Отключить Neighbors

Обсуждение оборудования и его настройки
chart41
Сообщения: 22
Зарегистрирован: 03 июн 2018, 13:22

Привет. Хочу отключить соседский сервис в микротике, чтобы не было видно мак в сети, но в нём нет вкладки.
Вроде я делал какие-то другие настройки, но винбокс видит мак адрес, хотя мак сервер отключен.
Изображение


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Выше кнопка discovery settings.


Telegram: @thexvo
chart41
Сообщения: 22
Зарегистрирован: 03 июн 2018, 13:22

xvo писал(а): 12 дек 2020, 12:28 Выше кнопка discovery settings.
Спасибо.
Вообще, когда мак сервер включен, то можно зайти с любого айпи, даже если указано ограничение в пользователе и сервисе. Возможно это исправить?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

chart41 писал(а): 12 дек 2020, 12:40 Спасибо.
Вообще, когда мак сервер включен, то можно зайти с любого айпи, даже если указано ограничение в пользователе и сервисе. Возможно это исправить?
Если вы заходите по mac, то ip уровень вообще не используется.
Так что нет.
Только ограничить интерфейсы с которых есть доступ по mac (аналогичным управлению neighbours образом).


Telegram: @thexvo
KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

chart41 писал(а): 12 дек 2020, 12:40 когда мак сервер включен, то можно зайти с любого айпи
С мас адреса. Это уровень 2, тут не адресов.
chart41 писал(а): 12 дек 2020, 12:40 даже если указано ограничение в пользователе и сервисе. Возможно это исправить?
В фаерволе создать правило для порта 8291 с необходимым мас адресом источника.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

KaNelam писал(а): 12 дек 2020, 14:01 В фаерволе создать правило для порта 8291 с необходимым мас адресом источника.
Firewall этого трафика никогда не увидит.
Bridge Filter тогда уж.


Telegram: @thexvo
chart41
Сообщения: 22
Зарегистрирован: 03 июн 2018, 13:22

Я короче чё-то понастраивал и увидел блок атак в роутере на популярные порты. Не знаю кому я нафиг сдался, я же ни кто. Просто сижу дома занимаюсь всякой хернёй.
Кроме этого у меня есть правило с аксептом Established.
И в коннэктах фаервола видно подключения на роутер с каких-то иностранных адресов. Иногда на другие адреса, которые тоже не мои. Хотя в этот момент ни чего на компьютере не делается.
Так и должно быть?
Изображение


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Не должно быть такого.
Хоть и не понятно пока, что это.


Telegram: @thexvo
chart41
Сообщения: 22
Зарегистрирован: 03 июн 2018, 13:22

xvo писал(а): 13 дек 2020, 13:29 Не должно быть такого.
Хоть и не понятно пока, что это.

Код: Выделить всё

/export compact
# dec/13/2020 14:07:39 by RouterOS 6.46.4
# software id = S8SG-CE8Z
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 9249083DAA1E
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full arp=\
    reply-only mac-address=00:00:50:AD:E0:D1
set [ find default-name=ether2 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether3 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether4 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether5 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface l2tp-client
add add-default-route=yes allow=chap,mschap2 allow-fast-path=yes connect-to=tp.internet.beeline.ru max-mru=1500 \
    max-mtu=1460 name=beeline password=dfsdfasdfas user=0812345678
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n channel-width=20/40mhz-XX country=no_country_set \
    frequency-mode=manual-txpower mode=ap-bridge ssid=DOMA.NET
set [ find default-name=wlan2 ] antenna-gain=0 country=no_country_set frequency-mode=manual-txpower ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" mode=dynamic-keys \
    supplicant-identity=MikroTik wpa-pre-shared-key=88888888 wpa2-pre-shared-key=88888888
/ip dhcp-server
add add-arp=yes disabled=no interface=bridge1 name=dhcp1
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp_pool1 ranges=192.168.3.100-192.168.3.200
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/interface bridge filter
# in/out-bridge-port matcher not possible when interface (ether1) is not slave
add action=drop chain=output dst-mac-address=01:00:0C:CC:CC:CC/FF:FF:FF:FF:FF:FF out-interface=ether1
add action=drop chain=input mac-protocol=ipv6
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether4
/ip neighbor discovery-settings
set discover-interface-list=none
/ip dhcp-client
add add-default-route=special-classless default-route-distance=10 disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.3.0/24 dns-server=8.8.8.8,8.8.4.4 domain=DOMA.NET gateway=192.168.3.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=drop chain=input comment="drop echo request" icmp-options=8:0 in-interface=ether1 protocol=icmp
# beeline not ready
add action=drop chain=input icmp-options=8:0 in-interface=beeline protocol=icmp
add action=drop chain=input comment=Drop_winbox_black_list dst-port=2324 protocol=tcp src-address-list=black_list
add action=add-src-to-address-list address-list=black_list address-list-timeout=5m chain=input comment=\
    Winbox_add_black_list connection-state=new dst-port=2324 protocol=tcp src-address-list=Winbox_stage3
add action=add-src-to-address-list address-list=Winbox_stage3 address-list-timeout=1m chain=input comment=\
    Winbox_stage3 connection-state=new dst-port=2324 protocol=tcp src-address-list=Winbox_stage2
add action=add-src-to-address-list address-list=Winbox_stage2 address-list-timeout=1m chain=input comment=\
    Winbox_stage2 connection-state=new dst-port=2324 port="" protocol=tcp src-address-list=Winbox_stage1
add action=add-src-to-address-list address-list=Winbox_stage1 address-list-timeout=1m chain=input comment=\
    Winbox_stage1 connection-state=new dst-port=2324 protocol=tcp
add action=add-src-to-address-list address-list=DNS_FLOOD address-list-timeout=none-dynamic chain=input dst-port=\
    53,2324 protocol=udp
add action=drop chain=input dst-port=53,2324 protocol=udp
add action=drop chain=output comment=\
    "\F1\EA\F0\FB\F2\FC \E8\ED\F4\EE\F0\EC\E0\F6\E8\FE \EE\E1 \F3\F1\F2\F0\EE\E9\F1\F2\E2\E5" dst-port=5678 \
    out-interface=ether1 protocol=udp
add action=drop chain=forward dst-port=3544 protocol=udp
add action=drop chain=input comment=Perebor_portov_list_drop src-address-list=perebor_portov_drop
add action=add-src-to-address-list address-list=perebor_portov_drop address-list-timeout=4w2d chain=input comment=\
    Perebor_portov_add_list dst-port=3389,22,8291,98,5060,5061,6667,21,69 log=yes log-prefix=Attack protocol=tcp
add action=add-src-to-address-list address-list=perebor_portov_drop address-list-timeout=4w2d chain=input \
    dst-port=2324 log=yes log-prefix=Attack protocol=tcp
add action=drop chain=input comment=Port_scanner_drop src-address-list="port scanners"
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=4w2d chain=input \
    in-interface=ether1 log=yes log-prefix="Attack Scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=4w2d chain=input \
    in-interface=ether1 log=yes log-prefix="Attack Scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=4w2d chain=input \
    in-interface=ether1 log=yes log-prefix="Attack Scan" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=4w2d chain=input \
    in-interface=ether1 log=yes log-prefix="Attack Scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=4w2d chain=input \
    in-interface=ether1 log=yes log-prefix="Attack Scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=4w2d chain=input \
    in-interface=ether1 log=yes log-prefix="Attack Scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=4w2d chain=input \
    in-interface=ether1 log=yes log-prefix="Attack Scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=accept chain=input connection-state=established,related
add action=drop chain=forward in-interface=ether1 out-interface=bridge1
add action=accept chain=forward connection-state=established,related connection-type="" disabled=yes
add action=drop chain=input in-interface=ether1
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
# beeline not ready
add action=masquerade chain=srcnat out-interface=beeline
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.3.43/32 port=2324
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=none
/tool mac-server ping
set enabled=no


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Я же правильно понимаю, что beeline - это ваш основной WAN интерфейс?
Тогда почему у вас firewall практически ничего приходящего с него не сбрасывает?
Верните дефолтный, только добавьте этот beeline в список WAN.


Telegram: @thexvo
Ответить