Страница 3 из 4
Re: Вопросы нуба
Добавлено: 23 май 2017, 21:34
Erik_U
Сам проверил. Правило работает. Можно не указывать in-interfaces, тогда запретит на всех интерфейсах для всех, кроме списка исключений.
Вопрос про параметр "Available From" в настройках сервисов остался. За что эта настройка отвечает?
Re: Вопросы нуба
Добавлено: 24 май 2017, 09:04
Vlad-2
специально не хотел Вам отвечать, потому что это уже не нубский вопрос, а просто
лёгкий наглёж - спрашивать простейшие опции, которые в той же вики всё есть.
И всё же со своей позиции сделаю объяснение:
начнём с теории - есть у ТСП и УДП порты, порты могут быть открыты или закрыты быть,
и в параметрах опция "Available From" позволяет уже на внутреннем уровне микротика сделать ограничения по
тому, с каких сетей можно зайти или постучаться в данный сервис/порт.
То есть параметр "Available From" формирует мини-при-мини файрволл внутри, запрещающий
другим (кроме разрешённых сетей) этот сервис/порт использовать, НО как я и писал ранее,
ПОРТ никуда не делся, порт есть, он доступен и при сканировании он будет.
Поэтому задача - если нам порт нужен, но не нужно нам его светить что он есть у нас,
проще и правильнее его "закрыть" в файрволле, ну а так, в целях первоначальной защиты
и "Available From" пойдёт.
Как-то так...
Re: Вопросы нуба
Добавлено: 24 май 2017, 09:33
Erik_U
Судя по логу, если закрыть например телнет опцией "Available From", попытки ввода логина/пароля не прекращаются (записи формата "login failure for user root from 117.198.234.247 via telnet" в наличии).
Что значит "на внутреннем уровне микротика сделать ограничения по тому, с каких сетей можно зайти или постучаться в данный сервис/порт"?
Если просто постучаться в порт по IP, микротик не ответит?
А если постучаться с указанием имени и пароля, то проверка все равно состоится? А если логин/пароль правильный, пустит, или нет?
Я может читать не научился, но в вики это где?
Re: Вопросы нуба
Добавлено: 24 май 2017, 09:55
Kato
Re: Вопросы нуба
Добавлено: 24 май 2017, 10:30
Erik_U
Като, брат, спасибо родной!!!
Можно я Main_Page распечатаю для рамки на стене?
Re: Вопросы нуба
Добавлено: 24 май 2017, 11:27
Vlad-2
Erik_U писал(а):Судя по логу, если закрыть например телнет опцией "Available From", попытки ввода логина/пароля не прекращаются (записи формата "login failure for user root from 117.198.234.247 via telnet" в наличии).
Что значит "на внутреннем уровне микротика сделать ограничения по тому, с каких сетей можно зайти или постучаться в данный сервис/порт"?
Если просто постучаться в порт по IP, микротик не ответит?
А если постучаться с указанием имени и пароля, то проверка все равно состоится? А если логин/пароль правильный, пустит, или нет?
Надеюсь Вы меня не троллите, я плохо это различаю 
1) Ещё раз, ударились в порт/телнет, если в "Available From" стоит пусто(не активно) - то телнет ответит всем.
2) Ударились снаружи в порт/телнет, но в "Available From" стоит скажем сеть 192.168.0.0/16 - порт откроется, и всё, НО сервиса, службы/телнета у Вас не будет.
То есть если проводить аллегорию: микротик дверку приоткроет, проверит что Вы не "свой" и всё...
Порт будет доступен, но сервис (ответа от сервиса, службы на данном порту/портах) при явном заполнении и указании IP-сетей в поле "Available From" не будет!
Как фейс-контрол...
Так понятно?
Re: Вопросы нуба
Добавлено: 24 май 2017, 12:44
Kato
Erik_U писал(а):Като, брат, спасибо родной!!!
Можно я Main_Page распечатаю для рамки на стене?
не за что
конечно можно, формат листа самый большой, и на рамку самую лучшую)
в общем я указал "свет в конце туннеля", а вот сам "свет" вам придется искать самому)
Re: Вопросы нуба
Добавлено: 24 май 2017, 13:01
Erik_U
Vlad-2 писал(а):Порт будет доступен, но сервис (ответа от сервиса, службы на данном порту/портах) при явном заполнении и указании IP-сетей в поле "Available From" не будет!
Как фейс-контрол...
Так понятно?
Понятно. Почему появляетя при этом запись в логе "login failure for user root from 117.198.234.247 via telnet" не понятно. Попытка логина была несмотря на то, что 117.198.234.247 не из 192.168.88.0
Я поэтому и начал спрашивать. Потому, что по логике, до проверки пароля доходить не должно.
Re: Вопросы нуба
Добавлено: 24 май 2017, 14:10
Vlad-2
Erik_U писал(а):Понятно. Почему появляетя при этом запись в логе "login failure for user root from 117.198.234.247 via telnet" не понятно. Попытка логина была несмотря на то, что 117.198.234.247 не из 192.168.88.0
Я поэтому и начал спрашивать. Потому, что по логике, до проверки пароля доходить не должно.
А Вы как сеть прописали? Именно 192.168.88.0 ?
Вообще-то надо было вот так: 192.168.88.0/24
Re: Вопросы нуба
Добавлено: 24 май 2017, 15:11
Erik_U
192.168.88.0/24 так прописал.