Защита порта

Обсуждение ПО и его настройки
xvo
Сообщения: 684
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

03 ноя 2019, 14:12

Dunlop писал(а):
03 ноя 2019, 13:23
А если не переводить HUAWEI в мост, то как тогда правильно настроить Mikrotik?
Правильно - перевести huawei в мост :-)
Чуть хуже, но тоже нормально: настроить Huawei так, чтобы в его сети был только микротик и больше никаких других устройств, и добавить на нем маршрут в микротиковскую подсеть. На микротике же обычная home AP конфигурация, но с отключенным NAT'ом (NAT будет делаться на хуавее).

И я надеюсь, не надо объяснять, что если вы вы фильтруете на микротике, то всё, что идет напрямую в хуавей, минуя микротик, фильтроваться не будет?


[CCR1009-7G-1C-1S+] [hEX] [wAP ac] [hAP ac²] [hAP ac lite] [hAP mini]
bst-botsman
Сообщения: 52
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

03 ноя 2019, 14:36

Dunlop писал(а):
03 ноя 2019, 14:02
Если есть возможность, прошу подсказать полный алгоритм, чтобы настройки фильтрации были на Микротике.
Полный алгоритм Вам уже подсказали... Huawei - в режиме "Bridge", и уже на Mikrotik поднимать все соединения и настраивать все Ваши хотелки...

P.S. Имею такой-же ONT-терминал от провайдера БелТелеКом...


RB3011UiAS x 1
951Ui-2nD x 2.
Dunlop
Сообщения: 15
Зарегистрирован: 01 ноя 2019, 09:00

03 ноя 2019, 14:46

xvo писал(а):
03 ноя 2019, 14:12
Dunlop писал(а):
03 ноя 2019, 13:23
А если не переводить HUAWEI в мост, то как тогда правильно настроить Mikrotik?
Правильно - перевести huawei в мост :-)
Чуть хуже, но тоже нормально: настроить Huawei так, чтобы в его сети был только микротик и больше никаких других устройств, и добавить на нем маршрут в микротиковскую подсеть. На микротике же обычная home AP конфигурация, но с отключенным NAT'ом (NAT будет делаться на хуавее).

И я надеюсь, не надо объяснять, что если вы вы фильтруете на микротике, то всё, что идет напрямую в хуавей, минуя микротик, фильтроваться не будет?
Есть еще один вопрос, не относящийся к этой схеме :-) . Есть микротик на входе, за ним сервер, его постоянно атакуют с внешней сети. На Микротике прописаны такие правила:

Код: Выделить всё

/ip firewall filter

add chain=forward protocol=tcp dst-port=**** src-address-list=rdp_blacklist action=drop comment="drop rdp brute forcers" disabled=no

add chain=forward protocol=tcp dst-port=**** connection-state=new src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=1d comment="" disabled=no

add chain=forward protocol=tcp dst-port=**** connection-state=new src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=**** connection-state=new src-address-list=rdp_stage1 action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no

add chain=forward protocol=tcp dst-port=**** connection-state=new action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no
Всё отрабатывает, лишнее блокируют. У меня дома динамический ip, хотелось бы для себя сделать маленькую дырочку. Снять ограничение по вводу пароля. Есть доменное имя (.ddns.net), вставил его в adress list, корректно отображается. И встает вопрос, как привязать мое доменное имя к исключению, чтобы после обращения на порт он не закидывал мой адрес в эти листы.


xvo
Сообщения: 684
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

03 ноя 2019, 14:53

Dunlop писал(а):
03 ноя 2019, 14:46
И встает вопрос, как привязать мое доменное имя к исключению, чтобы после обращения на порт он не закидывал мой адрес в эти листы.
А зачем?
Вы боитесь, что 4 раза подряд неправильно введете пароль?
Ну не вводите его в четвертый раз, если три раза уже ошиблись, подождите минуту, пока ваш адрес уйдет из этих листов.


[CCR1009-7G-1C-1S+] [hEX] [wAP ac] [hAP ac²] [hAP ac lite] [hAP mini]
Dunlop
Сообщения: 15
Зарегистрирован: 01 ноя 2019, 09:00

03 ноя 2019, 15:30

xvo писал(а):
03 ноя 2019, 14:53
Dunlop писал(а):
03 ноя 2019, 14:46
И встает вопрос, как привязать мое доменное имя к исключению, чтобы после обращения на порт он не закидывал мой адрес в эти листы.
А зачем?
Вы боитесь, что 4 раза подряд неправильно введете пароль?
Ну не вводите его в четвертый раз, если три раза уже ошиблись, подождите минуту, пока ваш адрес уйдет из этих листов.
Правило привел для примера. В жизни листы на 10 минут. А ждать иногда нет времени. Да и просто хотелось бы подстраховаться, что мой ip никогда не улетит в бан.


xvo
Сообщения: 684
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

03 ноя 2019, 16:19

Dunlop писал(а):
03 ноя 2019, 15:30
Правило привел для примера. В жизни листы на 10 минут. А ждать иногда нет времени. Да и просто хотелось бы подстраховаться, что мой ip никогда не улетит в бан.
В принципе адрес-листы поддерживают добавление доменных имен. Роутер периодически сам резолвит доменное имя и поддерживает динамечкую запись с нужным ip в том же листе.

Так что просто добавьте лист с записью для своего доменного имени и правило разрешающее доступ для этого листа выше вашей защиты.


[CCR1009-7G-1C-1S+] [hEX] [wAP ac] [hAP ac²] [hAP ac lite] [hAP mini]
Аватара пользователя
IntelOut
Сообщения: 13
Зарегистрирован: 16 окт 2019, 23:12

10 ноя 2019, 12:55

Dunlop писал(а):
03 ноя 2019, 14:46
Всё отрабатывает, лишнее блокируют. У меня дома динамический ip, хотелось бы для себя сделать маленькую дырочку. Снять ограничение по вводу пароля. Есть доменное имя (.ddns.net), вставил его в adress list, корректно отображается. И встает вопрос, как привязать мое доменное имя к исключению, чтобы после обращения на порт он не закидывал мой адрес в эти листы.
Добавить в адреслист свой ddns домен.
На stage 1 или 2 прописать исключение. Не забыть восклицательный знак поставить :hi_hi_hi:
http://prntscr.com/puwiil


With best regards,
IntelOut
______________________________________
Homo homini lupus est...

Home: hAPac2, hAPac, hAPmini, CHR P1, hAP lite, mAP lite
Work: MikroTik Zoo :sh_ok:
Ответить