Страница 3 из 3
Re: Не работает обновление DDNS no-ip
Добавлено: 22 янв 2014, 18:19
simpl3x
vomus писал(а):podarok66 писал(а):Знаете, у меня вообще строка из Вашего скрипта:
Проверьте вы построчно скрипт, там дел на полчаса.
Даже если это все убрать и оставить только /tool fetch ИЗ КОНСОЛИ, то будет вот что:
Код: Выделить всё
[vomus@MikroTik] > /tool fetch mode=http user=.... password=.... url="http://dynupdate.no-ip.com/nic/update\?hostname=vomus.no-ip.biz&myip=5.139.86.253" status: failed
failure: closing connection: <connection failed> 8.23.224.120:80 (4)
[vomus@MikroTik] > :put [resolve vomus.no-ip.biz]
91.218.87.205
[vomus@MikroTik] >
Соответственно, вопрос совсем не в скрипте (я конечно все поправил в смысле /interface find name=), но до этого, как я понимаю, и дело не дошло.
а покажите ка свой фаервольчик.../ip firewall export
Re: Не работает обновление DDNS no-ip
Добавлено: 22 янв 2014, 18:37
vomus
Вот. Я про это сразу подумал и даже добавил правило в output, разрешающее ходить на dynupdate.no-ip.com по 80 порту. Эффекта это не дало.
Код: Выделить всё
[vomus@MikroTik] > /ip firewall export
# jan/22/2014 19:39:46 by RouterOS 6.5
# software id = R9KJ-T416
#
/ip firewall filter
add action=drop chain=input comment="Drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=3h chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=\
ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=\
ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=\
ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=reject chain=input comment="Reject port scanners" in-interface=Rostelecom-PPPoE protocol=tcp tcp-flags=syn
add action=reject chain=input in-interface=Rostelecom-PPPoE protocol=tcp tcp-flags=fin,syn,ack
add chain=input comment="Allow IPsec connections" connection-state=new dst-port=500 in-interface=Rostelecom-PPPoE protocol=udp
add chain=input connection-state=new connection-type="" dst-port=1701 in-interface=Rostelecom-PPPoE protocol=udp
add chain=input connection-state=new dst-port=4500 in-interface=Rostelecom-PPPoE protocol=udp
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=Rostelecom-PPPoE
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=Rostelecom-PPPoE src-address=10.161.0.0/16
Re: Не работает обновление DDNS no-ip
Добавлено: 22 янв 2014, 19:46
simpl3x
Код: Выделить всё
add action=reject chain=input in-interface=Rostelecom-PPPoE protocol=tcp tcp-flags=fin,syn,ack
а это вообще нормально? )))
Код: Выделить всё
Вот. Я про это сразу подумал и даже добавил правило в output, разрешающее ходить на dynupdate.no-ip.com по 80 порту. Эффекта это не дало.
вы бы лучше весь свой список правил выключили, секунд на 15, я думаю за это время, вас никто не взломает. и проверили. как инпут тут тоже учавствует.
Re: Не работает обновление DDNS no-ip
Добавлено: 22 янв 2014, 20:16
vomus
simpl3x писал(а):Код: Выделить всё
add action=reject chain=input in-interface=Rostelecom-PPPoE protocol=tcp tcp-flags=fin,syn,ack
а это вообще нормально? )))
Код: Выделить всё
Вот. Я про это сразу подумал и даже добавил правило в output, разрешающее ходить на dynupdate.no-ip.com по 80 порту. Эффекта это не дало.
вы бы лучше весь свой список правил выключили, секунд на 15, я думаю за это время, вас никто не взломает. и проверили. как инпут тут тоже учавствует.
Вот эти самые сканеры портов и блокируют. Как же тогда это обойти? Комбинация этих флагов может служить показателем сканера...
Re: Не работает обновление DDNS no-ip
Добавлено: 23 янв 2014, 08:14
simpl3x
а вообще, эти флаги нужны для образования tcp сессии.
если отключить правило, оно работает? давайте будем последовательны, решим вашу тему топика.
а конкретизировать правило достаточно просто:
1. можно сделать исключение для no-ip
2. можно добавить например ограничение на количество соедиений в секунду, минуту, час...
фаервол достаточно гибкий.
Re: Не работает обновление DDNS no-ip
Добавлено: 23 янв 2014, 09:35
vomus
simpl3x писал(а):а вообще, эти флаги нужны для образования tcp сессии.
если отключить правило, оно работает? давайте будем последовательны, решим вашу тему топика.
а конкретизировать правило достаточно просто:
1. можно сделать исключение для no-ip
2. можно добавить например ограничение на количество соедиений в секунду, минуту, час...
фаервол достаточно гибкий.
Спасибо.