Сам проверил. Правило работает. Можно не указывать in-interfaces, тогда запретит на всех интерфейсах для всех, кроме списка исключений.
Вопрос про параметр "Available From" в настройках сервисов остался. За что эта настройка отвечает?
Вопросы нуба
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
специально не хотел Вам отвечать, потому что это уже не нубский вопрос, а просто
лёгкий наглёж - спрашивать простейшие опции, которые в той же вики всё есть.
И всё же со своей позиции сделаю объяснение:
начнём с теории - есть у ТСП и УДП порты, порты могут быть открыты или закрыты быть,
и в параметрах опция "Available From" позволяет уже на внутреннем уровне микротика сделать ограничения по
тому, с каких сетей можно зайти или постучаться в данный сервис/порт.
То есть параметр "Available From" формирует мини-при-мини файрволл внутри, запрещающий
другим (кроме разрешённых сетей) этот сервис/порт использовать, НО как я и писал ранее,
ПОРТ никуда не делся, порт есть, он доступен и при сканировании он будет.
Поэтому задача - если нам порт нужен, но не нужно нам его светить что он есть у нас,
проще и правильнее его "закрыть" в файрволле, ну а так, в целях первоначальной защиты
и "Available From" пойдёт.
Как-то так...
лёгкий наглёж - спрашивать простейшие опции, которые в той же вики всё есть.
И всё же со своей позиции сделаю объяснение:
начнём с теории - есть у ТСП и УДП порты, порты могут быть открыты или закрыты быть,
и в параметрах опция "Available From" позволяет уже на внутреннем уровне микротика сделать ограничения по
тому, с каких сетей можно зайти или постучаться в данный сервис/порт.
То есть параметр "Available From" формирует мини-при-мини файрволл внутри, запрещающий
другим (кроме разрешённых сетей) этот сервис/порт использовать, НО как я и писал ранее,
ПОРТ никуда не делся, порт есть, он доступен и при сканировании он будет.
Поэтому задача - если нам порт нужен, но не нужно нам его светить что он есть у нас,
проще и правильнее его "закрыть" в файрволле, ну а так, в целях первоначальной защиты
и "Available From" пойдёт.
Как-то так...
-
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
Судя по логу, если закрыть например телнет опцией "Available From", попытки ввода логина/пароля не прекращаются (записи формата "login failure for user root from 117.198.234.247 via telnet" в наличии).
Что значит "на внутреннем уровне микротика сделать ограничения по тому, с каких сетей можно зайти или постучаться в данный сервис/порт"?
Если просто постучаться в порт по IP, микротик не ответит?
А если постучаться с указанием имени и пароля, то проверка все равно состоится? А если логин/пароль правильный, пустит, или нет?
Я может читать не научился, но в вики это где?
Что значит "на внутреннем уровне микротика сделать ограничения по тому, с каких сетей можно зайти или постучаться в данный сервис/порт"?
Если просто постучаться в порт по IP, микротик не ответит?
А если постучаться с указанием имени и пароля, то проверка все равно состоится? А если логин/пароль правильный, пустит, или нет?
Я может читать не научился, но в вики это где?
- Kato
- Сообщения: 271
- Зарегистрирован: 17 май 2016, 04:23
- Откуда: Primorye
-
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
Като, брат, спасибо родной!!!
Можно я Main_Page распечатаю для рамки на стене?
Можно я Main_Page распечатаю для рамки на стене?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Erik_U писал(а):Судя по логу, если закрыть например телнет опцией "Available From", попытки ввода логина/пароля не прекращаются (записи формата "login failure for user root from 117.198.234.247 via telnet" в наличии).
Что значит "на внутреннем уровне микротика сделать ограничения по тому, с каких сетей можно зайти или постучаться в данный сервис/порт"?
Если просто постучаться в порт по IP, микротик не ответит?
А если постучаться с указанием имени и пароля, то проверка все равно состоится? А если логин/пароль правильный, пустит, или нет?
Надеюсь Вы меня не троллите, я плохо это различаю
1) Ещё раз, ударились в порт/телнет, если в "Available From" стоит пусто(не активно) - то телнет ответит всем.
2) Ударились снаружи в порт/телнет, но в "Available From" стоит скажем сеть 192.168.0.0/16 - порт откроется, и всё, НО сервиса, службы/телнета у Вас не будет.
То есть если проводить аллегорию: микротик дверку приоткроет, проверит что Вы не "свой" и всё...
Порт будет доступен, но сервис (ответа от сервиса, службы на данном порту/портах) при явном заполнении и указании IP-сетей в поле "Available From" не будет!
Как фейс-контрол...
Так понятно?
- Kato
- Сообщения: 271
- Зарегистрирован: 17 май 2016, 04:23
- Откуда: Primorye
Erik_U писал(а):Като, брат, спасибо родной!!!
Можно я Main_Page распечатаю для рамки на стене?
не за что
конечно можно, формат листа самый большой, и на рамку самую лучшую)
в общем я указал "свет в конце туннеля", а вот сам "свет" вам придется искать самому)
-
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
Vlad-2 писал(а):Порт будет доступен, но сервис (ответа от сервиса, службы на данном порту/портах) при явном заполнении и указании IP-сетей в поле "Available From" не будет!
Как фейс-контрол...
Так понятно?
Понятно. Почему появляетя при этом запись в логе "login failure for user root from 117.198.234.247 via telnet" не понятно. Попытка логина была несмотря на то, что 117.198.234.247 не из 192.168.88.0
Я поэтому и начал спрашивать. Потому, что по логике, до проверки пароля доходить не должно.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Erik_U писал(а):Понятно. Почему появляетя при этом запись в логе "login failure for user root from 117.198.234.247 via telnet" не понятно. Попытка логина была несмотря на то, что 117.198.234.247 не из 192.168.88.0
Я поэтому и начал спрашивать. Потому, что по логике, до проверки пароля доходить не должно.
А Вы как сеть прописали? Именно 192.168.88.0 ?
Вообще-то надо было вот так: 192.168.88.0/24
-
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
192.168.88.0/24 так прописал.