Russian Users MikroTik | Форум пользователей MikroTik

Добрый день, настроили роутер MikroTik RB951Ui-2HnD интернет через PPPoE статический но присваивается провайдером. По факту открыл подключение на одном порту и добавил PPPoE клиент больше ничего не настраивал. Пробросил порты, так же добавил правило что если внутри сети попытаться зайти через внешний адрес сразу кидает на нужный компьютер, забыл как это называется. Так вот это правило работает. А проброшенные порты почему то нет, пытаешься достучаться а толку нет.... в чем может быть проблема? так же просто засыпает терминал сообщениями:
10:35:31 echo: system,error,critical login failure for user admin from 175.17.201.162 via telnet
10:35:31 echo: system,error,critical login failure for user root from 78.85.23.63 via telnet
10:35:32 echo: system,error,critical login failure for user root from 177.10.217.229 via telnet
как от них избавиться?)
Вроде избавился отключил ssh и ftp а telnet перекинул на другой порт.. вопрос по пробросу актуальный, почему не могу достучаться?
Методом тыка (потрачена почти неделя) оказалось что надо выбирать в in. interface нужно было выбрать не сам интерфейс а подключение pppoe... бред конечно..

Какой-то поток мыслей и сознания. Может будем чуть инженерно и целенаправленно
обрисовывать что есть и что хочется.

yaroslav.volobuev писал(а): ↑27 мар 2018, 09:37 А проброшенные порты почему то нет, пытаешься достучаться а толку нет.... в чем может быть проблема? так же просто засыпает терминал сообщениями:

Теперь расскажите что куда Вы хотите пробросить?
И самое главное как проверяли? Если делается проброс для доступа снаружи во внутрь,
то проверять такой проброс надо с другого канала (не со своего).
То есть надо позвонить другу или зайти на рабочий компьютер и оттуда сделать проверку
доступности порта или найти в Интернете сайт(ы) которые показывают, открыт
ли порт или нет.
Поэтому расскажите и покажите как Вы делали и что.
(показать - я имею ввиду привести часть конфигурации файрвола микротика,
где будет явно показано как Вы проброс и настроили, как делать конфиг
в текстовом виде - вверху в шапке красным написано, пункт 5)

yaroslav.volobuev писал(а): ↑27 мар 2018, 09:37 10:35:31 echo: system,error,critical login failure for user admin from 175.17.201.162 via telnet
10:35:31 echo: system,error,critical login failure for user root from 78.85.23.63 via telnet
10:35:32 echo: system,error,critical login failure for user root from 177.10.217.229 via telnet
как от них избавиться?)

Во-первых вырубить порт телнета, зачем Вам? Телнетом как службой давно не пользуются
во внешнем интернете, так по мелочи, на специфических железках, телнет не защищён,
никак не шифруется....
Во-вторых создать правильные правила в файрволе, которые будут не пускать пакеты атакующих.

yaroslav.volobuev писал(а): ↑27 мар 2018, 09:37 Вроде избавился отключил ssh и ftp а telnet перекинул на другой порт.. вопрос по пробросу актуальный, почему не могу достучаться?

Уточняющие моменты я выше объяснил, ошибки тоже возможные Вам показал.

yaroslav.volobuev писал(а): ↑27 мар 2018, 09:37 Методом тыка (потрачена почти неделя) оказалось что надо выбирать в in. interface нужно было выбрать не сам интерфейс а подключение pppoe... бред конечно..

Почему бред, рррое = это виртуальный интерфейс, IP-адрес присваивается ему, значит это то через что Вы связаны с интернетом,
думаю ещё атаки идут на роутер из-за того, что Ваши правила файрвола (если они вообще есть) защищают
только порт ether1, а там трафик между провайдером и Вашим портом, поэтому правила надо делать по отношению к
интерфейсу рррое, да и чтобы неделю не тратить надо было почитать, методом тыка в микротике мало что получиться почти.

yaroslav.volobuev писал(а): ↑27 мар 2018, 09:37 Методом тыка (потрачена почти неделя) оказалось что надо выбирать в in. interface нужно было выбрать не сам интерфейс а подключение pppoe... бред конечно..

Никакой не бред, а все правильно. Интернет видит вас через этот интерфейс.

А вот попутный вопрос к общественности в сторону:
Стоит ли в таких случаях вешать фильтры на чисто ehernet интерфейс, чтобы, например пропускать через него только pppoe?

poppy писал(а): ↑28 мар 2018, 09:38 А вот попутный вопрос к общественности в сторону:
Стоит ли в таких случаях вешать фильтры на чисто ehernet интерфейс, чтобы, например пропускать через него только pppoe?

Да, стоит.
Я считаю что по порту, где бегает трафик внешний и трафик провайдера,
мало что там вдруг может проскочить, да и нет толка этот порт воспринимать
как локальный, поэтому внешний порт физически у меня тоже описан в
адрес-лист интерфейсов в раздел WANs.
И соответственно в файрволе везде при использовании правил защиты,
блокировок, защит от атак я использую адрес-лист WANs.

Маленькое исключение: есть провайдер(ы) которые по физическому порту дают доступы к своим внутренним
ресурсам, раньше в роутерах этот функционал назывался Dual Access, то при таком доступе,
да, порту физическому даётся какой-то внутренне-локальный адрес провайдера через которые
уже идёт обмен информации в рамках провайдерской сети, но и там, когда куча народа,
вирусни и прочего не мало, поэтому ряд стандартных защитных мер на таких портах
будет не лишним. Я имею ввиду защиту по SMB(CIFS) протоколам, и прочее....

Vlad-2 писал(а): ↑28 мар 2018, 12:05 Dual Access

да вы правильно заметили...

Но допустим я хочу зарезать по максимуму, какое должно быть правило, чтобы пропускать только PPPoE?

poppy писал(а): ↑29 мар 2018, 10:25 Но допустим я хочу зарезать по максимуму, какое должно быть правило, чтобы пропускать только PPPoE?

Я люблю защиту, но не параноидальную.

Думаю надо вырубить почти всё, даже проще сделать так:
запретить всё порты по TCP и UDP на интерфейсе ether1, кроме 67-68 портов.

Vlad-2 писал(а): ↑29 мар 2018, 10:53запретить всё порты по TCP и UDP на интерфейсе ether1, кроме 67-68 портов.

а их зачем оставлять?
отделить конкретно pppoe IMHO трудно, но можно тогда просто закрыть всё ip

или сделать "параною"?