Вопросы нуба

Обсуждение ПО и его настройки
Erik_U
Сообщения: 1752
Зарегистрирован: 09 июл 2014, 12:33

Сам проверил. Правило работает. Можно не указывать in-interfaces, тогда запретит на всех интерфейсах для всех, кроме списка исключений.

Вопрос про параметр "Available From" в настройках сервисов остался. За что эта настройка отвечает?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

специально не хотел Вам отвечать, потому что это уже не нубский вопрос, а просто
лёгкий наглёж - спрашивать простейшие опции, которые в той же вики всё есть.

И всё же со своей позиции сделаю объяснение:
начнём с теории - есть у ТСП и УДП порты, порты могут быть открыты или закрыты быть,
и в параметрах опция "Available From" позволяет уже на внутреннем уровне микротика сделать ограничения по
тому, с каких сетей можно зайти или постучаться в данный сервис/порт.

То есть параметр "Available From" формирует мини-при-мини файрволл внутри, запрещающий
другим (кроме разрешённых сетей) этот сервис/порт использовать, НО как я и писал ранее,
ПОРТ никуда не делся, порт есть, он доступен и при сканировании он будет.

Поэтому задача - если нам порт нужен, но не нужно нам его светить что он есть у нас,
проще и правильнее его "закрыть" в файрволле, ну а так, в целях первоначальной защиты
и "Available From" пойдёт.

Как-то так...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Erik_U
Сообщения: 1752
Зарегистрирован: 09 июл 2014, 12:33

Судя по логу, если закрыть например телнет опцией "Available From", попытки ввода логина/пароля не прекращаются (записи формата "login failure for user root from 117.198.234.247 via telnet" в наличии).
Что значит "на внутреннем уровне микротика сделать ограничения по тому, с каких сетей можно зайти или постучаться в данный сервис/порт"?
Если просто постучаться в порт по IP, микротик не ответит?
А если постучаться с указанием имени и пароля, то проверка все равно состоится? А если логин/пароль правильный, пустит, или нет?

Я может читать не научился, но в вики это где?


Аватара пользователя
Kato
Сообщения: 271
Зарегистрирован: 17 май 2016, 04:23
Откуда: Primorye

Erik_U писал(а): но в вики это где?
http://wiki.mikrotik.com/wiki/Main_Page


Erik_U
Сообщения: 1752
Зарегистрирован: 09 июл 2014, 12:33

Като, брат, спасибо родной!!!
Можно я Main_Page распечатаю для рамки на стене?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Erik_U писал(а):Судя по логу, если закрыть например телнет опцией "Available From", попытки ввода логина/пароля не прекращаются (записи формата "login failure for user root from 117.198.234.247 via telnet" в наличии).
Что значит "на внутреннем уровне микротика сделать ограничения по тому, с каких сетей можно зайти или постучаться в данный сервис/порт"?
Если просто постучаться в порт по IP, микротик не ответит?
А если постучаться с указанием имени и пароля, то проверка все равно состоится? А если логин/пароль правильный, пустит, или нет?

Надеюсь Вы меня не троллите, я плохо это различаю ;;-)))
1) Ещё раз, ударились в порт/телнет, если в "Available From" стоит пусто(не активно) - то телнет ответит всем.
2) Ударились снаружи в порт/телнет, но в "Available From" стоит скажем сеть 192.168.0.0/16 - порт откроется, и всё, НО сервиса, службы/телнета у Вас не будет.
То есть если проводить аллегорию: микротик дверку приоткроет, проверит что Вы не "свой" и всё...
Порт будет доступен, но сервис (ответа от сервиса, службы на данном порту/портах) при явном заполнении и указании IP-сетей в поле "Available From" не будет!
Как фейс-контрол...
Так понятно?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Kato
Сообщения: 271
Зарегистрирован: 17 май 2016, 04:23
Откуда: Primorye

Erik_U писал(а):Като, брат, спасибо родной!!!
Можно я Main_Page распечатаю для рамки на стене?

не за что
конечно можно, формат листа самый большой, и на рамку самую лучшую)
в общем я указал "свет в конце туннеля", а вот сам "свет" вам придется искать самому)


Erik_U
Сообщения: 1752
Зарегистрирован: 09 июл 2014, 12:33

Vlad-2 писал(а):Порт будет доступен, но сервис (ответа от сервиса, службы на данном порту/портах) при явном заполнении и указании IP-сетей в поле "Available From" не будет!
Как фейс-контрол...
Так понятно?


Понятно. Почему появляетя при этом запись в логе "login failure for user root from 117.198.234.247 via telnet" не понятно. Попытка логина была несмотря на то, что 117.198.234.247 не из 192.168.88.0

Я поэтому и начал спрашивать. Потому, что по логике, до проверки пароля доходить не должно.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Erik_U писал(а):Понятно. Почему появляетя при этом запись в логе "login failure for user root from 117.198.234.247 via telnet" не понятно. Попытка логина была несмотря на то, что 117.198.234.247 не из 192.168.88.0
Я поэтому и начал спрашивать. Потому, что по логике, до проверки пароля доходить не должно.

А Вы как сеть прописали? Именно 192.168.88.0 ?
Вообще-то надо было вот так: 192.168.88.0/24



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Erik_U
Сообщения: 1752
Зарегистрирован: 09 июл 2014, 12:33

192.168.88.0/24 так прописал.


Ответить