Brutят микротик

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
ARS
Сообщения: 6
Зарегистрирован: 13 июн 2017, 16:51

Добрый день)
Собсна не могу найти раздел и инструкцию где именно сделать разрешенный список IP адресов для входа на определенный сервер
подскажите?)

спасибо!


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

ARS писал(а): 07 дек 2018, 15:03 Добрый день)
Собсна не могу найти раздел и инструкцию где именно сделать разрешенный список IP адресов для входа на определенный сервер
подскажите?)
спасибо!
1) Вопрос, по части что Вы хотите получить в итоге, я не понял?

2) Списки IP-адресов или диапазон IP создаётся (через Winbox) по следующему пути:
Входим в Винбокс, подключаемся к роутеру и
слева кликаем по IP -- там выбираем Firewall - в появившемся окне переходим на вкладку Address Lists
и уже там, нажав синий плюсик, создаём адрес-лист, где придумывает названию адрес-листу, и уже IP
И так далее....плюсик, выбираем уже наш созданный адрес-лист и вводим другой IP

P.S.
Вся инструкция на wiki.mikrotik.com



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
ARS
Сообщения: 6
Зарегистрирован: 13 июн 2017, 16:51

Vlad-2 писал(а): 07 дек 2018, 16:11
ARS писал(а): 07 дек 2018, 15:03 Добрый день)
Собсна не могу найти раздел и инструкцию где именно сделать разрешенный список IP адресов для входа на определенный сервер
подскажите?)
спасибо!
1) Вопрос, по части что Вы хотите получить в итоге, я не понял?

2) Списки IP-адресов или диапазон IP создаётся (через Winbox) по следующему пути:
Входим в Винбокс, подключаемся к роутеру и
слева кликаем по IP -- там выбираем Firewall - в появившемся окне переходим на вкладку Address Lists
и уже там, нажав синий плюсик, создаём адрес-лист, где придумывает названию адрес-листу, и уже IP
И так далее....плюсик, выбираем уже наш созданный адрес-лист и вводим другой IP

P.S.
Вся инструкция на wiki.mikrotik.com
Прошу прощения за долгий ответ
1. У меня есть люди которые заходят на определенный сервер по RDP, мне нужно сделать так что бы только их IP адреса могли на него заходить - все остальные дропало
Грубо говоря есть сервер 192.168.0.2 - нужно сделать так что бы на него могли заходить только те адреса по RDP (внешние) которым я дал добро
все остальное - ДРОП
2. За сайт спасибо, гляну


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

ARS писал(а): 09 янв 2019, 10:39 Прошу прощения за долгий ответ
1. У меня есть люди которые заходят на определенный сервер по RDP, мне нужно сделать так что бы только их IP адреса могли на него заходить - все остальные дропало
Грубо говоря есть сервер 192.168.0.2 - нужно сделать так что бы на него могли заходить только те адреса по RDP (внешние) которым я дал добро
все остальное - ДРОП
1)
Если я правильно понял, надо ограничить именно кто имеет право с внешнего (с глобала) "постучаться" на порт микротика и попасть уже
через правило проброса на порт RDP сервера 192.168.0.2 ?
Если всё так то мой совет в первом сообщении до сих пор актуален.
(ниже будет лёгкая инструкция, так как Вы так и не дали понять,
умеете/можете конфигурировать роутер, поэтому буду занудно объяснять)

2)
а) Заходите в Вибокс утилиту по управлению микротиком и подключаетесь в микротик
б) Формируем адрес-лист в котором опишем ХОРОШИЕ ip-адреса, то есть просто сформируем список.
Поэтому заходите в IP - Firewall - Address Lists. Там нажимаете синий плюсик и впервый раз придумываете
имя адрес-листу, давайте сделаем SRV-RDP-Allow (такое название), вписываете в первую строчку, во вторую
строчку вбиваете первый IP-адрес хорошего человека.
Потом повторяете процедуру, единственно для удобства, когда второй, третий раз будете нажимать
плюсик, заново имя набирать не надо, можно выбрать из списка (стрелочка справа возле строки этой),
или научиться пользоваться также кнопкой COPY справа в окне создания записи.
И так третий, четвёртый, пятый и т.д.
Таким образом Вы создадите белый/хороший список с хорошими адресами. Я специально так выражаюсь.
Это лишь список, а уже как его использовать - зависит от Вас и от правила. Этот список можно использовать
как Анти-Хороший и так далее и прочее.

3)
Теперь само ограничение:
Я так понимаю, само правило проброса на RDP-порт у Вас в роутере есть? Сюдя по всему это так.
Я буду придерживаться что оно есть и Вам надо лишь сделать это правило чтобы оно работало
не для всех, а для избранных.
Поэтому входите в это правило проброса, переходите во вторую закладку "Advanced", и там прямо
сверху будет строка Src.Address List = Вы должны щёлкнуть по ней и выбрать из списка = список наш,
в данном примере он у нас называется SRV-RDP-Allow и нажать ОК.
Что мы сделали = мы сделали более точное(узкое) правило, которое будет работать только для тех, кто "пришёл"
из списка хороших. Вот и всё. Так как мы правило сделали точечным, то и запрещать нечего,
оно будет работать только для списка этого.

P.S.
Если у Вас работает микротик и уже есть пробросы на сервера, то уж с этими вещами, как
адрес-листы, списки - Вы должны были уже разобраться намного раньше запуска микротика в бой.
:-)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить