретить доступ к Микротику и ping извне?

Re: Как запретить доступ к Микротику и ping извне?

Re: Как запретить доступ к Микротику и ping извне?

Re: Как запретить доступ к Микротику и ping извне?

Re: Как запретить доступ к Микротику и ping извне?