Разное

Закрыть 53 порт mikrotik: Закрываем порты на Mikrotik

Содержание

Закрываем порты на Mikrotik

Содержание

  • Закрываем 53 порт

  • Отключаем стандартные порты

  • Закрываем любой порт

Смотрите более полную инструкцию о том, как защитить свой Mikrotik от взлома

Закрываем 53 порт для доступа из вне

Итак, начнем с простого. Поскольку микротик имеет на борту свой собственный DNS сервер, то 53 порт смотрит у него наружу и просит его использовать. Чем грозит открытый 53 порт? Падением скорости вашего интернет-соединения. В моей практике был случай, когда в качестве роутера стоял Mikrotik RB951Ui. Провайдер давал 80 мегабит канал, а фактическая скорость у клиента не превышала 2-3 мегабита. Клиент ругался с провайдером, приезжали монтажники, проверяли линию, но все тщетно. Когда я приехал, то сделал следующее.

Подключаемся к нашему пациенту по Winbox и открываем раздел IP->Firewall->Filter Rules. На скриншоте ниже у меня уже добавлены необходимые правила для обработки трафика на 53 порту.

Что бы сделать так же, добавляем первое правило.

  • Chain – input

  • Protocol – 17(udp)

  • Dst.port – 53

  • In.interface – ваш интерфейс, куда включен шнурок провайдера. В моем случае это pppoe-соединение Ростелекома.

  • Action – add src to address list

  • Address List – DNS_FLOOD (название может быть любым)

И второе правило.

  • Chain – input

  • Protocol – 17(udp)

  • Dst.port – 53

  • In.Interface – ваш интерфейс, куда включен провайдер

  • Action – drop



На этом все. Ваш микротик защищен от DNS флуда и канал теперь свободен. Добавив только эти два правила клиент увидел заявленную от провайдера скорость и был рад по самые помидоры. Но есть и другие сервисы и порты, которые в микротике по-умолчанию включены и принимают подключения.

Отключаем стандартные порты

Обычные пользователи не обращают на них внимания, но я рекомендую всем либо выключить к ним доступ, либо настроить правила фильтрации. Самое простое, как закрыть порты:

Заходим IP-Services и видим список портов. Я всегда закрываю все, кроме Winbox потому что мне нет в них необходимости. Можно просто выключить, а можно изменить номер порта на тот, который вам нравится, но стоит быть внимательными, не советую менять порты 443, 80. Это служебные порты и их изменение может привести к потере доступа в Интернет. У меня выглядит вот так:

Закрываем любой порт

Для того, что бы закрыть любой порт для подключения из внешней сети достаточно одного правила, которое по своей сути очень простое. В нем мы указываем тип трафика – снаружи, номер порта или диапазон портов, на каком интерфейсе слушать и что с этим трафиком делать. Для примера давайте закроем порт 8080.

IP->Firewall->Filter Rules->New Firewall rule (синий плюсик)

  • Chain – input

  • Protocol – tcp

  • Dst. port – 8080

  • In.Interface – ваш интерфейс

  • Action – drop

Все! Вот так просто! Порт закрыт. Но будьте предельно аккуратны, не стоит беспорядочно закрывать все. В mikrotike с завода идет принцип запрещено все, что не разрешено. Поэтому сильно заморачиваться нет необходимости.

В следующий раз напишу, как закрыться от брутфорса и флуда, если нет возможности закрыть порт целиком.

Поделиться в социальных сетях:

Стена огня lvl2. Настраиваем файрвол для отражения атак на примере MikroTik — «Хакер»

Содержание статьи

В этой статье мы рассмотрим, как защищать роутер MikroTik от атак и сканеров портов, а также предотвратим попадание нашей сети в бан-листы. Полученный опыт поможет тебе настраивать и другие виды файрволов.

 

Унификация настроек

Если у тебя большая сеть с несколькими филиалами и в каждом из них по два роутера для отказоустойчивости, то правила лучше настроить так, чтобы их можно было легко развернуть на любой железке, независимо от количества и именования портов или типа подключения. Для соединения по PPPoE, например, WAN-интерфейсом будет pppoe-out1, а для DHCP — ether1. Если попытаться экспортировать конфиг файрвола с одного роутера на другой, ничего не выйдет, потому что у второго просто нет интерфейса pppoe-out1. Или представь себе, что в одном филиале локальная сеть висит на ether9, а в другом стоит роутер с пятью портами, из-за чего конфигурация девятого порта просто не встанет и вылетит с ошибкой.

Поэтому мы будем настраивать роутер так, чтобы конфиг можно было без проблем перенести на любой другой роутер. Это немного усложнит первоначальную настройку, но сэкономит кучу времени в будущем.

Мы уже рассматривали списки интерфейсов. Это фича для оперирования несколькими интерфейсами как одним. Создадим листы WAN и LAN, а затем добавим туда нужные интерфейсы. Теперь правила файрвола будем привязывать к интерфейс-листам, а не к отдельным интерфейсам. Перед экспортом правил на другой роутер просто создадим на нем нужные листы, и конфиг встанет без ошибок.

Interface List

Обрати внимание, что для использования в файрволе нам нужны L3-интерфейсы, то есть те, на которых есть IP-адреса. Если ты получаешь интернет по PPPoE, то в WAN-лист надо добавить именно его. Если IP локальной сети прописан на бридже или VLAN’е, то и в лист LAN нужно добавить их, а не физические интерфейсы. Если включить в список и логический, и физический интерфейс, ничего страшного произойти не должно, но это нужно будет учитывать в конфигурации.

Но это еще не все. Понятно, что в каждом филиале у нас будет своя подсеть LAN: где-то 192.168.10.0/24, где-то 192.168.11.0/24. Чтобы не путаться с этими значениями и не менять конфиг при переносе с одного роутера на другой, оперировать будем не адресами и подсетями, а списками адресов. На каждом роутере создаем список LAN и дальше работаем только с ним.

В прошлый раз мы создавали адрес-лист MGMT, в котором открывали доступ к управлению роутером только с определенных адресов. А еще раньше рассматривали решение Port Knocking, которое предоставляет доступ к управлению, только если со стороны клиента выполнить секретные манипуляции. Для доступа к роутеру из доверенной сети (LAN) вполне подходит вариант с адрес-листом, а для доступа снаружи — Port Knocking. Было бы хорошо совместить эти варианты в нашей конфигурации. Еще будет удобно разделить цепочку input на две части: input со стороны интернета и input со стороны локалки. Тогда можно применять разные политики фильтрации к разным сегментам сети. В этом нам помогут пользовательские цепочки.

Все, что пришло снаружи, перекидываем в новую цепочку WAN_INPUT. Все, что изнутри, — в LAN_INPUT:

/ip firewall filter
add action=jump chain=input in-interface-list=WAN jump-target=WAN_INPUT
add action=jump chain=input in-interface-list=LAN jump-target=LAN_INPUT

Теперь политики фильтрации будут разными для разного источника трафика. Для внешнего трафика будем использовать цепочку WAN_INPUT и более жесткие ограничения, для внутреннего — LAN_INPUT и правила попроще. Цепочка input нам больше не нужна, теперь мы все будем делать в новых цепочках. Причем указывать интерфейсы или списки интерфейсов в правилах больше не понадобится. Однако этот подход может использоваться в сложных решениях, например когда у тебя два провайдера с разными политиками фильтрации или локалка поделена на разные VLAN. Но об этом позже.

В статье о безопасной настройке роутера мы настраивали Port Knocking для доступа к управлению роутером. Ограничивать таким образом доступ изнутри локальной сети — излишество. Поэтому поменяем в правилах цепочку с input на WAN_INPUT. Изнутри сети разрешим доступ к WinBox только с нужных адресов: мы уже делали это в статье про основы файрвола. Оставим в правиле только порт WinBox — TCP 8291. А для SSH разрешим подключения из всей нашей сети, но предотвратим возможность брутфорса (да, изнутри сети тоже может произойти брутфорс SSH, потому что отсутствие троянов в ней не гарантировано).

add action=drop chain=LAN_INPUT comment="drop ssh brute forcers" src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=LAN_INPUT connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=LAN_INPUT connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=LAN_INPUT connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=LAN_INPUT connection-state=new dst-port=22 protocol=tcp src-address-list=!ssh_open
add action=accept chain=LAN_INPUT dst-port=22 protocol=tcp

Тут применяется механизм динамических адрес-листов с тайм-аутами. Мы рассматривали их в статье «Защищаем MikroTik. Хитрости безопасной настройки роутера». При первой попытке подключения пакет обработается правилом 5, и адрес хакера попадет в адрес-лист ssh_stage1. Вторая попытка подключения обработается правилом 4 и добавит брутфорсера в лист ssh_stage2. И так далее вплоть до листа ssh_blacklist, где адрес будет храниться десять дней, а весь трафик, идущий с адресов из этого списка, будет дропаться.

В прошлой статье мы создавали правила, разрешающие коннекты established, related и запрещающие invalid. Давай продублируем эти правила и перенесем их в новые цепочки, а из input удалим. В результате мы получим четыре правила вместо двух. На прохождение трафика это не повлияет, зато позволит видеть статистику по трафику с разных сторон. В правиле с established, related поставь галочку untracked. Чуть позже объясню, зачем она. Думаю, адаптировать остальные правила под новую логику не составит труда. В конце каждой цепочки не забудь указать правило дропа.

Должно получиться примерно так

Две цепочки позволят нам уменьшить количество переходов трафика по правилам, а значит, и немного снизить нагрузку на CPU. Счетчики в разных цепочках дадут возможность увидеть чуть более детальную статистику трафика. Хоть правил и стало больше, но они не применяются ко всему объему трафика: при первом джампе весь трафик будет обрабатываться уже новой цепочкой и в другую никогда не попадет. Подобный подход также упрощает поддержку за счет того, что по названию цепочки сразу видно, что это за трафик и откуда он идет. Можно для разных типов трафика создавать свои цепочки, например отдельную цепочку для management-трафика. За возврат трафика в родительскую цепочку отвечает action return.

 

Защищаемся от атак

До сих пор мы рассматривали правила файрвола, позволяющие обрабатывать трафик по простым признакам: интерфейсу, адресу, порту. Но файрвол гораздо более гибкий инструмент, с его помощью можно строить сложную логику для противодействия разным типам атак.

Есть зарезервированные адреса, которые не используются в интернете. Они называются «богон-адресами». Отсечем пакеты с таких адресов:

/ip firewall address-list
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=Bogon
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A" list=Bogon
add address=127.0.0.0/16 comment="Loopback [RFC 3330]" list=Bogon
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=Bogon
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B" list=Bogon
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C" list=Bogon
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=Bogon
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=Bogon
add address=198.18.0.0/15 comment="NIDB Testing" list=Bogon
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=Bogon
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=Bogon
add address=224.0.0.0/4 comment="MC, Class D, IANA" list=Bogon

Мы ожидаем пакеты только с юникаст-адресов, поэтому запретим все, кроме них.

Drop non unicast

Port Scan Detect — функция, позволяющая обнаружить сканер портов. Как она работает? Портам задается некий условный вес — Weight. Причем для системных портов (до 1024-го) весовой коэффициент низкий (Low ports), а для остальных — высокий (High ports). Если в течение времени Delay Threshold от одного хоста на роутер прилетят пакеты на порты, сумма весов которых окажется больше, чем Weight Threshold, то адрес отправителя будет добавлен в блек-лист. В нашем примере, если с одного хоста за три секунды поступят десять пакетов на порты до 1024-го (общий вес 10 * 2 = 20) и двадцать пакетов на порты выше 1024-го (20 * 1 = 20), общий их вес составит 40. Обрати внимание, что Port Scan Detect работает только для TCP- или UDP-трафика.

Защищаемся от сканеров

Один из самых распространенных видов атак — это атака на отказ в обслуживании, или DDoS. Защититься от нее своими силами практически нереально. Но с помощью простого правила можно отсечь самые простые попытки атаки. Находим хост, который насоздавал к нам больше 100 сессий, и добавляем его в блек-лист. В этом правиле обязательно нужно использовать параметр connection-state=new. Но мы ведь уже разрешили все established, related и untracked, а invalid дропнули, поэтому сюда дойдут только пакеты new. Оставлять или нет этот флажок в правиле — твое дело. Отмечу, что с помощью этой же фичи можно выявлять в своей сети торрентокачальщиков.

Защищаемся от DDoS

ICMP — один из важных протоколов в любой сети. Многие админы любят блокировать его, но это очень плохой подход. Именно ICMP позволяет работать трассировке, указывать на недоступность UDP-портов, отправлять разные служебные сообщения. И если запретить его полностью, можно наловить кучу багов. У каждого сообщения ICMP свое предназначение, и уже по этому параметру нетрудно понять, имеет ли смысл разрешить какие-то типы ICMP изнутри сети или снаружи. Например:

  • ICMP Echo Request — наш любимый пинг, имеет тип 8, код 0;
  • ICMP Echo Reply — ответ на пинг, тип 0, код 0;
  • Destination Unreachable — узел недоступен, тип 3 и коды 0–15 в зависимости от причины недоступности:
    • 0 — сеть недоступна;
    • 1 — хост недоступен;
    • 2 — протокол недоступен;
    • 3 — порт недоступен;
    • 4 — необходима фрагментация пакета, но она запрещена (стоит флаг DF — Don’t Fragment).

Остальное легко найти в интернете, а лучше почитать RFC 792.

Создадим цепочку ICMP и отправим в нее весь ICMP-трафик (можно создать две цепочки: для LAN и WAN — и настроить разные политики). Разрешаем только нужные типы сообщений и ограничиваем обработку пятью пакетами в секунду:

/ip firewall filter
add action=jump chain=WAN_INPUT jump-target=ICMP protocol=icmp
add action=jump chain=LAN_INPUT jump-target=ICMP protocol=icmp
add action=accept chain=ICMP comment="Allow Echo Reply (0:0-255), Limit 5pps" icmp-options=0:0-255 limit=5,5:packet protocol=icmp
add action=accept chain=ICMP comment="ICMP - Allow Destination Unreachable (3:0-255), Limit 5pps" icmp-options=3:0-255 limit=5,5:packet protocol=icmp
add action=accept chain=ICMP comment="ICMP - Allow Source Quench (4:0), Limit 5pps" icmp-options=4:0-255 limit=5,5:packet protocol=icmp
add action=accept chain=ICMP comment="ICMP - Allow Echo Request (8:0), Limit 5pps" icmp-options=8:0-255 limit=5,5:packet protocol=icmp
add action=accept chain=ICMP comment="ICMP - Allow Time Exceeded (11:0), Limit 5pps" icmp-options=11:0-255 limit=5,5:packet protocol=icmp
add action=accept chain=ICMP comment="ICMP - Allow Parameter Bar (12:0), Limit 5pps" icmp-options=12:0-255 limit=5,5:packet protocol=icmp
add action=drop chain=ICMP comment="ICMP - Drop All Others" protocol=icmp

Пример правила ICMP

TCP тоже поддерживает кучу флагов, часть которых не может содержаться в одном пакете. Комбинации этих флагов часто используются сканерами портов, чтобы пробить плохо настроенную защиту. Сделаем отдельную цепочку для TCP и дропнем подобные «подозрительные» пакеты:

/ip firewall filter
add action=jump chain=WAN_INPUT comment="Invalid TCP" jump-target=invalid_tcp protocol=tcp
add action=jump chain=LAN_INPUT comment="Invalid TCP" jump-target=invalid_tcp protocol=tcp
add action=jump chain=forward comment="Invalid TCP" jump-target=invalid_tcp protocol=tcp
add action=drop chain=invalid_tcp comment="Invalid TCP - !(FIN/SYN/RST/ACK)" protocol=tcp tcp-flags=!fin,!syn,!rst,!ack
add action=drop chain=invalid_tcp comment="Invalid TCP - FIN/SYN" protocol=tcp tcp-flags=fin,syn
add action=drop chain=invalid_tcp comment="Invalid TCP - FIN/RST" protocol=tcp tcp-flags=fin,rst
add action=drop chain=invalid_tcp comment="Invalid TCP - FIN/!ACK" protocol=tcp tcp-flags=fin,!ack
add action=drop chain=invalid_tcp comment="Invalid TCP - FIN/URG" protocol=tcp tcp-flags=fin,urg
add action=drop chain=invalid_tcp comment="Invalid TCP - SYN/RST" protocol=tcp tcp-flags=syn,rst
add action=drop chain=invalid_tcp comment="Invalid TCP - RST/URG" protocol=tcp tcp-flags=rst,urg
add action=drop chain=invalid_tcp comment="Invalid TCP - Source Port 0" protocol=tcp src-port=0
add action=drop chain=invalid_tcp comment="Invalid TCP - Destination Port 0" dst-port=0 protocol=tcp

Пример с TCP-флагами

То же самое для UDP:

add action=drop chain=invalid_udp comment="Invalid UDP - Source Port 0" protocol=udp src-port=0
add action=drop chain=invalid_udp comment="Invalid UDP - Destination Port 0" dst-port=0 protocol=udp

 

Цепочка Forward

До сих пор мы в основном смотрели на трафик, прилетевший в input-цепочку, а дальше по каким-то признакам направляли его в разные цепочки. Но весь этот трафик предназначался самому роутеру. Цепочку output используют редко, но ты можешь отфильтровать в ней, например, ICMP-ответы от роутера или IPsec-трафик. Понятно, что большая часть трафика будет попадать в forward — ведь на то он и роутер, чтобы перенаправлять пакеты из одной сети (локалка) в другую (интернет или второй VLAN локалки). И в этой цепочке мы будем управлять трафиком пользователей.

Я не стану детально рассказывать о том, что надо разрешить или запретить, — об основных приемах настройки и так уже написано несколько статей и есть куча примеров в интернете. Рассмотрим более интересный кейс: репутацию сети.

В интернете есть сервисы, содержащие списки спамеров, ддосеров, распространителей нелегального контента. Если на машины в твоей сети попал троян-спамер, то ты тоже окажешься в этих списках. Через какое-то время письма от любого клиента изнутри сети начнут попадать в спам у всех получателей, потом ты будешь добавлен в публичные блек-листы и у пользователей исчезнет доступ ко многим ресурсам. В том числе к сетям партнеров, админы которых пользуются такими списками, чтобы запретить доступ потенциальным вредителям. Представь, что произойдет с твоей премией, когда письмо с многомиллионным контрактом от твоего шефа упадет у контрагента в папку «Спам».

Попробуем защитить свою премию. Для этого нужно понять, по какому поводу нас могут внести в списки. Причин этому несколько:

  • мы часть DoS- или иного ботнета;
  • мы рассылаем спам;
  • с наших адресов брутфорсят чужие сервисы;
  • мы нарушаем авторские права (раздаем торренты).

Некоторые читатели этой статьи вполне могли участвовать в DDoS-ботнете, сами того не осознавая. Атаки UDP Amplification основаны на некорректных настройках сервисов, когда можно обратиться к ним с просьбой узнать что-то у другого сервера. Например, к нам может прилететь DNS-запрос с просьбой отрезолвить адрес жертвы. И таких, как мы, миллионы. Когда к жертве поступит миллион пакетов в секунду, она не обрадуется, а мы увидим загрузку CPU под 100%, жуткие тормоза и однажды окажемся в блек-листе. Такая же схема работает и с другими UDP-сервисами, например NTP. Вывод простой: блокируй трафик к этим сервисам снаружи. Но это все еще про INPUT.

Не только роутер может быть частью такого ботнета, но и машины внутри сети. Для детекта таких хостов воспользуемся уже известной фичей connection limit.

/ip firewall filter
add action=add-src-to-address-list address-list=dns-flood address-list-timeout=none-dynamic chain=forward comment="DNS Flood" connection-limit=100,32 dst-port=53 in-interface-list=LAN protocol=udp
add action=add-src-to-address-list address-list=smb-flood address-list-timeout=none-dynamic chain=forward comment="SMB Flood" connection-limit=100,32 dst-port=445 in-interface-list=LAN protocol=tcp 
add action=add-src-to-address-list address-list=telnet-flood address-list-timeout=none-dynamic chain=forward comment="Telnet Flood" connection-limit=20,32 dst-port=23 in-interface-list=LAN protocol=tcp
add action=add-src-to-address-list address-list=ssh-flood address-list-timeout=none-dynamic chain=forward comment="SSH Flood" connection-limit=20,32 dst-port=22 in-interface-list=LAN protocol=tcp
add action=add-src-to-address-list address-list=snpp-flood address-list-timeout=none-dynamic chain=forward comment="SNPP Flood" connection-limit=20,32 dst-port=444 in-interface-list=LAN protocol=tcp
add action=add-src-to-address-list address-list=msf-indication address-list-timeout=none-dynamic chain=forward comment="Metasploit Indication" connection-limit=20,32 dst-port=4444 in-interface-list=LAN protocol=tcp

Слишком «толстые» потоки тоже могут вызывать подозрения. Залогируем их:

add action=log chain=forward comment="Abnormal Traffic" connection-bytes=80000000 in-interface-list=LAN log-prefix=Abnormal-Traffic

По порту назначения можно определить, к какому сервису обращаются хосты изнутри нашей сети. И если это общеизвестный порт, например СУБД, а все наши базы расположены внутри периметра, логично предположить, что сотни пакетов в секунду к этому порту в интернете с компьютера бухгалтера — не простая ошибка и не личный интерес самого бухгалтера. Дропаем подозрительные пакеты и возвращаемся в родительскую цепочку (последнее правило):

add action=jump chain=forward comment="Jump to Virus Chain" disabled=no jump-target=Virus
add action=drop chain=Virus comment="Drop Blaster Worm" disabled=no dst-port=135-139 protocol=tcp
add action=drop chain=Virus comment="Drop Blaster Worm" disabled=no dst-port=445 protocol=tcp
add action=drop chain=Virus comment="Drop Blaster Worm" disabled=no dst-port=445 protocol=udp
add action=drop chain=Virus comment="Drop Messenger Worm" disabled=no dst-port=135-139 protocol=udp
add action=drop chain=Virus comment=Conficker disabled=no dst-port=593 protocol=tcp
add action=drop chain=Virus comment=Worm disabled=no dst-port=1024-1030 protocol=tcp
add action=drop chain=Virus comment="ndm requester" disabled=no dst-port=1363 protocol=tcp
add action=drop chain=Virus comment="ndm server" disabled=no dst-port=1364 protocol=tcp
add action=drop chain=Virus comment="screen cast" disabled=no dst-port=1368 protocol=tcp
add action=drop chain=Virus comment=hromgrafx disabled=no dst-port=1373 protocol=tcp
add action=drop chain=Virus comment="Drop MyDoom" disabled=no dst-port=1080 protocol=tcp
add action=drop chain=Virus comment=cichlid disabled=no dst-port=1377 protocol=tcp
add action=drop chain=Virus comment=Worm disabled=no dst-port=1433-1434 protocol=tcp
add action=drop chain=Virus comment="Drop Dumaru. Y" disabled=no dst-port=2283 protocol=tcp
add action=drop chain=Virus comment="Drop Beagle" disabled=no dst-port=2535 protocol=tcp
add action=drop chain=Virus comment="Drop Beagle.C-K" disabled=no dst-port=2745 protocol=tcp
add action=drop chain=Virus comment="Drop MyDoom" disabled=no dst-port=3127-3128 protocol=tcp
add action=drop chain=Virus comment="Drop Backdoor OptixPro" disabled=no dst-port=3410 protocol=tcp
add action=drop chain=Virus comment="Drop Sasser" disabled=no dst-port=5554 protocol=tcp
add action=drop chain=Virus comment=Worm disabled=no dst-port=4444 protocol=tcp
add action=drop chain=Virus comment=Worm disabled=no dst-port=4444 protocol=udp
add action=drop chain=Virus comment="Drop Beagle.B" disabled=no dst-port=8866 protocol=tcp
add action=drop chain=Virus comment="Drop Dabber.A-B" disabled=no dst-port=9898 protocol=tcp
add action=drop chain=Virus comment="Drop Dumaru.Y" disabled=no dst-port=10000 protocol=tcp
add action=drop chain=Virus comment="Drop MyDoom.B" disabled=no dst-port=10080 protocol=tcp
add action=drop chain=Virus comment="Drop NetBus" disabled=no dst-port=12345 protocol=tcp
add action=drop chain=Virus comment="Drop Kuang2" disabled=no dst-port=17300 protocol=tcp
add action=drop chain=Virus comment="Drop SubSeven" disabled=no dst-port=27374 protocol=tcp
add action=drop chain=Virus comment="Drop PhatBot, Agobot, Gaobot" disabled=no dst-port=65506 protocol=tcp
add action=drop chain=Virus comment="Drop MemCached flood" disabled=no dst-port=11211 protocol=udp
add action=return chain=Virus comment="Return From Virus Chain" disabled=no

 

Заключение

Мы рассмотрели более продвинутые методы настройки файрвола. Эту статью не нужно воспринимать как инструкцию по настройке: у каждой сети свои особенности и сервисы. Роутеры у всех тоже разные — у кого-то он спокойно обработает тысячи неоптимизированных правил файрвола, для других сотня правил будет обрабатываться с трудом. Поэтому подходи к настройке файрвола с умом.

В две статьи всё не вместишь, и мы не затронули еще несколько больших тем: таблицы NAT, RAW, IPv6 Firewall, Bridge Firewall, фильтрацию по контенту, определение типа трафика по его содержимому (когда мы меняем порт у HTTP, а файрвол все равно понимает, что внутри HTTP), проксирование трафика.

Все эти темы рассматриваются в официальном обучающем курсе MikroTik — MikroTik Certified Traffic Control Engineer. Но чтобы на него попасть, нужно пройти курс MikroTik Certified Network Associate, где изучаются общие принципы настройки роутера и работа TCP/IP.

WWW

Узнать больше о курсах (и записаться на них) можно:

блокирование сайтов и проброс портов с помощью роутера — asp24.

ru

Блокирование сайтов по имени

В MikroTik RouterOS, начиная с версии 6.36, появилась возможность указывать DNS-имена сайтов в адрес-листах, а роутер сам определяет их IP-адреса или диапазоны IP-адресов. Поэтому процесс блокировки сайтов с помощью фаервола существенно упростился.

В RouterOS 6.36 и выше откройте меню NewTerminal и выполните следующие команды для блокировки сайтов:

# Добавляем список запрещенных сайтов с названием BlockedSites
/ip firewall address-list add list=BlockedSites address=youtube.com disabled=no
/ip firewall address-list add list=BlockedSites address=vk.com disabled=no
/ip firewall address-list add list=BlockedSites address=ok.ru disabled=no

# Добавляем в фаервол правило блокировки сайтов из списка BlockedSites
/ip firewall filter add chain=forward src-address-list=BlockedSites protocol=tcp action=reject reject-with=tcp-reset comment=»BlockedSites» disabled=no

# Перемещаем в фаерволе правило BlockedSites вверх выше остальных правил
/ip firewall filter move [find comment=»BlockedSites»] 1

Cписок запрещенных сайтов можно редактировать в меню IP — Firewall на вкладке Address Lists.

Правило блокировки находится в меню IP — Firewall на вкладке Filter Rules.

RouterOS по имени сайта неплохо определяет диапазоны IP-адресов, но не идеально. Мне не удалось с помощью данного способа заблокировать сайты facebook.com и instagram.com, поскольку MikroTik нашел не все необходимые диапазоны IP-адресов. Пришлось вручную найти необходимые IP-адреса и добавить их. Как это сделать, написано ниже.

Блокирование сайтов по IP-адресу

Фаервол позволяет заблокировать сайт по его IP-адресу. Узнать IP-адрес сайта можно в Windows, набрав в консоли команду nslookup имя сайта, например nslookup vk.com.

Чтобы выполнить команду nslookup в маршрутизаторе MikroTik, откройте меню New Terminal и выполните команду-аналог put [:resolve vk.com]

Сайты социальных сетей имеют много серверов с разными IP-адресами и вышеуказанные команды могут не показать адреса всех серверов. Поэтому лучше всего с помощью онлайн сервисов whois узнать, какие сети принадлежат данной социальной сети. Например, Vkontakte Ltd принадлежит сеть 87.240.128.0/18 и 93.186.224.0/22.

В поиске IP-адресов также поможет сервис bgp.he.net

 

После того, как мы узнали нужные нам IP-адреса, выполните в терминале MikroTik следующие команды:

# Добавляем список запрещенных IP-адресов с названием BlockedSites
/ip firewall address-list add list=BlockedSites address=87.240.143.244 disabled=no
/ip firewall address-list add list=BlockedSites address=87.240.128.0/18 disabled=no
/ip firewall address-list add list=BlockedSites address=93.186.224.0/22 disabled=no

# Добавляем в фаервол правило блокировки IP-адресов из списка BlockedSites
/ip firewall filter add chain=forward src-address-list=BlockedSites protocol=tcp action=reject reject-with=tcp-reset comment=»BlockedSites» disabled=no

# Перемещаем в фаерволе правило BlockedSites вверх выше остальных правил
/ip firewall filter move [find comment=»BlockedSites»] 1

Блокирование социальных сетей довольно трудоемкий процесс, поскольку социальные сети открывают дубликаты своих сайтов с другими именами и IP адресами серверов. Продвинутые пользователи обходят ограничения еще с помощью сайтов анонимайзеров. Поэтому блокируя доступ к социальным сетям, вам также придется выискивать сайты анонимайзеры и тоже их блокировать.

Блокирование сайтов с помощью статических DNS записей

Заблокировать доступ к сайту можно также, создав статическую DNS запись с названием сайта и несуществующим IP адресом для него, например 127.0.0.1. Перед именем сайта бывает автоматически приписывается www, поэтому нужно создавать две записи, например odnoklassniki.ru и www.odnoklassniki.ru

Откройте меню NewTerminal и выполните следующие команды для блокировки одноклассников:

/ip dns static add name=»odnoklassniki.ru» address=127.0.0.1
/ip dns static add name=»www.odnoklassniki.ru» address=127.0.0.1

У пользователей заблокированные сайты еще будут открываться некоторое время, потому что на компьютерах есть DNS кэш, в котором временно хранятся имена посещенных сайтов и их IP адреса. Для очистки DNS кэша на компьютере нужно запустить командную строку cmd и ввести команду ipconfig /flushdns.

Такой способ блокирования сайтов будет работать только в том случае, если пользователь использует DNS сервер центрального роутера MikroTik. Если пользователь настроит вручную другой адрес DNS сервера, то ограничение работать не будет. Поэтому все DNS запросы необходимо завернуть на наш роутер. Для этого откройте меню New Terminal и выполните следующие команды:

/ip firewall nat add chain=dstnat protocol=udp dst-port=53 action=redirect add chain=dstnat protocol=tcp dst-port=53 action=redirect

Далее перейдите в меню IP — Firewall и на вкладке NAT переместите созданные правила вверх. Теперь все DNS запросы будут идти через наш роутер.

Блокирование сайтов с помощью Proxy-сервера

Закрыть доступ к сайтам можно также с использованием прозрачного proxy-сервера MikroTik.

Разрешим использование прокси-сервера и настроим его. Для этого откройте New Terminal и выполните следующие команды:

/ip proxy set enabled=yes
set src-address=0. 0.0.0
set port=8080
set parent-proxy=0.0.0.0
set parent-proxy-port=0
set cache-administrator=»webmaster»
set max-cache-size=none
set cache-on-disk=no
set max-client-connections=600
set max-server-connections=600
set max-fresh-time=3d
set always-from-cache=no
set cache-hit-dscp=4
set serialize-connections=no

Делаем proxy-сервер прозрачным:

/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080

Закрываем доступ к прокси-серверу со стороны Интернета:

/ip firewall filter add chain=input in-interface= protocol=tcp dst-port=8080 action=drop

Вводим команду блокировки сайта:

/ip proxy access add dst-host=www.odnoklassniki.ru action=deny

Проброс портов в роутере MikroTik

Проброс портов в роутере MikroTik (port forwarding) позволяет организовать удаленный доступ из интернета к какому-нибудь устройству внутри вашей локальной сети (к IP-камере, Web, FTP или игровому серверу).

Ваш роутер обязательно должен иметь белый IP-адрес, по которому к нему можно подключиться из интернета. В роутере MikroTik проверить белый ли у вас IP-адрес можно следующим образом:

  1. Откройте меню IP — Cloud
  2. Поставьте галочку DDNS Enabled
  3. Нажмите кнопку Apply
  4. Если после этого отобразиться статус «updated» без ошибок, то у вас белый IP-адрес.

Если в правом нижнем углу отображается ошибка типа «DDNS server received request from IP 67.170.73.47 but your local IP was 104.12.152.1; DDNS service might not work.«, то у вас серый IP-адрес. В этом случае вам нужно обратиться к провайдеру для получения белого IP-адреса. У некоторых провайдеров это платная услуга.

Итак, у нас имеется роутер MikroTik с белым IP-адресом 178.189.224.122. Он имеет внутреннюю подсеть 192.168.88.0/24.

Внутри подсети есть IP-камера с адресом 192. 168.88.250, у которой есть Web-интерфейс, работающий на 80 порту. Нам нужно обеспечить доступ из интернета к Web-интерфейсу IP-камеры.

Необходимо сделать так, чтобы при открытии в браузере адреса http://178.189.224.122:10000, мы попадали на Web-интерфейс IP-камеры.

10000 в адресной строке — это произвольный номер порта. Его желательно указывать в диапазоне от 49152 до 65535. Можно также использовать диапазон от 1024 до 49151, если вы уверены, что указанный порт не будет конфликтовать с какой-то программой.

Для проброса портов в роутере MikroTik откройте меню New Terminal и выполните команды, описанные ниже:

Первым делом добавляем правило маскарадинга для подсети 192.168.88.0/24

/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.88.0/24

Далее обращения из интернета к порту 10000, перенаправляем во внутреннюю сеть на устройство 192.168.88.250 и порт 80.

/ip firewall nat add action=netmap chain=dstnat dst-port=10000 in-interface=ether1 protocol=tcp to-addresses=192.168.88.250 to-ports=80

Обращения из локальной сети к внешнему IP-адресу 178.189.224.122 и порту 10000 перенаправляем в локальную сеть на устройство 192.168.88.250 и порт 80, а не в Интернет.

/ip firewall nat add action=netmap chain=dstnat dst-address=178.189.224.122 dst-port=10000 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=192.168.88.250 to-ports=80

Созданные правила можно посмотреть в меню IP — Firewall на вкладке NAT.

Теперь открываем в браузере адрес http://178.189.224.122:10000. Появляется окно с вводом пароля.

Вводим логин, пароль и попадаем на Web-страничку с видео и настройками IP-камеры.

Я еще захотел просматривать видео на планшете в полноэкранном режиме без использования Web-интерфейса. В этом поможет программа VLC media player. Она может отображать видеопоток по протоколу RTSP, который поддерживает моя камера TP-Link. Протокол RTSP использует порт 554, поэтому его нужно пробросить в роутере MikroTik.

Обращения из интернета к порту 554, перенаправляем во внутреннюю сеть на устройство 192.168.88.250 и порт 554.

/ip firewall nat add action=netmap chain=dstnat dst-port=554 in-interface=ether1 protocol=tcp to-addresses=192.168.88.250 to-ports=554

Обращения из локальной сети к внешнему IP-адресу 178.189.224.122 и порту 554 перенаправляем в локальную сеть на устройство 192.168.88.250 и порт 554, а не в интернет.

/ip firewall nat add action=netmap chain=dstnat dst-address=178.189.224.122 dst-port=554 in-interface=bridge protocol=tcp src-address=192.168.88.0/24 to-addresses=192.168.88.250 to-ports=554

Теперь запускаем на планшете программу VLC media player и выбираем открыть Сетевой ресурс. В ОС Windows в VLC media player нужно открыть меню Медиа — Открыть URL.

Вводим адрес rtsp://login:[email protected]/video.mp4

, где login — логин для доступа к IP-камере, passwd — пароль для доступа к IP-камере, 178.189.224.122 — внешний IP-адрес роутера.

Строка RTSP запроса для вашей модели камеры может отличаться. Поэтому уточните на сайте производителя или в документации к камере, как она правильно прописывается. Также удостоверьтесь, что ваша камера поддерживает протокол RTSP и он включен в настройках.

Далее нажмите Открыть сетевой ресурс. В нижней части появится миниатюра видео с камеры. Нажмите на нее.

После этого видео на планшете откроется в полноэкранном режиме.

Источник: «Блокирование сайтов в роутере MikroTik» и «Проброс портов в роутере MikroTik»

«VLAN для чайников», сегментация сети предприятия

Начинающий администратор, обслуживающий малую сеть, как правило, даже не задумывается о таком понятии как VLAN. В то же время, сложно представить современный средний бизнес, не говоря уже о большом, который бы не использовал при построении своей сети технологию VLAN.


Как правило, все инструкции по VLAN достаточно сложные для понимания новичком и, уж тем более, человеком, у которого отсутствует специальное образование по данному направлению.


Для нативного понимания технологии VLAN требуется наличие определенного понимания базовых процессов, происходящих в локальных сетях. И именно такого материала в подавляющем большинстве инструкций нет вообще как таковых. Если же они и имеются, уровень их описания может оказаться слишком сложным для новичка. Именно по этой причине многие начинающие администраторы обходят эту тему стороной, не уделяя ей должного внимания.


Со своей стороны мы подготовили для читателей публикацию, с помощью которой базовые принципы настройки VLAN сможет освоить даже человек без специального образования.


Некоторые термины и тонкости мы заведомо опустили, для того, чтобы материал был понятен наиболее широкому кругу читателей.


Базовые понятия принципов работы локальных сетей


Подробно рассматривать модель OSI мы не будем, т.к. это отнимет достаточно большое количество времени и усложнит понимание материала. Но в общих чертах понимать модель OSI все же требуется.


Ниже предлагаем вашему вниманию наиболее простую и понятную схему модели OSI.

Первый уровень OSI – физический. Как несложно догадаться, на нем происходит физическая передача данных в виде импульсов. Иными словами это передача битов 0 и 1, независимо от того, какая среда передачи данных используется, будь то витая пара, оптика или даже коаксиал (например, в сетях DOCSIS).


Второй уровень OSI – канальный. На канальном уровне уже появляется такой термин как MAC-адрес.


Вы, наверное, часто встречаете на сайтах производителей сетевого оборудования в описаниях коммутаторов пометку «Layer 2». Это как раз и обозначает то, что коммутатор работает на втором уровне модели OSI.


С понятием MAC-адреса вы сталкиваетесь постоянно, это не что иное, как уникальный физический адрес оборудования, представленный в формате CC:2D:E0:B4:ED:AD. Первые символы МАС-адреса содержат информацию о производителе, именно по этой причине в комплексных мерах повышения безопасности многие администраторы практикуют подмену внешних МАС-адресов на WAN-портах, как один из механизмов маскировки производителя оборудования и усложнения его идентификации. Во избежание конфликтов, МАС-адреса делают уникальными.


Мы сейчас не будем рассматривать хабы (Hub, концентраторы), как устройства, которые окончательно устарели. В то же время вы должны знать, что такие устройства ранее повсеместно использовались. Отличие хаба от коммутатора в том, что хаб всегда дублирует все пакеты на все порты.


На сегодня современные сети строятся с использованием коммутаторов второго уровня (или третьего). Коммутаторы также называют свичами, от английского Switch.


В отличие от хабов, у коммутатора имеется таблица MAC-адресов (MAC-table). В характеристиках коммутатора всегда указан размер данной таблицы, например 2К, 4К или 8К записей. Для более высокоуровневых решений размер таблиц еще больше.


Зачем нужна данная таблица? Во время работы коммутатор анализирует заголовки фреймов (MAC Header) и проверяет, с какого МАС поступил фрейм. После этого МАС отправителя динамически привязывается к конкретному порту.


Если коммутатор получил фрейм с неизвестным ему конечным МАС, он разошлет его на все порты. По сути, это «режим обучения». Затем, после получения ответа от получателя о приеме фрейма, коммутатор привяжет к конкретному порту и МАС получателя. В дальнейшем коммутатор будет слать фреймы только на конкретный порт.


Этим достигается сразу несколько вещей. Во-первых, становится возможным одновременная независимая передача данных на всех портах, она будет ограничена только скоростью порта и возможностями коммутационной матрицы. Во-вторых, повышается безопасность передаваемых данных, т.к. данные будут передаваться только на требуемый порт.


Современные коммутаторы зачастую работают по принципу «Store-and-forward», это так называемая передача с промежуточным хранением. Зачем это нужно и как это работает? Во время получения данных, коммутатор проверяет контрольную сумму, что позволяет избежать передачи поврежденных данных.


Третий уровень OSI – сетевой. Для лучшего понимания, необходимо знать, что на третьем уровне добавляется IP header – заголовок пакета с информацией об IP-адресах. Коммутаторы Layer 2 не обрабатывают IP-заголовки и работают только с «внешним» MAC-заголовком. Для обработки IP header применяются маршрутизаторы Layer 3, которые способны управлять траффиком на основе IP-заголовков.


Существуют также коммутаторы Layer 2 с функциями Layer 3. К примеру, это может быть коммутатор с возможностью статической маршрутизации.


Четвертый уровень OSI – транспортный. На 4-м уровне появляется протоколы TCP и UDP, которые определяют метод доставки информации. Для TCP это доставка пакетов с подтверждением о получении, для UDP – доставка без подтверждения.


Последующие уровни OSI сегодня мы рассматривать не будем, они нам сейчас не интересны. Возвращаемся к Layer 2.


Следующая вещь, которую необходимо знать о коммутаторах это работа с широковещательными пакетами.


Всего в локальной сети существует 3 варианта доставки информации:


  • Unicast


  • Multicast


  • Broadcast


Данные термины вы неоднократно встречали, коротко пройдемся по всем.

Unicast это обычная передача данных от устройства А к устройству Б.


Multicast – передача данных нескольким выборочным устройствам, например от устройства А к устройствам Б и Г.


Broadcast – передача данных всем участникам сети, например от устройства А на устройства Б, В и Г. Бродкаст еще называют широковещательными запросами. Отправляются они с использованием адреса FF:FF:FF:FF:FF:FF, такие фреймы принимаются всеми устройствами, входящими в локальную сеть.


Если рассматривать хаб, в нем присутствует 1 широковещательный домен (broadcast domain) и 1 домен коллизий (collision domain). Что это значит? Это значит, что в пределах хаба, широковещательный запрос (FF:FF:FF:FF:FF:FF) передается всем портам, а одновременная передача данных возможна только по одному интерфейсу.


В коммутаторах также 1 широковещательный домен, а вот доменов коллизий столько, сколько портов. Иными словами, широковещательный запрос передается на все порты, но передача данных возможна по всем портам одновременно.


Вот мы плавно и подошли к VLAN. В случае с применением VLAN, бродкастовых доменов будет столько, сколько создано вланов. Это значит, что устройства, находящиеся в разных VLAN смогут отправлять broadcast FF:FF:FF:FF:FF:FF только в пределах своей виртуальной сети.


Что такое VLAN и как это работает


VLAN является сокращением от английского Virtual Local Area Network, обозначающего виртуальную локальную сеть.


Технология VLAN подробно описана в стандарте IEEE 802.1Q и предоставляет возможность объединения устройств в разные логические сети при использовании единой физической среды передачи данных и единого оборудования. По сути, влан эмулирует несколько каналов передачи данных и несколько физических коммутаторов. Собственно для конечных клиентов это так и выглядит.


За счет использования вланов, предприятия и операторы связи могут экономить ресурсы на прокладку сетей, покупку дополнительного оборудования и сетевое администрирование. К тому же влан позволяет обеспечивать повышенную безопасность передаваемых данных, а также обеспечить удаленное управление по защищенному каналу.


VLAN предоставляет огромные преимущества:


  • виртуализация и деление сети без покупки/установки дополнительного оборудования и линий связи. Вы можете создать 2, 3, 5, 20, сколько угодно подсетей на существующем оборудовании, без прокладки новых кабелей.


  • изоляция подсетей, изоляция подключенных клиентов;


Стандартом предусмотрено до 4096 VLAN’ов, иногда этого может оказаться мало или недостаточно для реализации сложной сети. Оборудование Mikrotik (под управлением RouterOS) поддерживает технологию вложенных VLAN’ов – QinQ.


Следует четко понимать, что QinQ уменьшает размер MTU (размер пакетов), что чревато фрагментацией пакетов. По этой причине QinQ следует использовать только в случае невозможности реализации иного механизма.


Зачем нужен QinQ и где он используется?


QinQ иногда используется интернет-провайдерами для подключения клиентов, при котором может и не хватить 4+ тысяч VLAN’ов.


Также QinQ может быть использован провайдером для транзита клиентских VLAN через свою сеть. К примеру, у провайдера есть клиент с несколькими подключениями, на каждом из которых есть свои VLAN, при этом заказчик не желает менять VLAN ID на своей стороне, но сам провайдер указанные идентификаторы уже использует.


В этом плане QinQ чем-то напоминает проброс портов, только в данном случае пробрасываются VLAN’ы, обеспечивая для клиента «логический транк».


Принцип работы VLAN


При использовании VLAN, в Ethernet-фреймы внедряется дополнительный заголовок-метка, размером 4 байта:


После добавления метки, коммутатор удаляет из фрейма старую контрольную сумму FCS (Frame check sequence), рассчитывает и добавляет новую.


Последующая обработка фреймов осуществляется на основе «меток», именуемых в VLAN тэгами. С метками VLAN работают коммутаторы и маршрутизаторы, для конечных клиентов они остаются незамеченными, потому как на «портах доступа» тег снимается.


VLAN на Mikrotik: варианты реализации


«Микротик микротику рознь», это необходимо всегда помнить, знать и понимать, при реализации VLAN. У Mikrotik, как и у любого другого производителя сетевого оборудования, свое собственное видение реализации настроек VLAN.


На базе оборудования Mikrotik возможна реализация как программных (софтовых) VLAN, так и аппаратных (hardware).


Аппаратный VLAN, как следует из названия, реализуется непосредственно на базе switch-chip. Возможность реализации аппаратного влана зависит от того, какой именно чип коммутации применяется в вашем устройстве.


По этому поводу рекомендуем ознакомиться с официальным руководством Switch Chip Features. Если коротко, аппаратный VLAN (Hardware VLAN) поддерживается следующими чипами:


  1. RB750


  2. RB750UP


  3. RB751U-2HnD


  4. RB951-2n


  1. RB941-2nD (hAP lite)


  2. RB951Ui-2nD (hAP)


  3. RB952Ui-5ac2nD (hAP ac lite)


  4. RB750r2 (hEX lite)


  5. RB750UPr2 (hEX PoE lite)


  6. RB750P-PBr2 (PowerBox)


  7. RB750P r2


  8. RBOmniTikU-5HnDr2 (OmniTIK 5)


  9. RBOmniTikUPA-5HnDr2 (OmniTIK 5 PoE)


  10. RB2011 series (ether6-10)


  11. RB951Ui-2HnD


  1. RB493G


  2. RB435G


  3. RB450G


  4. RB750G


  5. RB1200


  6. RB1100


  1. RB953GS


  2. RB850Gx2


  3. RB2011 series (ether1-5 + sfp1)


  4. RB750GL


  5. RB751G-2HnD


  6. RB951G-2HnD


  7. RBD52G-5HacD2HnD (hAP ac²)


  8. cAP ac


  9. RB1100AH


  10. RB1100AHx2


  11. CCR1009 series (ether1-4)


  12. RB433GL


  1. RB3011 series


  2. RB OmniTik ac series


  3. RB750Gr2 (hEX)


  4. RB962UiGS-5HacT2HnT (hAP ac)


  5. RB960PGS (hEX PoE)


  6. RB960PGS-PB (PowerBox Pro)


Во всех перечисленных устройствах VLAN можно реализовать средствам чипа коммутации. Преимущество данного метода состоит в том, что обработка тегов, их добавление и снятие выполняется самим чипом, без участия процессора (hardware offload, аппаратная разгрузка).


К этому методу следует прибегать в тех случаях, когда:


  1. стоит цель добиться максимальной производительности;


  2. производительность VLAN упирается в возможности CPU;


  3. реализация некоторых возможностей недостижима средствами программного VLAN;


Hardware VLAN предлагает большое число параметров, опций и правил обработки фреймов. Подробную информацию о настройке аппаратного VLAN вы можете найти в официальной документации по ссылке выше.


В случае, если эта тема будет востребованной, мы  опубликуем отдельную инструкцию.


Второй метод реализации – программный / «софтовый» VLAN / Software VLAN. Именно данный метод наиболее часто описывается и встречается на практике. Он не так функционален, зато максимально прост в настройке.


Настройка программного VLAN в RouterOS на оборудовании Mikrotik 


Рассматривать процесс настройки мы будем на примере устройств RB750UPr2 (hEX POE lite) и RB750r2 (hEX lite). Оба устройства реализованы на базе платформы MIPSBE (qca9531L). И там и там 64 МБ оперативной памяти, POE-версия отличается поддержкой PoE-out. Есть и другое отличие, в обычных версиях процессор работает на более высокой частоте – 850 МГц против 650 МГц у POE-версии. Такая разница обеспечивает на 30% большую производительность.


RB750UPr2 мы будем использовать в качестве главного шлюза, центрального узла коммутации и источника питания, два оставшиеся устройства RB750r2 будут использованы в качестве коммутаторов.


Оговоримся сразу, вариант не самый оптимальный, немного доплатив, можно приобрести RB260GS (SwOS) с гигабитными интерфейсами. Как вариант это могут быть и недорогие коммутаторы сторонних производителей, например TL-SG105E / TL-GS108E от TP-Link. При этом процесс их настройки будет отличаться.


Также можно рассматривать hAP lite (RB941-2nD), hAP ac lite (RB952Ui-5ac2nD), hAP (RB951Ui-2nD) и прочие модели со встроенным модулем Wi-Fi. Особый интерес будут представлять RB951Ui-2HnD и гигабитный RB951G-2HnD. Оба устройства оснащены радиомодулями повышенной мощности и большим объемом оперативной памяти, что позволяет реализовать беспроводную сеть на предприятии с несколькими SSID, в т.ч. HotSpot. Такой вариант реализации обойдется заметно дешевле, нежели использование, к примеру, CRS109-8G-1S-2HnD-IN.


Чуть ниже предлагаем вашему вниманию условную схему сети, которую мы и будем реализовывать.


В качестве основного устройства выбран Mikrotik hEX POE lite (RB750UPr2), он будет выполнять функции шлюза, маршрутизирующего траффик в локальной сети вымышленного предприятия. На схеме данное устройство обозначено как узел R1.


Допустим, нам требуется реализовать 2 подсети – офисную и гостевую. Для офисной сети мы будем использовать VLAN 20, для гостевой – VLAN 30. Номера вланов особого значения не имеют, главное, чтобы вы четко понимали, какой из них за какую сеть отвечает.


VLAN1 использовать нельзя, т.к. это «нативный» VLAN (native) для большого числа оборудования, в том числе и для Mikrotik.


Для офисной сети с VLAN 20 мы будем использовать подсеть 10.20.0.0/24, а для гостевой – 10.30.0.0/24. Идеальным вариантом является использование разных подсетей из списка:


  • 10.0.0.0 — 10.255.255.255


  • 172.16.0.0 — 172.31.255.255


  • 192.168.0.0 — 192.168.255.255


Например, 10.х.х.х для офиса и 192.168.х.х для гостевой сети. Подсеть 100.64.0.0 — 100. 127.255.255 использовать не стоит, т.к. она предназначена для NAT интернет-провайдеров (CGN, Carrier-Grade NAT).

Конфигурация маршрутизатора R1


На узле R1 реализуем следующую конфигурацию:


  • ether1 используется для подключения к сети провайдера;


  • ether2 кидаем в офисную сеть VLAN 20;


  • ether3 кидаем в гостевую сеть VLAN 30;


  • ether4 и ether5 будем использовать в качестве магистральных каналов (trunk) для подключения двух дополнительных hEX lite (RB750r2), на схеме они обозначены как R2 и R3.


Сами R2 и R3 будем использовать вместо управляемых коммутаторов.


Перед настройкой мы выполняем полный сброс устройства и начинаем настройку с нуля. Вы же можете выполнять модификацию существующей конфигурации, правда в этом случае вам потребуется на завершающем этапе удалить некоторые элементы, среди которых бридж, dhcp-сервер и т. п. созданные по-умолчанию.


Поскольку устройств Mikrotik у нас несколько, первым делом задаем имя устройства (identity, alias), чтобы впоследствии не возникало путаницы с управлением. Делаем это командой:


/system identity


set name=R1-POE


Затем, в целях повышения безопасности, отключаем все неиспользуемые сервисы, оставляем только Winbox:


/ip service


set telnet disabled=yes


set ftp disabled=yes


set www disabled=yes


set ssh disabled=yes


set api disabled=yes


set api-ssl disabled=yes


Для удобства, переименовываем сетевые интерфейсы и добавляем к ним комментарии:


/interface ethernet


set [ find default-name=ether1 ] comment=WAN name=ether1-wan


set [ find default-name=ether2 ] comment=»VLAN20 OFFICE»


set [ find default-name=ether3 ] comment=»VLAN30 GUEST»


set [ find default-name=ether4 ] comment=»TRUNK 1″ name=ether4-trunk


set [ find default-name=ether5 ] comment=»TRUNK 2″ name=ether5-trunk


Это будет особенно актуально, если устройств приличное количество и/или они оснащены большим количеством интерфейсов.


Как видите, ether1 мы переименовали в ether1-wan, а ether4/ether5 в ether4-trunk/ether5-trunk.


На интерфейсе ether1-wan у нас подключение к сети провайдера. Настраиваем динамическое получение IP (от DHCP-сервера):


/ip dhcp-client


add dhcp-options=hostname,clientid disabled=no interface=ether1-wan


При использовании софтового VLAN, существует два основные типа интерфейсов:


Тегированные интерфейсы, это интерфейсы, на которых фреймы маркируются при помощи VLAN-меток. На таких интерфейсах можно одновременно передавать несколько VLAN’ов и, как правило, они используются в качестве магистральных каналов. Такие порты называют транками (trunk).


Нетегированные (untagged) интерфейсы используют для подключения конечных устройств и клиентов, их еще можно называть «портами доступа» (access port).


При программной реализации портов доступа VLAN, в RouterOS используются бриджи. Поскольку у нас предполагается выделение 2 портов под офисную и гостевую сеть, создаем для них соответствующие бриджи:


/interface bridge


add comment=OFFICE fast-forward=no name=bridge-vlan20-office


add arp=reply-only comment=GUEST fast-forward=no name=bridge-vlan30-guest


Как вы могли заметить, для гостевого бриджа мы используем дополнительный параметр arp=reply-only, он будет использоваться совместно с ARP для того, чтобы сделать невозможным использование самоназначенных IP в гостевой сети. Иными словами, маршрутизатор не будет отвечать на запросы устройств, на которых назначен статический IP.


Перед настройкой DHCP, заранее, для каждой подсети необходимо создать пулы адресов:


/ip pool


add comment=OFFICE name=pool-vlan20-office ranges=10.20.0.11-10.20.0.253


add comment=GUEST name=pool-vlan30-guest ranges=10.30.0.11-10.30.0.253


Если в сети больше 250+ устройств, необходимо создавать дополнительные пулы. Затем они выбираются в параметре «next pool» (следующий пул, который будет задействован после исчерпания предыдущего).


В нашем случае это 10.20.0.11-10.20.0.253 для офисных устройств и 10.30.0.11-10.30.0.253 для гостевых. Первые и последний IP-адрес в обоих диапазонах мы резервируем для будущих возможных сервисов (делать это вовсе не обязательно).


Назначать все IP мы будем средствами Mikrotik, при помощи DHCP-серверов:


/ip dhcp-server


add address-pool=pool-vlan20-office disabled=no interface=\


   bridge-vlan20-office name=dhcp-vlan20-office


add add-arp=yes address-pool=pool-vlan30-guest disabled=no interface=\


   bridge-vlan30-guest name=dhcp-vlan30-guest

Обратите внимание! Создано 2 сервера, по одному на каждый бридж. Каждый сервер будет выдавать IP из своего пула, таким образом, для VLAN 20 и VLAN 30 будут выдаваться адреса с разных подсетей (10. 20.х и 10.30.х).


Для гостей мы дополнительно используем параметр add-arp=yes, он будет добавлять ARP для всех выданных аренд (DHCP leases). Если этого не сделать, гостевая сеть не будет работать, т.к. гостевой бридж не будет отвечать на запросы клиентов – ранее в настройках бриджа мы уже задали параметр arp=reply-only (только отвечать).


В каждой из подсетей назначаем маршрутизатору свой отдельный IP:


/ip address


add address=10.20.0.1/24 comment=OFFICE interface=bridge-vlan20-office \


   network=10.20.0.0


add address=10.30.0.1/24 comment=GUEST interface=bridge-vlan30-guest network=\


   10.30.0.0

Затем для каждой подсети указываем DNS и шлюз, используемые по-умолчанию:


/ip dhcp-server network


add address=10.20.0.0/24 comment=OFFICE dns-server=10.20.0.1 gateway=\


   10.20.0.1 netmask=24


add address=10. 30.0.0/24 comment=GUEST dns-server=10.30.0.1 gateway=10.30.0.1 \


   netmask=24


Поскольку к интерфейсам ether4 и ether5 будут подключены другие маршрутизаторы/коммутаторы (R2 и R3), их необходимо превратить в транки, выдав по 2 vlan в каждый порт:


/interface vlan


add interface=ether4-trunk name=vlan20-trunk-to-R2 vlan-id=20


add interface=ether5-trunk name=vlan20-trunk-to-R3 vlan-id=20


add interface=ether4-trunk name=vlan30-trunk-to-R2 vlan-id=30


add interface=ether5-trunk name=vlan30-trunk-to-R3 vlan-id=30

Делать это можно как с вкладки Interfaces/VLAN, так и с основного раздела.


VLAN’ы созданы, но порты ether2 и ether3 все еще ни к чему не привязаны.


Порт ether2 необходимо закинуть в bridge-vlan20-office и туда же закинуть 20-й влан с интерфейсов ether4 и ether5. Те же действия выполняем для ether3 и vlan 30 на транковых портах.


Иными словами, при помощи бриджа мы объединили каждый vlan в свой бридж, и туда же закинули соответствующие порты доступа. Как видите, ничего сложного здесь нет.


/interface bridge port


add bridge=bridge-vlan20-office comment=»OFFICE access port» interface=ether2


add bridge=bridge-vlan30-guest comment=»GUEST access port» interface=ether3


add bridge=bridge-vlan20-office comment=»VLAN 20″ interface=\


   vlan20-trunk-to-R2


add bridge=bridge-vlan20-office comment=»VLAN 20″ interface=\


   vlan20-trunk-to-R3


add bridge=bridge-vlan30-guest comment=»VLAN 30″ interface=vlan30-trunk-to-R2


add bridge=bridge-vlan30-guest comment=»VLAN 30″ interface=vlan30-trunk-to-R3


Собственно по части VLAN на устройстве R1 все готово.


Далее, для удобства работы с правилами Firewall, фильтрами и ограничениями, создаем 2 списка интерфейсов:


/interface list


add comment=defconf name=WAN


add comment=defconf name=LAN


После чего распределяем интерфейсы по группам:


/interface list member


add interface=ether1-wan list=WAN


add interface=bridge-vlan20-office list=LAN


add disabled=yes interface=bridge-vlan30-guest list=LAN


В группу WAN (внешние интерфейсы) добавляем ether1-wan, т. к. он используется для подключения к сети провайдера. Если вы используете PPPoE, в WAN следует добавлять и ether1, и pope-client. То же самое применимо и к другим типам подключения с VPN. Использование групп интерфейсов позволяет оптимизировать правила Firewall.


bridge-vlan20-office с офисной подсетью добавляем в список LAN-интерфейсов. Во-первых, нам нужно в этой сети иметь доступ к Интернет. Во-вторых, мы хотим сохранить возможность управления Mikrotik из этой подсети.


bridge-vlan30-guest в список LAN-интерфейсов не добавляем (disabled=yes). Почему? Потому, что последующими правилами мы запретим маршрутизатору принимать входящие соединения (input) с гостевой сети. Из гостевой сети разрешать будем только транзитный траффик (forward) в сеть Интернет. Иными словами, зайти в настройки RouterOS гости не смогут, даже если будут знать логин и пароль администратора.


Чтобы Mikrotik не обнаруживался в Winbox Neighbor, задаем соответствующие ограничения, указав доступ для группы LAN:


/ip neighbor discovery-settings


set discover-interface-list=LAN


Дополнительно устанавливаем ограничения для подключения к Mikrotik по MAC:


/tool mac-server


set allowed-interface-list=LAN


/tool mac-server mac-winbox


set allowed-interface-list=LAN


Подключения будут разрешены только с интерфейсов, входящих в LAN-группу.


Чтобы пользователи обеих подсетей могли выходить в интернет, необходимо разрешить запросы к DNS-серверу и настроить маскарадинг:


/ip dns


set allow-remote-requests=yes


/ip firewall nat


add action=masquerade chain=srcnat comment=»defconf: masquerade» \


   ipsec-policy=out,none out-interface-list=WAN


Бывают случаи, когда одному из VLAN доступ к Интернет необходимо запретить. В этом случае в правилах маскарадинга следует явно указать src.address, для которого выполнять обработку траффика. Например, для vlan 20 необходимо указать src.address 10.20.0.0/24. Пользователи, находящиеся в vlan 30 имеют адреса 10.30.0.0/24, поэтому правило на них распространяться не будет и, соответственно, доступ в Интернет они не получат.


Если вы используете стандартные (defconf) правила Firewall, клиенты в гостевой сети не смогут использовать локальный DNS.


Правила необходимо привести до следующего вида:


/ip firewall filter


add action=accept chain=input comment=\


   «defconf: accept established,related,untracked» connection-state=\


   established,related,untracked


add action=drop chain=input comment=»defconf: drop invalid» connection-state=\


   invalid


add action=accept chain=input comment=»defconf: accept ICMP» protocol=icmp


add action=accept chain=input comment=»DNS for VLAN 30″ dst-port=53 \


   in-interface=bridge-vlan30-guest protocol=udp


add action=drop chain=input comment=»defconf: drop all not coming from LAN» \


   in-interface-list=!LAN


add action=accept chain=forward comment=»defconf: accept in ipsec policy» \


   ipsec-policy=in,ipsec


add action=accept chain=forward comment=»defconf: accept out ipsec policy» \


   ipsec-policy=out,ipsec


add action=fasttrack-connection chain=forward comment=»defconf: fasttrack» \


   connection-state=established,related


add action=accept chain=forward comment=\


   «defconf: accept established,related, untracked» connection-state=\


   established,related,untracked


add action=drop chain=forward comment=»defconf: drop invalid» \


   connection-state=invalid


add action=drop chain=forward comment=\


   «defconf:  drop all from WAN not DSTNATed» connection-nat-state=!dstnat \


   connection-state=new in-interface-list=WAN


Почему так происходит?


Все дело в наличии правила:


action=drop chain=input in-interface-list=!LAN


Данное правило будет отбрасывать все пакеты, приходящие в цепочку input (входящий траффик) с интерфейсов, не входящих в LAN.


Для снятия данного ограничения, чуть выше соответствующего запрещающего правила, мы добавили специальное разрешающее правило:


action=accept chain=input dst-port=53 in-interface=bridge-vlan30-guest protocol=udp


Это правило будет разрешать входящие соединения на Mikrotik из гостевого бриджа по протоколу UDP на 53-порт, который используется для DNS-сервера.


Казалось бы, вот и все… но нет. Есть нюансы, о которых во многих инструкциях не сказано ни слова. Дело в том, что на устройствах Layer 2, VLANы между собой изолированы полностью.


В случае с Layer 3 не все так просто. Маршрутизатор знает все адреса и подсети, поэтому может возникнуть ситуация, когда устройства из одного VLAN смогут увидеть устройства из другого VLAN. Тут все зависит от маршрутов, правил и фильтров.


Для того, чтобы запретить маршрутизатору обрабатывать траффик между VLAN 20 и VLAN 30 можно написать соответствующее правило Firewall для цепочки forward. Но мы реализуем это более эстетично – через правила маршрутизации:


/ip route rule


add action=unreachable dst-address=10.30.0.0/24 src-address=10.20.0.0/24


add action=unreachable dst-address=10.20.0.0/24 src-address=10.30.0.0/24


Иными словами, мы явно запрещаем маршрутизировать траффик из 10.30.0.0/24 в 10.20.0.0/24 и наоборот.


Настройка маршрутизаторов R2 и R3


Для маршрутизаторов R2 и R3 настроек куда меньше, т.к. по сути, они у нас выполняют функции управляемых коммутаторов. Далее мы приведем конфигурацию для R2, для R3 она будет идентична, так что вы спокойно сможете сделать выгрузку-загрузку файла-конфигурации.


Выгрузка:


export file=conf2.rsc


Загрузка


import file=conf2.rsc


Где conf2.rsc – название файла конфигурации.


Как и ранее, первым делом отключаем ненужные сервисы, создаем новую учетку, задаем идентификатор устройства. Полагаем, данные операции вы можете выполнить самостоятельно.


Для того, чтобы распределить наши вланы, создаем все те же 2 бриджа:


/interface bridge


add comment=OFFICE fast-forward=no name=bridge-vlan20-office


add comment=GUEST fast-forward=no name=bridge-vlan30-guest


Для удобства, к интерфейсам можно добавить комментарии:


/interface ethernet


set [ find default-name=ether1 ] comment=»UPLINK TRUNK» name=ether1-trunk


set [ find default-name=ether2 ] comment=OFFICE


set [ find default-name=ether4 ] comment=GUEST


Интерфейс ether1 при этом мы также немного переименовали, добавив приставку «trunk». После этого вешаем на него наши VLANы:


/interface vlan


add interface=ether1-trunk name=vlan20-uplink vlan-id=20


add interface=ether1-trunk name=vlan30-uplink vlan-id=30


В R2 и R2 транковый порт всего один, оставшиеся 4 интерфейса разделены в две группы, vlan 20 и vlan 30.


Соответствующим образом (согласно схеме) распределяем интерфейсы по ранее созданным бриджам:


/interface bridge port


add bridge=bridge-vlan20-office comment=»UPLINK OFFICE» interface=\


   vlan20-uplink


add bridge=bridge-vlan30-guest comment=»UPLINK GUEST» interface=vlan30-uplink


add bridge=bridge-vlan20-office comment=OFFICE interface=ether2


add bridge=bridge-vlan20-office interface=ether3


add bridge=bridge-vlan30-guest comment=GUEST interface=ether4


add bridge=bridge-vlan30-guest interface=ether5


С аплинка vlan’ы необходимо раскинуть каждый в свой бридж, 20-й в bridge-vlan20-office, 30-й в bridge-vlan20-guest.


Далее в эти же бриджи добавляем требуемые порты. В нашем случае 2 и 3 порт добавлены в офисную сеть, а 4 и 5 – в гостевую.


Следующий момент касается ограничения доступа к маршрутизатору из гостевой сети. Механизм блокировки доступа используем тот же, что и на R1. Создаем новый список интерфейсов:


/interface list


add comment=»OFFICE Subnet» name=LAN


После чего заносим в этом список 20-й влан с аплинка и офисный бридж:


/interface list member


add interface=bridge-vlan20-office list=LAN


add interface=vlan20-uplink list=LAN


Для ограничения доступа добавляем правило в файрволл:


/ip firewall filter


add action=drop chain=input in-interface-list=!LAN


После этого маршрутизатор перестанет принимать входящие (input) соединения с сетей, не входящих в список «LAN», при этом пересылка пакетов (forward) останется как есть.


Для удобства, самому маршрутизатору можно назначить IP-адрес:


/ip dhcp-client


add add-default-route=no dhcp-options=clientid,hostname disabled=no \


   interface=bridge-vlan20-office


Как видите, IP мы будем получать только в 20-м VLAN непосредственно от DHCP-сервера. В 30-м VLAN устройству IP-адрес не нужен, на пересылку пакетов это никак не влияет.


Вот собственно и все. Можно приступать к проверке портов.


10.20.0.1 это главный шлюз в 20-м vlan, 10.20.0.251/252 – маршрутизаторы R2/R3. HP-NC360T это тестовый ПК, выполняющий сканирование подсети.


Если вы выполните сканирование подсети 10.30.0.0/24, устройства отображаться не будут, хотя они там есть:


10.30.0.252/253 это IP маршрутизаторов, которые мы добавляли для удобства управления из vlan 30 на этапе начальной конфигурации, у вас они отображаться не будут в виду отсутствия dhcp-client на R2 и R3 в VLAN 30.


Теперь что касается производительности. Как вы помните, мы уже упоминали о том, что программные VLAN отнимают ресурсы процессора. Чтобы изучить взаимосвязь, выполняем небольшой тест скорости между двумя ПК. Первый ПК подключен к R2, второй – к R3.


Обычная пересылка пакетов в локальной сети приводит к использованию ресурсов CPU. В конкретном примере сгенерирован дуплексный траффик с суммарной скоростью около 180 Мбит/сек (100 Мбит FDX), при этом загрузка процессора QCA9531 (650 МГц) составляет в среднем до 20%.


Как видим, даже для столь бюджетного решения не составляет особых проблем обрабатывать траффик в софтовой конфигурации VLAN. Где это и будет ощущаться, так это в больших сетях, с большим числом соединений между устройствами, например, при наличии NAS и гостевых HotSpot. Впрочем, такие решения как RB750Gr3, RB3011, RB450Gx4 с подобной задачей справляются отлично, не говоря уже о старших моделях.


Не забывайте, в сложных сетях со сложной конфигурацией стоит применять соответствующее более высокоуровневое оборудование, а при необходимости, и вовсе, использовать Hardware VLAN.


Для предприятий VLAN является весьма оправданным решением, позволяющем повысить защищенность сети в целом. К примеру, если у вас есть торговые залы, вполне логичным шагом будет поместить все кассовые ПК и POS-системы в VLAN, отличный от офисного. Если же вы используете IP-видеонаблюдение, для него также стоит выделить отдельный VLAN. В конечном итоге, даже если в вашем программном обеспечении и будет уязвимость, она будет изолирована в отдельной подсети. Вспомните сколько проблем доставил «Petya». Именно технология VLAN позволила многим предприятиям понести «минимальные потери» и ограничить распространение вредоносного ПО.  


Дополнительная справочная информация по теме VLAN:

О уязвимостях UDP Amlification : Датацентр Датахата

Суть атак UPD Amplification состоит в том, что злоумышленник посылает короткий UDP-пакет уязвимому серверу, который отвечает на запрос уже значительно большим по размеру пакетом.
При этом, злоумышленник в качестве исходного IP-адреса при отправке запроса подставляет адрес компьютера жертвы (ip spoofing), и уязвимый сервер будет посылать в большом количестве ненужные пакеты компьютеру-жертве, пока полностью не парализует его работу.
Таким образом на сегодняшний день совершается около 80% DDoS-атак в мире.

Другими словами, если ваш сервер подвержен одной из UDP Amplification уязвимостей, то он является точкой, с которой злоумышленники атакуют другие компьютеры, при этом загружая внешний канал вашего сервера.

Для проверки на данные уязвимости можно использовать утилиту, которую можно скачать по адресу https://github.com/sagb/amplification-detect

На сегодняшний день известны следующие типы UDP Amplification атак:

1. DNS Amplification

Наиболее старая и наиболее опасная уязвимость. Использует порт 53/udp. Позволяет усилить атаку в 50 раз (т.е. злоумышленник отправляет вам на сервер 100 килобит в секунду udp-пакетов, в ответ ваш сервер отправляет на жертву 5 мегабит в секунду трафика)

Решение проблемы — выключить на вашем DNS-сервере рекурсивные ответы (т.е. запретить ему отвечать на запросы, касающиеся зон, которые он не обслуживает)

Проверить уязвим ли ваш сервер можно с помощью следующих команд:
Для linux/bsd: dig @1.2.3.4 +edns=0 +ignore com ANY
Для windows: nslookup datahata. by 1.2.3.4
(Где 1.2.3.4 — это IP вашего сервера)

Если ваш сервер ответит на этот запрос и сообщит IP сайта datahata.by, значит ваш сервер уязвим.

Отдельно хотелось бы отметить, что по умолчанию в RouterOS (Mikrotik), при включенном ip dns, он является рекурсивным. Необходимо настроить правила фаервола, ограничив доступ к порту 53/udp

2. NTP Amplification

Этот тип атаки использует протокол времени NTP, порт 123/udp.

Проверить, уязвим ли ваш сервер вы можете с помощью *nix команды: ntpdc -nc monlist 1.2.3.4
(1.2.3.4 — IP-адрес вашего сервера)
Подробности: https://habrahabr.ru/post/209438/

3. SNMP Amplification

Эта уязвимость возникает в следствии того, что в SNMP-сервере указано community по умолчанию (например public или private).
Для исправления уязвимости измените значение community на нестандартное. Желательно так же ограничить список IP, которым доступен сервис SNMP, с помощью фаервола.

4. NETBIOS Amplification

Данный тип уязвимости возникает из-за специфики работы протокола общего доступа к файлам Microsoft.

Для Windows-серверов — необходимо либо выключить сервисы общего доступа к файлам и принтерам, либо с помощью фаервола запретить прием данного типа трафика (ограничить для определенных IP).

Linux-сервера с установленным ПО samba так же уязвимы. Если ПО samba запущено, но не используется вами — рекомендуем его выключить/удалить с сервера. Иначе, ограничьте доступ к сервису с помощью фаервола.

Проверить доступность NETBIOS-сервисов можно с помощью *nix-команды nmblookup -A 1.2.3.4 (где 1.2.3.4 — IP вашего сервера). Пользователи windows могут проверить доступность этих служб, открыв в проводнике адрес вида \\1.2.3.4

5. PORTMAP Amplification

Уязвимость возникает из-за особенностей протокола ONC RPC, используемого в частности, для работы NFS-демона. Если на вашем сервере не используется сетевая файловая система NFS, то вы можете остановить или удалить данный сервис. Если же вы используете NFS — ограничьте доступ к порту 111/udp на вашем сервере.
Узнать, какой именно сервис у вас работает в качестве PORTMAP, вы можете с помощью комадны netstat -lpnu | grep 111
Проверить удаленный сервер на наличие уязвимости вы можете с помощью команды rpcinfo -T udp 1.2.3.4 (где 1.2.3.4 — это IP вашего сервера)

6. MEMCACHED Amplification

Уязвимость в популярном ПО для веб-разработки memcached. Описание проблемы по ссылке. 

7. SSDP Amplification

Уязвимость протокола Simple Service Discovery, используемого в системах с поддержкой UPnP. Проверить доступность SSDP сервиса можно утилитой nmap в *nix: nmap -sU -Pn -p 1900 —script=upnp-info 1.2.3.4, (где 1.2.3.4 — IP вашего сервера)

Подробности по ссылке

Как защитить Mikrotik Routerboard от внешних вторжений :: Настройка оборудования Mikrotik :: Настройка оборудования

Рейтинг

Оценка: 4.56Голосов: 18Комментарии: 28Обычно в Mikrotik RouterBoard задействовано, как минимум, два интерфейса. Один смотрит в локальную сеть, другой – в интернет. И через интерфейс, который смотрит в интернет, злодеи будут пытаться проникнуть на Mikrotik RouterBoard.

Чтобы увидеть, пытается ли кто-то проникнуть на Mikrotik RouterBoard, зайдем в раздел LOG.

Рис. 1. Содержимое лог-файла.

На данный момент какой-то гад нагло пытается подобрать пароль к Mikrotik RouterBoard. Об этом свидетельствуют записи system error critical. Опции отображаются красным цветом. Так же из этой записи можно видеть и дату, когда пытались подключиться, время, IP адрес злодея и сервис, на который идет атака. В данном случае это via ssh, то есть SSH сервис.

Что мы можем предпринять для зашиты Mikrotik RouterBoard? Первым делом нужно определить, какие службы запущены на Mikrotik RouterBoard. Переходим в раздел Ip Services.

 

Рис. 2. Раздел Services.

 

Рис. 3. Список запущенных сервисов.

В появившемся окне мы видим список запущенных сервисов. Name это название сервиса.

FTP – это ftp сервер, с помощью которого можно загружать файлы на сервер и скачивать их.

SSH – это сервер, с помощью которого можно подключиться к Mikrotik RouterBoard при помощи консольных клиентов  (таких  как putty) и управлять Mikrotik RouterBoard консольными командами.

WINBOX – это графический интерфейс для управления Mikrotik RouterBoard.

WWW – это Веб сервер, который дает возможность с помощью браузера подключится к Mikrotik RouterBoard.

Port –  это порт, на котором сервисы ожидают подключения.

Available From – указывает, для какого ip адреса или подсети разрешен доступ. 0.0.0.0/0 разрешает доступ с любого IP адреса.

Available From можно изменить таким образом, чтобы доступ к Mikrotik RouterBoard был только из внутренней сети.

 

Рис. 4. Изменяем сеть для которой разрешен доступ.

Кликаем дважды левой клавишей мыши на интересующем нас сервисе. Заменяем 0.0.0.0/0 на нужную нам сеть (допустим 192.168.4.0/24). Теперь сервис доступен только для сети 192.168.4.0/24.

Рис. 5. Разрешенная сеть.

Также можно разрешить доступ только с компьютера администратора: кликаем на нужном сервисе и указываем IP адрес компьютера администратора.

 

Рис. 6. Разрешенный IP адрес.

 

Сервисы FTP и WWW можно вообще отключить, если они вами редко используются.

Выбираем сервис и жмём красный крестик.

 

Рис. 7. Оставшиеся активные сервисы.

 

Рис. 8. Результат проделанной работы.

Вот и всё. Как мы видим, после выполнения действий взломщик еще один раз успел попытаться подключится. После  применения настроек его попытки закончились.

Евгений Рудченко специально для asp24

Если Вы нашли ошибку в тексте, то выделите ее мышкой и нажмите Ctrl + Enter или нажмите здесь.

Большое спасибо за Вашу помощь! Мы скоро исправим ошибку!

Сообщение не было отправлено. Пожалуйста, попробуйте еще раз.

Сообщение об ошибке

Ошибка:

Ваш комментарий (не обязательно):

Да
Отмена

Предотвращение неавтериальных подключений для трафика МБ, а также вход в сеть или выход из нее

Аннотация


Блок сообщений сервера (SMB) — это протокол сетевого обмена файлами и тканью данных. МБ используется десятками устройств в разных операционных системах, включая Windows, MacOS, iOS, Linux и Android. Клиенты используют SMB для доступа к данным на серверах. Это позволяет делиться файлами, централизованное управление данными и снизить объем памяти для мобильных устройств. Серверы также используют SMB как часть программного центра обработки данных для таких рабочих нагрузок, как кластеризация и репликация.

Так как SMB — это удаленная файловая система, она требует защиты от атак, при которых компьютеры с Windows могут быть обмануты в контакты с вредоносным сервером, работающим в доверенной сети, или с удаленным сервером за пределами периметра сети. Правила и конфигурации брандмауэра повышают безопасность и предотвращают выход вредоносного трафика с компьютера или из его сети.


Эффект изменений

Блокировка подключения к SMB может помешать работе различных приложений или служб. Список приложений и служб Windows и Windows Server, которые могут перестать работать в этой ситуации, см. в обзоре служб и требованиях к сетевому порту для Windows


Дополнительная информация



Подходы брандмауэра периметра


Брандмауэры оборудования и устройств периметра, которые находятся в границе сети, должны блокировать нежелательные сообщения (из Интернета) и исходяющий трафик (через Интернет) к следующим портам.

 







Протокол приложений


Протокол


Порт

 SMB

 TCP

445

Разрешение имен NetBIOS

UDP

137

Служба датаграмм NetBIOS

UDP

138

Служба сеансов NetBIOS

TCP

139



Маловероятно, что какие-либо SMB-сообщения, происходящие из Интернета или предназначенные для Интернета, являются законными. Основной случай может быть для облачного сервера или службы, например файлов Azure. В брандмауэре периметра следует создать ограничения на основе IP-адресов, чтобы разрешить только определенные конечные точки. Организации могут разрешить доступ через порт 445 к определенным центрам обработки данных Azure и диапазонам IP-адресов O365, чтобы включить гибридные сценарии, в которых клиенты локальной организации (за брандмауэром предприятия) используют порт SMB для разговора с хранилищем файлов Azure. Также следует разрешить только 3 МБ.x трафик и требуется шифрование SMB AES-128. Дополнительные сведениясм. вразделе «Ссылки».


Примечание. Использование транспорта NetBIOS для SMB прекратилось в Windows Vista, Windows Server 2008 и во всех более поздних операционных системах Майкрософт, когда корпорация Майкрософт представила SMB 2.02. Однако в вашей среде могут быть программное обеспечение и устройства, не в том числе Windows. Следует отключить и удалить SMB1, если вы еще не сделали этого, так как она по-прежнему использует NetBIOS. Более поздние версии Windows Server и Windows больше не устанавливают SMB1 по умолчанию и будут автоматически удалять его, если это разрешено.


Защитник Windows брандмауэра


Все поддерживаемые версии Windows и Windows Server включают брандмауэр Защитник Windows (ранее — брандмауэр Windows). Этот брандмауэр обеспечивает дополнительную защиту устройств, особенно если они перемещаются за пределы сети или запускаются в пределах одной из них.

Брандмауэр Защитник Windows имеет отдельные профили для определенных типов сетей: «Домен», «Частное» и «Гость/общедоступный». По умолчанию гостевой и общедоступный сети имеют гораздо более строгие параметры, чем для надежных доменных и частных сетей. Для этих сетей могут действовать различные ограничения SMB в зависимости от оценки угрозы и потребностей, необходимых для эксплуатации.



Входящие подключения к компьютеру


На клиентах и серверах Windows, на которые не были мб-серверы, можно заблокировать весь входящий трафик SMB с помощью брандмауэра Защитник Windows для предотвращения удаленного подключения от вредоносных или скомпрометнных устройств. В брандмауэре Защитник Windows правила для входящие данной службы.







Имя


Профиль


Включено

Общий доступ к файлам и принтерам (SMB-in)

Все

Нет

Служба Netlogon (NP-In)

Все

Нет

Удаленное управление журналами событий (NP-In)

Все

Нет

Удаленное управление службами (NP-In)

Все

Нет



Следует также создать новое правило блокировки, чтобы переопредить другие правила брандмауэра входящие. Используйте следующие рекомендуемые параметры для клиентов Или серверов Windows, на которые не указываются SMB-акции:


  • Name: Блокировать все входящие SMB 445


  • Описание:блокирует весь входящий трафик TCP 445 для SMB. Этот стандарт не должен применяться к контроллерам доменов или компьютерам, на компьютерах с доступом к SMB-данным.


  • Действие:блокировка подключения


  • Программы:все


  • Удаленные компьютеры:any


  • Тип протокола:TCP


  • Локальный порт:445


  • Удаленный порт:любой


  • Профили:все


  • Область (локальный IP-адрес):any


  • Область (удаленный IP-адрес):любой


  • Edge Traversal: Block edge traversal

Не следует глобально блокировать входящий трафик SMB на контроллеры доменов или файловые серверы. Однако вы можете ограничить доступ к ним из надежных диапазонов IP-адресов и устройств, чтобы онизить их уровень атак. Кроме того, они должны быть ограничены профилями домена или частного брандмауэра и не позволяют использовать гостевой или общедоступный трафик.


Примечание. Брандмауэр Windows по умолчанию блокирует все входящие SMB-сообщения, так как windows XP с пакетом обновления 2 (SP2) и Windows Server 2003 с пакетом обновления 1 (SP1). Устройства с Windows позволяют входящие средства связи с SMB только в том случае, если администратор создает долю SMB или изменяет параметры брандмауэра по умолчанию. Не следует доверять, что стандартный стандартный режим остается на месте на устройствах. Всегда проверять параметры и их состояние, а также управлять ими можно с помощью групповой политики или других средств управления.

Дополнительные сведения см. в Защитник Windows брандмауэра с помощью стратегии дополнительной безопасности и Защитник Windows брандмауэра с помощью руководства по развертыванию advanced Security Deployment



Исходящие подключения с компьютера


Клиентам и серверам Windows требуются исходящие подключения к SMB, чтобы применить групповую политику с контроллеров домена, пользователей и приложений для доступа к данным на файловых серверах, поэтому необходимо соблюдать правила брандмауэра для предотвращения вредоносных подключений через Интернет или через Интернет. По умолчанию в клиенте Windows или на сервере, подключающихся к SMB-серверам, нет исходящие блоки, поэтому вам придется создавать новые правила блокирования.

Следует также создать новое правило блокировки, чтобы переопредить другие правила брандмауэра входящие. Используйте следующие рекомендуемые параметры для клиентов Или серверов Windows, на которые не указываются SMB-акции.


Гостевых и общедоступных (неподтверщенных) сетей


  • Name: Block outbound guest/Public SMB 445


  • Описание:блокирует весь исходящие трафик TCP 445 для SMB в ненаверщенной сети


  • Действие:блокировка подключения


  • Программы:все


  • Удаленные компьютеры:any


  • Тип протокола:TCP


  • Локальный порт:любой


  • Удаленный порт:445


  • Профили:гость/общедоступный


  • Область (локальный IP-адрес):any


  • Область (удаленный IP-адрес):любой


  • Edge Traversal: Block edge traversal


Примечание. Небольшие пользователи office и office для дома, а также мобильные пользователи, которые работают в корпоративных доверенных сетях и подключаются к своим домашним сетям, следует соблюдать осторожность, прежде чем блокировать общедоступные исходящие сети. Это может препятствовать доступу к локальным naS-устройствам или определенным принтерам.


Частные/доменные (доверенные) сети


  • Name: Allow outbound Domain/Private SMB 445


  • Описание:позволяет исходящие трафик SMB TCP 445 только на DCS и файловые серверы в надежной сети


  • Действие:разрешить подключение, если оно защищено


  • Настройка параметра «Разрешить», если параметрыбезопасности: выберите один из вариантов, задайте правила блокировки переопределения = ON


  • Программы:все


  • Тип протокола:TCP


  • Локальный порт:any


  • Удаленный порт:445


  • Профили:частный/домен


  • Область (локальный IP-адрес):any


  • Область (удаленный IP-адрес):<список IP-адресов контроллера домена и файлового>


  • Edge Traversal: Block edge traversal


Примечание.  Вы также можете использовать удаленные компьютеры вместо областей удаленных IP-адресов, если защищенное подключение использует проверку подлинности, которая содержит удостоверение компьютера. Дополнительные сведения о параметрах «Разрешить подключение, если безопасно» и «Удаленный компьютер» можно получить в документации брандмауэра Защитника.


  • Name: Block outbound Domain/Private SMB 445


  • Описание:блокирует исходящие SMB-трафик TCP 445. Переопределять с помощью правила «Разрешить исходящие домены и частные SMB 445»


  • Действие:блокировка подключения


  • Программы:все


  • Удаленные компьютеры:Н/П


  • Тип протокола:TCP


  • Локальный порт:any


  • Удаленный порт:445


  • Профили:частный/домен


  • Область (локальный IP-адрес):any


  • Область (удаленный IP-адрес):Н/П


  • Edge Traversal: Block edge traversal

Не следует блокировать глобальный трафик SMB с компьютеров на контроллеры доменов или файловые серверы. Однако вы можете ограничить доступ к ним из надежных диапазонов IP-адресов и устройств, чтобы онизить их уровень атак.

Дополнительные сведения см. в Защитник Windows брандмауэра с помощью стратегии дополнительной безопасности и Защитник Windows брандмауэра с помощью руководства по развертыванию advanced Security Deployment



Правила подключения к безопасности


Правило подключения к безопасности необходимо использовать для реализации исключений из правил брандмауэра для правил «Разрешить подключение, если оно безопасно» и «Разрешить подключение использовать Инкапсуляцию NULL». Если это правило не задалось на всех компьютерах на базе Windows и Windows Server, проверка подлинности будет невозможна и для SMB будет заблокирован исходящие исходящие точки. 

Например, требуются следующие параметры:


  • Тип правила:Изоляция


  • Требования:запрос проверки подлинности для входящие и исходящие подключения


  • Способ проверки подлинности:компьютер и пользователь (Kerberos V5)


  • Профиль:домен, частный, общедоступный


  • Name: Isolation ESP Authentication for SMB overrides

Дополнительные сведения о правилах подключения к безопасности см. в следующих статьях:


Windows Workstation и Server Service


Для компьютеров с ограниченными возможностями или с высокой изолированной работой, на которые вообще не требуются SMB-серверы, можно отключить службы Сервера или Рабочей станции. Это можно сделать вручную с помощью оснастки Services (Services.msc) и cmdlet PowerShell Set-Service или с помощью настроек групповой политики. Если остановить и отключить эти службы, SMB больше не сможет делать исходящие подключения или получать входящие подключения.

Вы не должны отключать службу «Сервер» на контроллерах доменов или файловых серверах, иначе клиенты больше не смогут применять групповую политику или подключаться к своим данным. Вы не должны отключать службу Workstation на компьютерах, которые являются членами домена Active Directory, или они больше не будут применять групповую политику.


Mikrotik dns разрешает удаленные запросы

Вы можете изменить его по своему усмотрению. 8 / ip dns set allow-remote-request = yes / ip firewall nat add chain = srcnat out-interface = ether1 action = masquerade / ip firewall nat print Настройка DHCP-сервера dapat menggunakan / ip dhcp-server setup Chat saat konfigurasi DHCP Server Konfigurasi по умолчанию Route, nat, dan dns agar Router R5 dapat terhubung ke Internet [admin @ IDN-R5]> ip route add gateway = 25. 207 interface = WAN DNS Configuration: / ip dns set allow-remote-requests = yes cache-max-ttl = 1w cache-size = 5000KiB max-udp-packet-size = 512 серверов = 4.Сообщения, отправленные на порт Winbox, могут быть отправлены в различные двоичные файлы, включая преобразователь. Просто введите свой IP-адрес MikroTik LAN, IP-адрес удаленного DNS-сервера и суффикс домена, для которого вы хотите, чтобы DNS-запросы пересылались в соответствующие поля. Протокол туннелирования уровня 2 (l2tp) использует udp-порт 1701, в то время как ipsec использует udp 500. 24 марта 2020 г. · [admin @ MikroTik]> ip address add address = 192. 18 марта 2016 г. · Атака с усилением сервера доменных имен (DNS) — это популярная форма распределенного отказа в обслуживании (DDoS), основанная на использовании общедоступных открытых DNS-серверов для перегрузки системы-жертвы трафиком ответов DNS.Шаг 2 — Установите Разрешить удаленные запросы. 8 августа 2019 г. · L2tp с Ipsec — это форма vpn удаленного доступа, которую можно настроить на маршрутизаторе Mikrotik, чтобы позволить администратору удаленно подключаться к офису или домашней сети из любого места по всему миру. MangoDNS MikroTik Dynamic DNS 27 марта 2019 г. · 1. 4 — это бесплатный DNS-сервис от Google. Bagian ini untuk Grouping client, yang nanti akan diarahkan ke ISP mana. В основном вам нужно заполнить IP> DHCP-сервер> Сеть> DNS-серверы. Перейдите к Radius Server и создайте NAS (сервер доступа к сети), щелкнув конфигурацию сервера, щелкнув добавить 2.Разрешить только определенному пользователю доступ к вашему маршрутизатору: / User (allow-address) 4. comJika, 7 апреля 2019 г. · Сервер доменных имен (DNS) является важной частью компьютерной сети. IP> DNS> Статический> настройки локального имени хоста Повысить преобразование DNS для отправки запросов Разрешить удаленные запросы. При использовании простых очередей используйте цели. Включение IPv6 Пакет IPv6 routerOS не включен по умолчанию. 88. Не похоже, чтобы какое-либо из моих устройств обходило pi-hole и использовало этот параметр. ИМО просто устанавливает для DNS-адреса VPN значение, отличное от 12 мая 2019 г. · Для настроек DNS мы должны включить параметр «разрешить удаленный запрос», чтобы наш клиент мог запрашивать DNS на нашем маршрутизаторе.См. Инструкции в Руководстве по базовой установке! Кеш DNS. Маршрутизаторы Mikrotik прямо из коробки требуют усиления безопасности, как и любой маршрутизатор Arista, Cisco, Juniper или Ubiquiti. Sehingga nantinya konfigurasi DNS pada komputer user cukup diarahkan ke Router Mikrotik, dan tidak lagi diarahkan ke DNS Server milik Google ataupun ISP, atau lainnya. По умолчанию в маршрутизаторах mikrotik включена опция DNS Allow Remote Requests, и ваш Mikrotik будет DNS-сервером, отвечая на запросы DNS. ххх1, ххх.В этом случае мы будем 19 декабря 2013 г. · Мне пришлось потратить некоторое время, чтобы понять, как заставить мой маршрутизатор Mikrotik работать с моим Wi-Fi. Dns микротик янди настройки «разрешить удаленные запросы» pada menu dns, secara tidak langsung akan menjadikan router sebagai recursive dns dan siapapun bisa menggunakan ip router sebagai recursive dns. Шаг 4 — Нажмите + и добавьте статический DNS. 1/24 / ip route add gateway = bridge1 / ip dns set servers = 8. Bagi yang sering mengalami flooding DNS akibat mengaktifkan allow remote request di mikrotik mungkin cara ini dapat diterapkan… pertama adalah pastikan ip lokal anda mengikuti class ip menurut rfc1918 dan masukkan kedalam address list berikut… “-просмотр адресов брандмауэра 10-адрес брандмауэра.Укажите IP-адрес DNS-сервера, предоставленный вашим интернет-провайдером (или используйте IP-адрес общедоступного DNS-сервера Google: 8. Pastebin. Но если вы включите маршрутизатор MikroTik в качестве DNS-сервера, ваш пользователь получит DNS-решение от маршрутизатора MikroTik без использования вашей платной полосы пропускания. Создайте 2 межсетевого экрана DST и правила SRC 15 сентября 2015 г. · Блок NBN Fiber Connection находится внутри вашего дома и ожидает, что клиент PPPoE, такой как модем или ваш Mikrotik, подключится к порту «UNI-D 1» с помощью обычного кабеля Ethernet — Cat 5e предпочтительнее. • Из-за открытых DNS-преобразователей • Это DNS-серверы, которые отвечают любому на любой запрос./ ip dns установить серверы = 8. 29 октября 2013 г. · Поскольку большинство интернет-провайдеров не разрешают запросы DNS за пределами своей сети. Введите имя для запланированной задачи. 8 y 8. / ip address add interface = bridge1 address = 192. 9. 222 secondary-dns = 208. 25. Untuk mengatasi adanya Open Recursive DNS Attack / DNS Amplification Attack pada Mikrotik yang telah men-checklist «Разрешить удаленный запрос» adalah sebagai berikut: / ip firewall filter add action = drop chain = input connection -limit = 0,32 dst-port = 53 fragment = no in-interface = «ether-yg-ke-WAN» protocol = udp add action = drop chain = input connection-limit = 0,32 dst-port = 53 фрагмент = no in-interface = протокол «ether-yg-ke-WAN» = tcp. 14 июля 2015 г. · Отключите DNS, если он не требуется. 9 апреля 2016 г. · Перейдите в IP> DNS, нажмите кнопку «Настройки» и добавьте IP-адрес основного и дополнительного DNS-серверов, предоставленный вашим интернет-провайдером. Введите 8. 23 января 2015 г. · 1. Если вы хотите, чтобы ваш маршрутизатор Mikrotik работал в качестве DNS-сервера, выберите «Разрешить удаленный запрос». См. Шаги ниже. 30, 2017 · [code h2 = «1, 4, 7»] ping 8. В простом сценарии мы имеем следующее: Contoh: DNS di Mikrotik отключает menggunakan openDNS (208.25 сентября 2012 г. · Чтобы иметь возможность использовать маршрутизатор в качестве DNS-сервера, вам необходимо включить удаленные запросы DNS на вашем маршрутизаторе / ip dns set allow-remote-requests = yes Настроить подключение к Интернету. 1. 3 в качестве DNS в разделе «Настройки IP-DNS». 2 апреля 2018 г. · Учебное пособие Cara Memaksa DNS OpenDNS di MikroTik Untuk Pengguna IP Address Static и Dynamic Seperti Indihome. Теперь щелкните IP в главном меню и выберите DNS. Сама сеперти тади пастикан Mikrotik terhubung dengan Winbox. setelah itu pastikan Разрешить удаленный запрос nya di ceklist agar client dapat mersesolve melalui dns server di mikrotik kita.4) y para que funcione debe estar marcado Разрешить удаленные запросы (PermitirPeticiones Remotas) Вам будет предоставлено использование Mikrotik como servidor DNS для своих клиентов, dessa forma, como ele guarda um Cache das Requisições, seus clientes vão fazer консультируйтесь Для добавления и ознакомления с настройкой DNS для всех MikroTik Router: выберите IP> DNS. DNS Allow Remote Requests РЕШЕНИЕ: Создайте правило брандмауэра, чтобы блокировать все на WAN-порте или, в частности, блокировать 53 UDP и TCP. Настроить DNS в микротике через терминал.8 DHCP — простой 192. Все IP-адреса MikroTik теперь могут использоваться в качестве IP-адреса DNS-сервера, включая IP-адрес WAN, который является общедоступным IP-адресом, и здесь возникнут проблемы. Я рекомендую, если вы не знаете, как настроить функции брандмауэра, которые блокируют DNS-запросы к вашему маршрутизатору из-за пределов вашей сети, не включайте его, иначе ваш маршрутизатор станет общедоступным DNS-сервером для всех, кто может получить доступ к общедоступному IP-адресу. в теме. 20 января 2021 г. · Настройка параметров DNS — один из первых шагов, которые следует учитывать при создании маршрутизатора.добавить цепочку = srcnat действие = маскировать внешний интерфейс = ISP1. Сегодняшнее веб-общение невозможно представить без DNS. Выберите «IP» (45) и «DNS» в левом меню. koe transparent-proxy = yes / ip firewall nat add in-interface = lokal dst-port = 80 protocol = tcp action = redirect to-ports = 8080 chain = dstnat dst-address =! 192. 222 = 208. 2 ip dns установить серверы = 8. 75,75. 0, где IP 10. Теперь нажмите «Интерфейсы» в главном меню и откройте интерфейс PureVPN-SSTP. Нажмите «Применить», чтобы сохранить настройки. ххх. Пада команда ди атас максуд allow-remote-requests = да adalah akan menjadikan Router Mikrotik anda sebagai DNS Server juga.18 \ Убедитесь, что установлен флажок «Разрешить удаленные запросы». DDNS на МикроТик’у. 138. Лучше запустить наш собственный DNS-сервер на mikrotik или просто использовать opendns или google dns servers / ip dns set allow-remote-requests = yes cache-max-ttl = 1w cache-size = 5000KiB max-udp-packet-size = 512 серверов = 8. Настройте DNS на маршрутизаторах Mikrotik, например DNS с IP Addressnya Primary = 202. 26 января 2018 г. · / ip dns set servers = 8. Установите флажок Разрешить удаленные запросы и сохраните настройки. В более позднем посте мы поговорим о том, что делать, если у вас есть несколько интерфейсов WAN или несколько путей выхода на вашем маршрутизаторе (например, работает OSPF), при использовании веб-камеры или Winbox, снимите флажок Разрешить удаленный запрос (IP-> DNS). ты! — прокомментировал jules6 23 сентября 19 в 12:25 ан.7 февраля 2021 г. · @davidromba убедитесь, что опция Разрешить удаленные запросы в IP → DNS включена (/ ip dns set allow-remote-requests = yes) и список серверов не пуст, или просто измените DNS-серверы для VPN-клиентов с / ppp profile set VPN-PROFILE dns-server = 8. Mikrotik Firewall Фильтр DNS. 3. 15 декабря 2019 г. · По умолчанию MikroTik будет распространять их в вашу локальную сеть. Cuando esta habilitada la opcion de Requerimientos remotos (Разрешить-удаленный-запрос). Выглядит страшно, не так ли? Что ж, мы не будем вдаваться в подробности, что это означает здесь, но я хочу показать вам, что это соответствует в WinBox./ ip dns set allow-remote-requests = yes cache-max-ttl = 1 w cache # Следующее создает сервер PPTP и L2TP VPN на MikroTik: # !!! ВЫ ДОЛЖНЫ ОБНОВИТЬ DNS. Установите allow-remote-requests = yes primary-secondary dns-dns = 208. Отключите параметр Allow Remote Requests: / ip dns 9. Вы должны выйти на экран с несколькими кнопками в левой части экрана. 2 разрешения-удаленных-запросов = да. Pastebin — это веб-сайт, на котором вы можете хранить текст в Интернете в течение определенного периода времени. selanjutnya adalah установка dns di setiap komputer atau router yang akan digunakan dengan dns ip gateway mikrotik, semisal ip lokal mikrotik anda 192.Mikrotik: Multiple Gateway — Балансировка нагрузки 10. 60. 1 11. 8 allow-remote-requests = yes [admin @ MikroTik]> ip dhcp-server setup Выберите интерфейс для запуска DHCP-сервера на dhcp-сервере. Интерфейс: ether1 Выберите сеть для DHCP-адресов Адресное пространство dhcp: 192. Эта опция необходима, потому что ваш маршрутизатор MikroTik будет основным DNS-сервером для вашего пользователя Hotspot. Нажмите кнопку «Добавить» 4. Если вы не хотите использовать серверы, подключенные к DNS (это рекомендовано для DNS от Google в качестве исходного кода 8.วิธี ตั้ง ค่า Перенаправить DNS บน อุปกรณ์ MikroTik เบื้องต้น ทุก รุ่น Разрешить удаленные запросы. Inilah letak kesalahan orang yang baru belajar MikroTik, karena walau sebenarnya dia tidak menggunakan tapi asal centang saja. 24 августа 2015 г. · Потому что, если вы используете общедоступный DNS-сервер в своей сети, каждый DNS-запрос вашего пользователя будет использовать вашу платную пропускную способность. • Каждый MIkroTik, у которого включен параметр «Allow-Remote-Requests», является потенциальным вектором атаки. • Такие злоумышленники; это коэффициент усиления полосы пропускания 1: 179.Kalau Anda menggunakan Mikrotik sebagai DHCP Server, Anda bisa atur di IP -> DHCP Server -> Networks. 000 cache-size = 2048 cache-max-ttl = 7d 3 сентября 2018 г. · chain = dstnat action = redirect to-ports = 53 protocol = udp dst-port = 53 to-address = 192. Мне пришлось включить его через графический интерфейс WebFig и перезагрузить компьютер. Щелкните n IP и выберите DHCP-сервер. 10. Перейдите к IP> DNS, нажмите кнопку «Настройки», затем добавьте IP-адрес первичного и вторичного DNS-серверов, предоставленный вашим интернет-провайдером. Разрешить удаленные запросы: включено = будет DNS-сервером, отвечающим на запросы DNS.21 июня 2013 г. · Настройка DNSip dns для параметра primary-dns = 202. Разрешить только используемую службу / ip и изменить порт по умолчанию 5. 2 сервера DNS Primario, у вас есть доступ к морскому маршрутизатору, использующему сервер DNS, se. DoH — это протокол для выполнения удаленного DNS по протоколу HTTPS. Появится новый открытый диалог. Перейдите на вкладку IP в главном меню, найдите DNS и щелкните по нему, это откроет новое окно DNS Settings. Он состоит из кабелей, коммутаторов, беспроводной связи точка-точка, оптоволокна и т. Д. В этой настройке абоненты подключены через 2 коммутатора к ether2 и ether3 на маршрутизаторе, и они используют PPPoE для аутентификации с помощью своего уникального набора DNS / ip. allow-remote-requests = yes cache-max-ttl = 1w cache-size = 10000KiB max-udp-packet-size = 512 серверов = 208.Необязательно в правильном порядке, но надеюсь, что это вам поможет. 6. Ваш маршрутизатор MikroTik теперь является DNS-сервером. Нажмите «i» для локальной установки или «r» для установки удаленного маршрутизатора или «q» для отмены и перезагрузки. Когда заданы как статический, так и динамический сервер, более предпочтительны записи статического сервера, однако это не означает, что статический сервер будет всегда использоваться (например, ранее запрос был получен от динамического сервера, но статический был добавлен позже, затем динамический ввод будет предпочтительнее). 1 wlan2 служит шлюзом и днс сервером от клиента.Это дает вам контроль над подключениями к удаленному офису, позволяет осуществлять удаленное управление и поддерживать высокий уровень безопасности, поскольку ваш UCM не должен быть общедоступным, если соответствующие порты SIP открыты на вашем брандмауэре. 220 Разрешить удаленные запросы: установлен. Маршрутизатор MikroTik с включенной функцией DNS может быть установлен в качестве DNS-сервера для любого DNS-совместимого клиента. Mikrotik 26 января 2018 г. · / ip dns set servers = 8. 1 расстояние = 1 / ip dns set servers = 25. 255. В других руководствах рекомендуется установить флажок «Разрешить удаленные запросы».Если ваш интернет-провайдер использует DHCP, используйте эту команду / ip dhcp-client add interface = ether1 add-default-route = yes use-peer-dns = yes disabled = no • Если «IP -> DNS» — разрешить удаленный запрос включен, убедитесь, что установлено соответствующее правило фильтрации для предотвращения входящих DNS-атак. 11 июля 2016 г. · Конфигурация DNS: / ip dns set allow-remote-requests = yes cache-max-ttl = 1w cache-size = 5000KiB max-udp- servers = 4. Запросы отправляются с маршрутизатора на выбранный злоумышленником сервер. 16 сентября 2014 г. · Этот скрипт автоматически настроит PPPoE-сервер внутри вашего Mikrotik Box.Шаг 7: Баланс нагрузки межсетевого экрана для двух манипуляций межсетевого экрана WAN / ip> добавить действие = цепочка маркировки-соединения = ввод в интерфейсе = ether1-WAN new-connection-mark = WAN1_conn Mikrotik без сервера DNS • Отключить сервер DNS на Mikrotik Настройте DHCP-сервер на серверы OpenDNS в качестве DNS-серверов. • Рабочие станции будут отправлять DNS-запросы непосредственно на серверы OpenDNS. • Добавьте правило брандмауэра NAT для перенаправления трафика на порт 53 сервера OpenDNS / ip dns set allow-remote-requests = yes servers = 208. Выделите все буквой «а», минимум буквой «м».[mkt @ MikroTik]> ip dns устанавливает primary-dns = 208. 5 В долгосрочной перспективе и ниже разрешить удаленным злоумышленникам, не прошедшим проверку подлинности, запускать DNS-запросы через порт 8291. Разрешить удаленные запросы, разрешить удаленные запросы кеш-памяти, не прошедшие проверку подлинности. 4 / ip dns: set allow-remote-requests = yes / ip firewall filter: add action = drop chain = input dst-port = 22 protocol = tcp: add action = accept chain = input comment = «VPN Mikrotik» port = 1701 , 500,4500 \ protocol = udp: add action = accept chain = input dst-port = 1701,500,4500 in-interface = ether1 \ protocol = udp: add action = accept chain = output dst-port = 1701,500, Протокол 4500 = udp при использовании веб-камеры или Winbox снимите флажок Разрешить удаленный запрос (IP-> DNS) Спасибо! — прокомментировал jules6 23 сентября 19 в 12:25 ан. Настройте DHCP-сервер. Чтобы клиент мог автоматически получить IP-адрес, мы должны сначала настроить DHCP-сервер в mikrotik, набрав команду сценария, как показано ниже, а затем введите: Fix settinga dns. 16 сентября 2019 г. · Теперь в окне «Настройки DNS»: «Разрешить удаленные запросы»: активировать и нажать «ОК». Отключите сервер BTest: / tool BTest-server 8. 29 июля 2015 г. · Шаг 1. Перейдите в DNS. Сделайте свой маршрутизатор MikroTik с двумя сетевыми адаптерами Ethernet, один для домашнего DSL-модема, другой для вашей домашней сети.1 августа 2, 2013 · Далее: Настройка DNS / ip dns set allow-remote-requests = yes cache-max-ttl = 1w cache-size = 2048KiB \ max-udp-packet-size = 512 серверов = 8. 49.. debe realizar lo siguiente: / ip dns set servers = 159. 220 Разрешить удаленные запросы: установлен флажок Заставить всех наших клиентов в сети использовать наш DNS, даже если они пытаются использовать свои собственные DNS-серверы: Mikrotik dns разрешает удаленные запросы. 1 / ip dns set allow-remote-requests = yes servers = 4. 2 s / d 10. Заставить всех наших клиентов в сети использовать наш DNS, даже если они попытаются использовать свои собственные DNS-серверы: WinBox IP Firewall NAT Add + General Chain: dstnat Dst.66 to-ports = 53 28 марта 2013 г. · Сделайте свой маршрутизатор MikroTik с двумя сетевыми адаптерами Ethernet, одна для домашнего модема DSL, другая для вашей домашней сети. 4 с DNS-серверами, которые вы хотите использовать. 1 allow-remote-requests = yes / ip firewall nat add chain = srcnat action = masquerade out-interface = ether1 Тестирование akses ke internet / ip dns set servers = 8. Магистральная сеть, обеспечивающая подключение уровня 2. Казалось, либо DNS не работал, либо нат был неправильным, ну это был NAT. Если ваш интернет-провайдер использует DHCP, используйте эту команду / ip dhcp-client add interface = ether1 add-default-route = yes use-peer-dns = yes disabled = no.2-192. 17 декабря 2018 г. · Pada router yang diaktifkan sebagai gateway utama, biasanya kita mengaktifkan fitur Allow-remote-request DNS, yang berfungsi sebagai cache DNS (agar komputer di jaringan lokal bisa menggunakan ip router sebagai dns server) jika router anda IP Public, maka router anda IP Public, maka orang lain juga bisa menggunakan Router anda sebagai DNS, sehingga Router Mikrotik / ip dns set allow-remote-requests = yes servers = 208. Отключить протокол обнаружения соседей 7. 126. Это связано с CSS326. 4 и отключите Разрешить удаленные запросы.maka pada mikrotik versi 4, mikrotik v5 dan mikrotik v6 adalah: ip dns set servers = xxx. Он создаст одного пользователя только для тестовых целей и назначит ему неограниченную скорость. / ip firewall filter add chain = input protocol = tcp dst-port = 53 in-interface = ether1-gateway action = drop add chain = input protocol = udp dst-port = 53 in-interface = ether1-gateway action = drop Return So Я установил эти правила в брандмауэре mikrotik для перенаправления их DNS-запросов на pihole: / ip firewall nat add action = dst-nat chain = dstnat comment = «redirect to pihole» dst-port = 53 protocol = udp src-address = 1 92.4. 139), а шлюз будет 10. 220 (Это адреса OpenDNS, вы можете ввести любой DNS-адрес по вашему выбору) в полях DNS-серверов. Идем в IP> DNS, нажимаем настройки стыка. Убедитесь, что время запуска установлено на запуск. 67 18 марта 2016 г. · Атака с усилением сервера доменных имен (DNS) — это популярная форма распределенного отказа в обслуживании (DDoS), основанная на использовании общедоступных открытых DNS-серверов для перегрузки системы жертвы трафиком ответов DNS. 8). 7 апреля 2019 г. · Кэширование конфигурации DNS в маршрутизаторе MikroTik. В Winbox перейдите в пункт меню IP> DNS.8, 8. Затем мы настроим нашу Mikrotik ROS в качестве DNS-сервера, поскольку это очень хорошая практика для настройки DNS-сервера. 4) в поле ввода Серверы. com — инструмент вставки номер один с 2002 года. 5 allow-remoterequests = yes b. Если он установлен на IP-адрес вашей локальной сети, вам нужно включить IP> DNS> Разрешить удаленные запросы. 1/24 interface = ether1 [admin @ MikroTik]> ip dns set servers = 8. 8 мая 2015 г. · Это по-прежнему позволит вашему Mikrotik отправлять запросы DNS, поскольку они поступают из незарезервированного порта.Чтобы иметь возможность использовать свой маршрутизатор в качестве DNS-сервера, вам необходимо включить удаленные запросы DNS на вашем маршрутизаторе / ip dns set allow-remote-requests = yes Настроить подключение к Интернету. 1 шлюз = 192. У меня есть два DNS-сервера в моей локальной сети: 192. Потому что, если вы используете общедоступный DNS-сервер в своей сети, каждый DNS-запрос вашего пользователя будет использовать вашу платную пропускную способность. DNS (служба доменных имен) adalah sebuah teknik dalam jaringan yang berfungsi untuk memetakan, mentranslasikan, merubah dan mengarahkan sebuah request atau permintaan menggunakan nama (kata) ke Internet Protocol address (ip address) tertentu.Jika muncul tulisan reaply maka konfigurasi IP Static kalian berhasil. 248. / ip dns set allow-remote-requests = no Apabila fitur DNS Cache dan Web Proxy diaktifkan, maka gunakan rule firewall berikut agar koneksi dari luar tidak bisa menggunakan router kita. Щелкните IP в главном меню и выберите DHCP-сервер. Итак, если вы хотите превратить MikroTik в DNS-сервер, установите флажок «Разрешить удаленные запросы» и нажмите кнопку «Применить» и «ОК». 17 мая 2020 г. · В этом руководстве по MikroTik я покажу вам, как настроить DNS через HTTPS на вашем маршрутизаторе MikroTik, используя DNS-серверы Cloudflare или DNS-серверы Google.Miktorik IP (LAN) DNS-сервер IP ip dns устанавливает primary-dns = xxx. Аутентифицированный удаленный злоумышленник может воспользоваться этим через протокол Winbox, отправив созданный запрос для запуска DNS-запросов. 1 Выберите время аренды Время аренды: 3d 6. 222 a 208. 155 allow-remote-requests = yesKarena koneksi ini menggunakan Speedy dari Telkom, maka DNS yg aq pake ya punya Telkom. Когда DNS-серверы уже появились, просто дайте контрольный список в меню «Разрешить удаленные запросы», OK. Также используйте DNS-сервер для выставления счетов на ПК и ваш ПК. Для получения дополнительных сведений о DNS прочтите эту статью «Как настроить DNS-сервер Mikrotik».Введите соответствующую информацию, предоставленную вашим интернет-провайдером, и убедитесь, что установлен флажок «Разрешить удаленные запросы». Введите локальный IP-адрес (ваш общедоступный IP-адрес), выберите пул удаленных адресов (пул IP-адресов, который мы определили выше) и добавьте DNS-серверы, которые будут возвращены пользователям. Помощь. Мы сделаем DNS di Mikrotik, чтобы установить menggunakan openDNS (208. Konfigurasi IP Dynamic. 25 октября 2018 г. · Включение разрешения удаленного запроса DNS. 1/24 interface = lan / ip dns allow-remote คู่มือ Mikrotik — ออก Internert แบบ DHCP-клиент จะ รูป แบบ การ DHCP จาก Маршрутизатор ของ ผู้ ให้ บริการ (ISP) วิธี การ ต่อ ไม่ ว่า จะ Клиент PPPoE, Клиент DHCP หรือ Абримос WinBox и не требуются для IP — DNS. Но если вы хотите иметь возможность создавать статические записи DNS, вам необходимо включить DNS для вашего маршрутизатора, вот как это можно сделать: Команда Router OS для терминала: [admin @ MikroTik]> ip dns set allow-remote- запросы = да. б. Но если вы включите маршрутизатор MikroTik в качестве DNS-сервера, ваш пользователь получит DNS-решение от MikroTik Router без использования платной полосы пропускания. После настройки Wi-Fi сетей (2 — одна гостевая и одна основная). 254 сетевая маска 255. 22 вторичных DNS: 0. 8 разрешить удаленные запросы = да.1 33. Настройте маскировку NAT в вашей локальной сети, чтобы все устройства за маршрутизатором Mikrotik использовали VPN-соединение. Например, вы хотите отобразить 203. • «Разрешить удаленный запрос» будет включен. 29 октября 2019 г. · DNS-запросы обрабатываются двоичным «преобразователем», подключенным к протоколу Winbox RouterOS. Рекомендуем установить на 1 час. / ip dns print. Источник. Перейдите в меню IP -> DHCP-клиент -> Откройте его DHCP-клиент -> снимите флажок «Use Peer DNS». 8 Теперь, наконец, мы добавим локального пользователя для проверки статуса сервера pppoe.132. 50. 1 и 8. Ошибки и эксплойты время от времени обнаруживаются на всех устройствах, и ваш маршрутизатор ничем не отличается. 155 allow-remoterequests = yes [Admin @ myrouter]> ip dns set secondary-dns = 202. 220 allow-remote-requests = yes [mkt @ MikroTik]> ip dns print primary-dns: 208. Добавьте новый маршрут по мере возможности см. на следующих изображениях. Серверы: вы можете добавить IP-адреса DNS-серверов; Динамические серверы: если вы используете динамический сервер для DNS, введите IP в это поле. 29 апреля 2017 г. · Проверьте записи DNS в разделе IP -> DNS (и в статической области), у вас должен быть хотя бы один или два DNS-сервера, например, локальный или DNS-серверы Google (8.148. Теперь настроим NAT для нашей локальной сети. 4,8. 115. Вы можете легко использовать OpenDNS для реализации простой фильтрации или при необходимости использовать свои собственные DNS-серверы. 18. Появится окно настроек DNS. 8 a 8. 7. 222. В главном меню выберите вкладку «Интерфейс», нажмите «Интерфейс VPN», затем проверьте статус VPN на вкладке «Статус». На что следует обратить внимание: перед тем, как начать, убедитесь, что: у вас есть рабочее подключение к Интернету; маршрутизатор с поддержкой MikroTik PPTP; учетная запись Premium PureVPN (если вы еще не купили ее, нажмите здесь, чтобы купить) Ниже приводится руководство по настройке PPTP. Клиент на MikroTik: 1.130. Будет создан следующий пользователь: allow-remote-requests: yes max-udp-packet-size: 4096 cache-size: 2048KiB cache-max-ttl: 1w cache-used: 9KiB Pada command di atas maksud allow-remote -requests = yes adalah akan menjadikan Router Mikrotik anda sebagai DNS Server juga. 000 общий-тайм-аут запроса = 10. 25 сентября 2012 г. · Включить удаленные запросы DNS. Включите поиск DNS. Я бы просто установил DNS-серверы как google dns. Базовая настройка MikroTik Router завершена. allow-remote-request = yes berfungsi untuk menjadikan router mikrotik sebagai dns dns server juga sehingga pada saat anda setting dns di komputer client anda hanya cukup memasukan ip address router yang mengarah ke jaringan LAN. Более того, маршрутизатор MikroTik можно указать в качестве основного DNS-сервера в настройках его DHCP-сервера. 8 [Если у вас не настроен DNS] Или пингуйте гугл. 6 октября 2016 г. · Потому что, если вы используете общедоступный DNS-сервер в своей сети, каждый DNS-запрос вашего пользователя будет использовать вашу платную пропускную способность. Проверьте подключение к Интернету, выполнив проверку связи с веб-сайтом, например google. Чтобы использовать эту функцию, выполните следующие действия: 23 сентября 2020 г. · Итак, если вы хотите включить MikroTik в качестве DNS-сервера, установите флажок «Разрешить удаленные запросы» и нажмите кнопку «Применить» и «ОК».Нажмите «Применить» (48), чтобы применить изменения, и «ОК» (49), чтобы закрыть это окно. 222, 208. Введите IP DNS в поле «Серверы», например 8. 1 allow-remote-requests = yes Шаг 4 Маскарадная сеть LAN Fitur IP Cloud mikrotik hanya cukup melakukan setting ke menu IP -> Cloud, centang «Enabled» dan selesai . Bila Client menggunakan setting DNS speedy maka dia tidak akan menggunakan OpenDNS (setting pada MikroTik) kecuali port 53 TCP / UDP di-redirect. Абримос WinBox и вам не нужно использовать IP-DNS. Если DNS — Разрешить удаленный запрос включен, убедитесь, что установлено соответствующее правило фильтрации для предотвращения входящих DNS-атак.Kemudian, установите DNS pada R1 agar mengarah pada R2 (DNS Server) / ip dns set allow-remote-requests = yes servers = 192. Lalu kalian Ping ke Gateway ISP kalian. 193. Я добавил правило фильтра брандмауэра, чтобы разрешить входящий трафик, и поместил его в начало списка фильтров: / ip firewall filter add action = accept chain = input dst-port = 8291 protocol = tcp. Настройте рекурсивный DNS-сервер для локальной сети. 47 только что вышел с новой замечательной функцией DNS-over-HTTPS (DoH). 1/24 interface = wlan2 / ip dns set allow-remote-requests = yes primary-dns = 208.Это говорит вашему компьютеру, что использовать. с утра у меня проблемы с DNS. если я помещу сюда свой адрес pi-hole, это 7 февраля 2021 г. · @davidromba убедитесь, что опция Разрешить удаленные запросы в IP → DNS включена (/ ip dns set allow-remote-requests = yes), а список серверов не пусто, или просто измените DNS-серверы для VPN-клиентов с профилем / ppp, указав VPN-PROFILE dns-server = 8. 1 / ip firewall nat add action = masquerade chain = srcnat comment = ”” disabled = no out-interface = WAN src-address = 10. Нажмите IP Pool Delete dhcp 8 сентября 2018 г. · Для этого маршрутизатору Mikrotik должен быть назначен DNS-адрес с включенным разрешением удаленного запроса.Если вы превратите MikroTik Router в DNS-сервер, все IP-адреса MikroTik можно будет использовать в качестве IP-адреса DNS-сервера, включая WAN IP, который является общедоступным IP-адресом, и здесь возникнет проблема. 14 апреля 2020 г. · (LAB) Мастер и резервное копирование VRRP บน MikroTik. 47, эта версия может поддерживать DNS через HTTPS (DoH). Я написал простое доказательство концепции под названием winbox_dns_request. 67. Добро пожаловать в установку программного обеспечения MikroTik Router. Перемещайтесь по меню, используя «p» и «n» или клавиши со стрелками, выбирайте с помощью «пробела». 1 в паре с wlan2 служит шлюзом и DNS-сервером клиента.См. Инструкции в Руководстве по базовой установке! При установке убедитесь, что вы установили пакет программного обеспечения dhcp, если ваш поставщик услуг xDSL использует DHCP для передачи конфигурации IP, и пакет ppp, если ваш поставщик услуг использует PPPoE для 16 сентября 2019 г. · Теперь в окне настроек DNS: Разрешить удаленные запросы : Активировать и нажать ОК. Когда вы не можете активировать DNS-сервер, вы можете использовать DNS-сервер, если хотите, чтобы он работал с DNS-сервером.Referensi ID-Networkers Materi: DHCP-сервер, DHCP-ретранслятор, мост, протокол уровня 7, фильтр межсетевого экрана, настройка цели EoIP Менять пропускную способность Интернет-соединения с пропускной способностью для доступа к ПК Blok Situs Menghubungkan 2 jaringan LAN yangtidan terhubrasig Router IS agar dapat terhubung dengan internet tambahkan juga firewall nat, dns dll Ниже приведен простой сценарий работы базового ISP и минимальные требования: Что вам нужно: Маршрутизатор Mikrotik.0/24; Isi bagian dns dengan gateway hotspot misalnya 10. Нажмите IP DNS Setting change DNS 6. 16. 5. Было бы целесообразно создать правило брандмауэра для отбрасывания DNS-запросов из WAN. 2–10. Terakhir, установите NAT masquerade agar dapat akses internet / ip firewall nat DNS — я использую DNS-серверы моего провайдера для MikroTik: / ip dns set allow-remote-requests = yes servers = 194. Теперь последний и последний шаг, настройка DNS-сервера на Mikrotik Router. 112. 0/24 dns-server = 192. Убедитесь, что наш Mikrotik использует OpenDNS для поиска DNS: WinBox IP DNS Servers: 208.Далее мы настроим DNS-сервер. Специалисты по безопасности на протяжении десятилетий советовали людям ограничивать DNS-запросы к своим DNS-серверам, чтобы использовать только UDP-порт 53. 8 allow-remote-requests = yes [/ php] Kita dapat melihat nama-nama doamin yang terselesaikan dalam cache dns dengan mengklik cache dalam pengaturan dns IP. 2-Затем введите следующую команду, чтобы включить и настроить DNS. [php] / ip dns установить серверы = 8. Заполните следующее поле 3. Кроме того, маршрутизатор MikroTik можно указать в качестве основного DNS-сервера в настройках его dhcp-сервера.13. 220 / ip Если вы не хотите использовать MikroTik в качестве DNS-сервера, вы можете установить DNS-серверы Google 8. 124. Вот некоторый опыт, некоторые ключевые моменты. 2 secondary-dns = 202. Mraz12 ответил 23 сентября 19 в 12:24. Чтобы настроить динамический URL-адрес в MikroTik RouterOS с помощью Winbox, вы должны выполнить следующие шаги: 1. 220 Для клиентских подключений мы используем беспроводные подключения на wlan2. с диапазоном IP-клиентов 10. 15 августа 2012 г. · / ip dns set allow-remote-requests = yes cache-max-ttl = 1w cache-size = 2048KiB \ max-udp-packet-size = 512 серверов = 75.09 апреля 2016 г. · Теперь настроим DNS для нашей локальной сети. 147. 13 ноября 2012 г. · / ip dns set allow-remote-requests = yes cache-max-ttl = 1w cache-size = 10000KiB max-udp-packet-size = 512 серверов = 192. Lihat langkah-langkah di bawah ini. 3-Удалите опцию проверки из «Разрешить удаленный запрос внутри вашего IP> DNS». DoS-атака (отказ в обслуживании) может вызвать перегрузку маршрутизатора. Введите 208. 220) případně Google DNS (8. Что у нас есть? 26 октября 2018 г. · добавить адрес = 192. 75. Примечание Итак, если вы хотите превратить MikroTik в DNS-сервер, установите флажок Разрешить удаленные запросы и нажмите Применить и кнопку ОК. 98. 134. Настройка NAT для доступа в Интернет / брандмауэра ip nat add chain = srcnat action = masquerade comment = «nat internet access» disabled = no 7. Mikrotik должен иметь возможность отправлять запрос (выходная цепочка) на 53-м порту udp ( dst-port) в сторону провайдера, и, соответственно, получить ответ (input chain) с 53-его udp-портом (src-port) на той же стороне. Сетелах, это брандмауэр NAT, который можно использовать, чтобы настроить DNS для локальной сети на маршрутизаторе Mikrotik. Это позволяет вашим клиентским устройствам использовать маршрутизатор Mikrotik в качестве DNS-сервера, который, в свою очередь, будет использовать DNS-серверы Torguard.9 мая 2019 г. · установите allow-remote-requests = yes primary-dns = 208. Выберите все с помощью «a», минимум с помощью «m». 220 IP> DNS> [снимите отметку с Разрешить удаленные запросы] IP> DNS> [добавить настраиваемый DNS-сервер, который не является пи-отверстием, в поле «Серверы», без этого мой MikroTik не смог бы подключиться к Интернету для получения обновлений или отправки электронных писем с smtp сервер. 29 августа 2017 г. · 1-Отбросьте DNS-запрос от вашего WAN-интерфейса 2-Отбросьте все недопустимые сеансы TCP в вашем mirkotik. DNS Для настроек DNS нам нужно включить параметр «разрешить удаленный запрос», чтобы наш клиент мог запрашивать DNS на нашем маршрутизаторе.MangoDNS MikroTik Dynamic DNS Setting Mikrotik DNS Resolver и IP dns ПК устанавливают primary-dns = 10. 8. 16 декабря 2015 г. · Как связать Mikrotik с Radius-сервером 1. Замените 8. 1 netmask = 24 / ip dns set allow-remote -requests = yes / ip firewall filter 10 января 2017 г. · / ip dns set allow-remote-requests = yes / ip dns set servers = yourdnsipaddress. 8 NAT Так как большинство интернет-провайдеров не разрешают запросы DNS за пределами своей сети. 123 / ip firewall nat add action = redirect chain = dstnat comment = «Redirect DNS» dst-port = 53 protocol = udp Если вы не хотите использовать общедоступную службу DNS для всех клиентских устройств в вашей сети, вы можете выбрать и указать устройства, которые должны через списки адресов или MAC-адрес: Обновите ОС маршрутизатора на вашем маршрутизаторе Mikrotik до последней версии (как минимум версии v5. 1; Buat DNS static 3. 222 secondary-dns: 208. Будет включено кеширование. Проверьте брандмауэр. Разрешить удаленный запрос — DNS Mikrotik Inti dari Allow Remote Request adalah Semua IP yang ada di Router yang disetting / di check Allow Remote Request ini bisa digunakan sebagai DNS, dan DNS nya nanti merujuk ke DNS yang ada di Router tersebut. Три команды (3, 4 и 6) позволяют удаленному пользователю, не прошедшему проверку подлинности, отправлять DNS-запросы через маршрутизатор на DNS-сервер по своему выбору. Вот как вы можете переопределить это: [user @ MikroTik]> / ip dhcp-client set use-peer-dns = no [user @ MikroTik]> / ip dns set allow-remote-requests = yes servers = 208.0. com> RouterOS 6. Сообщите DNS-серверу на Routerboard разрешить удаленные DNS-запросы. Конфигурация DNS. Он также создаст трех пользователей со следующими именами и паролями: имя пользователя пароль профиль admin 123 Default adeel 1234 512 Кбит / с adeel-256k 1234 256 Кбит / с По умолчанию Encapto не разрешает удаленный доступ к каким-либо маршрутизаторам Mikrotik, предоставленным с помощью этого руководства. 0/24 Выберите шлюз на 7 июня 2020 г. · Использование DNS через HTTPS (DoH) на Mikrotik v6. Изменить: прошло некоторое время с тех пор, как я работал с dd-wrt, но я уверен, что вы хотите, чтобы он был настроен в режиме моста, так что это, по сути, беспроводной переключатель уровня 2 для вашего мая 8, 2015 · Он также позволяет быстро менять вышестоящие DNS-серверы даже в случае сбоя, атаки и т. д.254. 8 Ниже приведен полный сценарий. Подключитесь к вашему роутеру Mikrotik через WinBox. микротик. MangoDNS MikroTik Dynamic DNS Setelah itu ceklis bagian Разрешить удаленный запрос, lalu klik Применить> ОК. 07 января 2019 г. · Чтобы использовать MikroTik VPN Server в качестве шлюза, чтобы у VPN-клиентов был общедоступный IP-адрес MikroTik, вы можете просто замаскировать: / ip firewall nat add chain = srcnat out-interface = ether1-GTW action = masquerade Разрешить удаленные запросы DNS: / ip dns set allow-remote-requests = yes 7 сентября 2018 г. · Этот параметр позволяет настроить IP> DNS и разрешить удаленные запросы. 13 октября 2020 г. · Примечание: в этом примере он уже отключен (allow-remote-requests = no). Сначала подключитесь к своему микротику по SSH или консоли. com [Если вы настроили DNS] [/ code] F. 29 февраля 2016 г. · Шаг 7: Настройка IP-адреса DNS / ip dns set allow-remote-requests = yes cache-size = 5000KiB max-udp-packet-size = 512 \ серверы = 61. 4 8. 8 лет 8. Отметьте «Разрешить удаленные запросы» и сохраните настройки. Jika tidak memiliki IP DNS tersebut, maka kita akan menggunakan IP DNS Google yaitu: 8. 1 # Убедитесь, что вы изменили имена интерфейсов и IP-адреса в соответствии с вашей сетью, 2 # В разделе DNS используйте IP-адреса DNS вашего провайдера 3 # Вы может использовать разные IP-адреса хоста для мониторинга, предпочтительно надежные серверы вашего основного интернет-провайдера, такие как DNS или другие.4) атау ip днс модем скорейший анда. 1/24 для использования cukup mudah yaitu set dulu dns di mikrotik dengan mencentang разрешить удаленный запрос. 8packet-size = 512, 27 апреля 2019 г. · Lalu centang Разрешить удаленные запросы для использования кеш-памяти Mikrotik Menjadi DNS, кеш-памяти DNS-сервера, IP-Mikrotik для IP-адресов, разрешенных для кеш-памяти Mikrotik, для кеширования DNS-серверов. После этого также необходимо настроить правило NAT назначения брандмауэра для принудительного выполнения всех DNS-запросов из локальной сети к маршрутизатору Mikrotik.Терминал Терахир калан биса чек менгунакан. Вы можете войти в роутер Mikrotik, только подключив свой компьютер напрямую к Mikrotik, описанному ранее. ip dns set allow-remote-requests = yes. 4). Выполните следующую команду. Cara Kerja IP Cloud MikroTIK. 25 ноября 2013 г. · Если вы используете службу DNS на своем Mikrotik и включен параметр «Разрешить удаленные запросы», вам необходимо добавить строки в раздел брандмауэра, чтобы блокировать входящие DNS-запросы на вашем интерфейсе PPPoE • Если «IP -> DNS» –Разрешить удаленный запрос включен, убедитесь, что установлено соответствующее правило фильтрации для предотвращения входящих DNS-атак. Нажмите «Применить» / «ОК», чтобы сохранить свой 29 октября 2015 г. · Настройка DNS: в WInbox нажмите «Ip–> DNS–», установите DNS-сервер, назначенный поставщиком Интернет-услуг, и установите флажок «Разрешить удаленный запрос». Перейти к: / interface bridge port add interface = ether1 bridge = lan / ip address add address = 192. 18 июня 2020 г. · / ip dns set use-doh-server = ”URL” allow-remote-requests = yes Параметры настройки (DOH) для микротик версии ламы sebelum V6. / ip dns set allow-remote-requests = yes servers = 8. MangoDNS MikroTik Dynamic DNS из MikroTik Wiki. 6 конюшня, 6. 14.0, которые привязаны к IP 10. 220 в полях DNS Servers и сохраните свои настройки. См. Инструкции в Руководстве по базовой установке! При установке убедитесь, что вы установили пакет программного обеспечения dhcp, если ваш поставщик услуг xDSL использует DHCP для передачи конфигурации IP, и пакет ppp, если ваш поставщик услуг использует PPPoE для Mas aun, el Router Mikrotik puede especificarse como un servidor DNS Primario en последние конфигурации DNS-сервера. Итак, если вы хотите превратить MikroTik в качестве DNS-сервера, установите флажок «Разрешить удаленные запросы» и нажмите кнопку «Применить» и «ОК».Fungsi Разрешить удаленный запрос DNS Mikrotik. 19. 0/8 list = rfc1918 добавить адрес = 172. Эти клиенты обеспечивают постоянный метод адресации для устройств, которые часто меняют свое местоположение, конфигурацию или IP-адрес. 220 разрешенных-удаленных-запросов: да max-udp-packet-size: 512 cache-size: 2048KiB cache-max-ttl: 1w cache-used: 5KiB Шаг 4. Убедитесь, что на вашем устройстве включен поиск DNS, чтобы он мог быть синхронизируется с сервером NTP. Если IP, интерфейс (Ethernet и беспроводной) и DNS настроены, мы подключаем наш 3G-модем к USB-порту на маршрутизаторе.4 / ip dns set allow-remote-requests = yes cache-max-ttl = 1w cache-size = 5000KiB max-udp- servers = 4. 47 добавляет поддержку DNS через HTTPS или DoH. Первоначальное намерение Mikrotik в отношении этой функции routeros — уменьшить время разрешения DNS для пользователей в вашей сети и, как следствие, ускорить просмотр. Вы подключены к Ivacy VPN. Установив флажок, чтобы разрешить удаленный запрос DNS при настройке IP-адреса DNS-сервера на маршрутизаторе, вы настраиваете свой маршрутизатор в качестве DNS-сервера для пользователей в вашей сети.En la parte de arriba debemos colocar los DNS que van a trabajar en nuestra red. Реальность такова, что DNS-запросы также могут использовать TCP-порт 53, если UDP-порт 53 не принимается. Untuk mencapai hal ini, маршрутизатор Mikrotik harus diberi alamat DNS dengan позволяет удаленный запрос diaktifkan. 4) Тады ПОЗОР !! Запрограммированный «Разрешить удаленные запросы» Referensi ID-Networkers Materi: DHCP-сервер, DHCP-ретранслятор, мост, протокол уровня 7, фильтр брандмауэра, установка цели EoIP Menghubungkan seluruh perangkat ke Internet Pembatasan bandwith untuk beberapa pc Blok Situs Menghubungkan 2 secaringan langsung Konfigurasi Router ISP Konfigurasikan Router ISP agar dapat terhubung dengan internet tambahkan juga firewall nat, dns dll 18 июля 2019 г. · Для создания хабилитатного DNS-сервера Разрешить удаленный запрос для нового маршрутизатора, подключенного к DNS-серверу. Нажмите кнопку вверху с надписью WebFig. 14 июня 2018 г. · ให้ เพิ่มเติม Разрешить удаленные запросы เพื่อ ให้ เครื่อง ลูก ข่าย สามารถ ใช้ งาน DNS ได้ และ ที่ แท็ บ Сервер: ให้ เพิ่มเติม DNS ที่ เรา ต้องการ เช่น DNS ของ Google: 8. Выберите стрелку раскрывающегося списка IP, затем нажмите DNS. . Теперь установите флажок «Разрешить удаленные запросы», чтобы маршрутизатор MikroTik выступал в качестве DNS-сервера для пользователя точки доступа. Но теперь вам нужно создать брандмауэр, который блокирует UDP и TCP-порт 53 для интерфейса WAN, потому что он будет подвергаться DDoS-атакам весь день, каждый день (nmap этот порт, чтобы убедиться, что он действительно заблокирован).disabled = Будет DNS-клиентом, не отвечающим на запрос DNS. 8 TW DNS (PK) = 221. Скрипты для использования с различными маршрутизаторами Mikrotik — jadiaz / MikroTik. 8 Готово! Теперь протестируйте ссылку, поместив пользовательскую нагрузку. Чем больше вы загружаете несколько пользователей, тем лучше вы получите результат балансировки нагрузки Setelah itu, kita akan, устанавливающий DNS-сервер. 23 января 2016 г. · / ip dns set servers = 8. Mraz12 ответил 23 сентября 19 в 12:24. У меня есть hAP ac2, работающий в доме клиентов, и мне нужен удаленный доступ к маршрутизатору через winbox.com misalnya: ping yahoo. Я написал простое доказательство концепции под названием winbox_dns 25 июля 2017 г. · MikroTik Security Guide and Networking with MikroTik: MTCNA Study Guide от Тайлера Харта доступны в мягкой обложке и Kindle! Предисловие. 245,8. Перейдите к IP> DNS, затем нажмите кнопку «Настройки» и введите соответствующую информацию, предоставленную вашим интернет-провайдером, после чего выберите строку «РАЗРЕШИТЬ УДАЛЕННЫЙ ЗАПРОС» (это позволит обрабатывать запросы от ваших клиентов). Интинья Ян penting sesuai dengan tutorial Ян ада ди Интернет.193 IP-адрес в DMZ IP 10. Перейдите в меню IP -> DNS -> Введите DNS-сервер в поле Серверы -> установите флажок Разрешить удаленный запрос. У меня есть маршрутизатор mikrotik, и я хочу ограничить скорость пользователей wlan. Маршрутизатор Mikrotik отвечает на требуемые DNS TCP и UDP и на пуэрто 53. Маршрутизатор MikroTik с включенной функцией DNS может быть установлен в качестве DNS-сервера для любого DNS-совместимого клиента. Также убедитесь, что вы выбрали «Разрешить удаленные запросы», чтобы вы могли предоставить своим клиентам IP-адрес вашего MT Router в качестве DNS-сервера.Более того, маршрутизатор MikroTik можно указать в качестве основного DNS-сервера в настройках его DHCP-сервера. 8 allow-remote-requests = yes В этом примере используется служба DNS Google. 8 ip dns set allow-remote-request = да Пранала Менарик. 9 декабря 2017 г. · Отключить кеш DNS: эта функция при использовании на маршрутизаторе Mikrotik сокращает время разрешения DNS для хостов в вашей сети. • Ограничение скорости для каждого нового соединения UDP. Setelah itu coba Anda lakukan ping ke yahoo. Нужна помощь в установке нашего VPN на другое устройство? Ознакомьтесь с нашими: VPN для Windows, VPN для MAC, VPN для iOS, VPN для Android, VPN-маршрутизатор и наше расширение VPN для Chrome.Pastikan router Anda terkoneksi ke internet. Клик IP -> DNS; Isikan dengan IP OpenDNS: 208. 0/24 сети. Щелкните по Добавить. Это должно быть выше любых команд перетаскивания во входной цепочке. Интерактивная справка Сочетания клавиш Сочетания клавиш Feed Builder Что нового Вам также необходимо установить флажок Разрешить удаленные запросы в разделе IP-> DNS, если вы собираетесь использовать сам mikrotik для клиентских DNS вместо распространения адресов Google. 30 октября 2019 г. · Sebagai contoh, jika opsi «Allow Remote Request» tidak dicentang, maka perintah Ping dari komputer «PC1» ke komputer «PCWEB» akan gagal: Kesimpulan Cara Membuat Static DNS.45. 1-10. 4 allow-remote-requests = yes max-udp-packet-size = 4096 query-server-timeout = 2. 8 Когда DNS-серверы уже появились, просто поставьте контрольный список в меню «Разрешить удаленные запросы», OK. Также используйте DNS-сервер для выставления счетов на ПК и ваш ПК. Для получения дополнительных сведений о DNS прочтите эту статью «Как настроить DNS-сервер Mikrotik». 4,8,8. 1 / ip firewall nat add action = dst-nat chain = dstnat comment = Cloudflare dst-port = 53,5353 протокол = tcp to-addresses = 1. 5 [Admin @ myrouter]> ip dns установить primary-dns = 202./ ip dns set allow-remote-requests = yes servers = 208. 67 В этой статье объясняется, как настроить Grandstream UCM6200 IPPBX с удаленными расширениями через IPSec + L2TP VPN с использованием маршрутизатора MikroTik в качестве интернет-шлюза и VPN-сервера в головном офисе, а также настройки маршрутизаторов MikroTik в качестве VPN-клиентов для удаленных офисов. Обратите внимание, что настройка DNS в MikroTik — это DNS-кеш, который разрешает все запросы DNS к внешним серверам. 1/24 сеть = 192. 2 октября 2019 г. · Шаг 2 — Конфигурация IP DNS. 8packet-size = 512 Конфигурация DHCP-сервера для VLAN: / IP dhcp-server enable 0 / IP dhcp-server add interface = LOCAL address-pool = 100-RED / IP dhcp-server add interface = LOCAL address-pool = 200-GREEN 15.Установите флажок Разрешить удаленные запросы. Silahkan sesuaikan dengan DNS-провайдер Anda. 245. 8 9. 12 февраля 2019 г. · Графический пользовательский интерфейс режима Untuk kita klik menu IP> DNS lalu centang bagian Allow-remote-request. Откроется окно, как показано ниже: Серверы: вы можете добавить IP-адрес DNS-серверов. Sign up / ip dns {set allow-remote-requests = no: local o [static find]: оптимальным значением является MTU интерфейса, над которым работает туннель, уменьшенное на 40 (так, для 1500-байтового канала Ethernet установите MRU до 1460, чтобы избежать фрагментации пакетов) connect-to (IP-адрес) — IP-адрес PPTP-сервера для подключения к пользователю (строка) — имя пользователя для использования при входе на удаленный сервер пароль (строка; по умолчанию 50 DNS-клиент и кэш DNS-кеш минимизирует DNS-запросы к внешнему DNS-серверу, а также время разрешения DNS-запросов Маршрутизаторы MikroTik могут выступать в качестве DNS-сервера для любых DNS-совместимых клиентов. Добавление адреса / адресов DNS-сервера обеспечивает разрешение доменного имени для самого маршрутизатора. использовать в качестве сервера только для кэширования, установите флажок Разрешить удаленные запросы. Это позволяет использовать маршрутизатор в качестве DNS-сервера. Будьте очень осторожны, открывая свой маршрутизатор для атак с усилением, особенно если он имеет общедоступный IP-адрес. 22 марта 2020 г. · Выберите «DNS» в подменю и введите либо OpenDNS, либо Google DNS. в «Серверы».Бука IP> DNS, если Winbox Pastikan разрешить удаленный запрос в судах или центрах; Buka IP> DHCP SERVER> buka tab NETWORKS, pilih ip yang di gunakan di hotspot kita dengan cara melakukan double klik pada ip tersebut contoh 10. 20. Настройте DNS-серверы вручную на Google DNS: IP -> DNS -> Настройки -> Серверы . Это похоже на DoT (DNS через TLS), но не совсем то же самое. Последняя стабильная версия RouterOS 6. позволяет настроить DNS через https mikrotik di bawah ini Jika semua sudah di lakukan silahkan teman teman buka https: // 1.4 окт. 06, 2019 · Untuk mengamankan router mikrotik, disable fitur tersebut dengan cara meng — снимите флажок Разрешить удаленные запросы. Sekarang coba test ping ke google dari Router, jika konfigurasinya benar maka hasilnya pasti sudah bisa ping ke 2 мая 2013 г. · Добро пожаловать в установку программного обеспечения для маршрутизатора MikroTik. Перемещайтесь по меню, используя ‘p’ и ‘n’ или клавиши со стрелками, выберите с ‘пробелом’ . 18,192. 222 вторичный-dns = 208. Следующий wlan1 включает интерфейс в качестве точки доступа для распределения беспроводного соединения в локальной сети.В полях Серверы вам нужно будет ввести DNS-серверы по вашему выбору, это предоставит маршрутизатору преобразователь DNS. Щелкните IP-маршрут и затем смените шлюз 7. 0/24 to-address = 1 92. DNS через HTTPS — это протокол для выполнения удаленного разрешения системы доменных имен через протокол HTTPS. 100. 64. 18 мая 2019 г. · Выберите IP> DNS и установите флажок «Разрешить удаленные запросы», как показано на снимке экрана ниже. 113 и 192. 19. 20 октября 2020 г. · Войдите в устройство с помощью Telnet или SSH. 3 24 ноября 2013 г. · Google DNS = 8.co. / ip firewall filter add action = drop chain = input comment = «drop Invalid connections» connection-state = invalid add chain = input comment = «allow Established connections» connection-state = installed add chain = input comment = «разрешить удаленное администрирование из mikrotik office или другие белые списки «\ src-address = 159. Для этого я предоставил следующие команды ниже. 21 мая 2019 г. · Это классическая проблема, которая редко встречается из-за того, как быстро эксплойты наносят ущерб, однако никогда не включайте удаленные запросы для DNS, если не отклоняете запросы DNS от всех, кроме хостов, на которые вы должны отвечать.15 ноября 2016 г. · / ip dns set allow-remote-requests = yes cache-max-ttl = 1w cache-size = 5000KiB max-udp-packet-size = 512 серверов = 221. Если на вашем маршрутизаторе не требуется кеш DNS или для таких целей используется другой маршрутизатор, отключите его: О DNS (системе доменных имен) • В качестве транслятора от домена к номеру (IP) • Маршрутизатор MikroTik с включенной функцией DNS может быть установить в качестве DNS-сервера • Маршрутизатор MikroTik можно указать в качестве первичного DNS-сервера в настройках dhcp-сервера • Когда allow-remote-request = yes Маршрутизатор MikroTik отвечает на TCP и UDP DNS-запрос на порт 53. Нажмите Enter для поиска.12 августа 2014 г. · Выберите DNS-серверы DNS-серверы: 192. 14 апреля 2020 г. 30 апреля 2016 г. · Обеспечение безопасности DNS в MikroTik. 1 / help untuk melakukan pengecekan apakah dns over https di mikrotik teman teman sudah ip dns set primary-dns = {primary} secondary-dns dns dns = {second} a. • Распространенные типы DDOS • Усиление DNS. На маршрутизаторе может быть включен кэш DNS, что уменьшает время разрешения DNS-запросов от клиентов к удаленным серверам. 0 трансляция = 192. MikroTik DNS-over-HTTPS через CloudFlare Никита Тарикин 27 октября 2015 г. · set allow-remote-requests = yes cache-max- ttl = 1w cache-size = 2048KiB max-udp-packet-size = 4096 серверов = 192. Нажмите «i» для локальной установки или «r» для установки удаленного маршрутизатора или «q» для отмены и перезагрузки. 220; Centang разрешить удаленные запросы; Клик ОК; Pastikan Mikrotik Anda telah menjadi DNS server bagi client-nya. Выберите «Система» и нажмите «Планировщик». Шаг 3 — Щелкните Статический. Щелкните IP — DNS.222 208. 4. 3. 220 ”Для клиентских подключений мы используем беспроводное соединение на wlan2 с диапазоном клиентских IP-адресов 10. 74 allow-remote-requests = yes Untuk wireless mikrotik Os versi 4 kebawah perintahnya: / ip dns set primary-dns = 203. Bila 6 октября 2019 г. · Untuk mengamankan router mikrotik, disable fitur tersebut dengan cara meng-снимите флажок Разрешить удаленные запросы. ip dns установить серверы = 8. 220. Введите адреса DNS Google (или другой открытый DNS, который хотите) в поле «Серверы» (46) и установите флажок «Разрешить удаленные запросы» (47).Вот эквивалент этого страшного кода в WinBox: Вот и все. xxx разрешить-удаленный-запрос = да. Теперь, с приближающимся развертыванием DNSSEC и возможным добавлением IPv6, нам нужно будет разрешить нашим межсетевым экранам пересылать пакеты TCP и UDP порта 53. Когда вы закончите, вы можете проверить свое местоположение, нажав здесь. Теперь введите 208. Mikrotik Router уже должен быть подключен к Интернету. После установки маршрутизатора Mikrotik на месте вы не сможете получить к нему удаленный доступ для устранения неполадок.Если ваш интернет-провайдер использует PPPoE, используйте эту команду / интерфейс pppoe-client add user = password = interface = ether1 add-default-route = yes use-peer-dns = yes disabled = no 30 июля 2020 г. · Ада пенгаламан саяс экитар сату тахун ян лалу, саат сая белум терлалу тау тентанг Межсетевой экран микротик, сая денган сенгаджа менгактифкан Разрешить удаленные запросы agar semua jaringan client saya cukup menggunakan ip gateway sebagai dnsak mengai mengai tid sebagai dns, sehingga / ip dns set server = 203.com. Mikrotik — DNS — теория и конфигурация. 12. Есть два основных способа защиты Mikrotik от DNS. MikroTik теперь может защитить вашу онлайн-активность, зашифровав ваш DNS-трафик. Нажмите кнопку «Создать», а затем просто скопируйте сгенерированные инструкции и вставьте их в сеанс Telnet на свой MikroTik. Ханя группирует саджа. Затем включите MikroTik: Основные настройки маршрутизатора. Модель ситуации: мы хотим настроить маршрутизатор MikroTik для локальной LAN 192. (сам mikrotik) Маршрутизатор MikroTik с включенной функцией DNS можно настроить в качестве DNS-сервера для любого DNS-совместимого. запросы включены, маршрутизатор MikroTik отвечает на запросы TCP и UDP DNS через порт 53.4 allow-remote-requests = yes После настройки DNS-сервера в Mikrotik. USB-устройства. Совместное использование USB-модема в Интернет-соединении с Mikrotik. Динамические серверы: если вы используете динамический сервер для DNS, введите IP в это поле. Добавьте правило брандмауэра (при необходимости), чтобы разрешить DNS-запросы во входной цепочке. 123 / ip firewall nat add action = redirect chain = dstnat comment = «Redirect DNS» dst-port = 53 protocol = udp Если вы не хотите использовать общедоступную службу DNS для всех клиентских устройств в вашей сети, вы можете выбрать и указать устройства, которые должны через списки адресов или MAC-адрес: 26 ноября 2008 г. · / ip dns allow-remote-request = yes / ip web-proxy set enabled = yes port = 8080 hostname = proxy.Dan Centang «разрешить удаленный запрос» -> OK 2 3. 1,1. 9; Setelah itu Centang: «Allow-remote-request», Kemudian klik, 16 сентября 2014 г. · Этот сценарий настроит сервер Hotspot в вашем устройстве mikrotik с профилями буксировки 512 Кбит / с и 256 Кбит / с. У модема в качестве DNS-сервера: 1. Подключитесь к вашему MikroTik RouterOS. Настройка DNS. Конфигурация IP DNS в начале для разрешения запросов DNS. Перейти к содержанию. 17 октября 2013 г. · Kemudian akan terbentuk DNS, lalu klik DNS yang baru dibuat-> klik Setting e. Если вы используете DHCP-клиент, например, используете Интернет со скоростного или GSM-модема, вам следует отключить функцию «Использовать одноранговый DNS».Установите интервал. и установите флажок Разрешить удаленные запросы. 220 Mikrotik Load Balancing и FailOver IP Base с подключением PPPoE (метод NTH) / ip dns set allow-remote-requests = yes cache-max-ttl = 1w cache-size = 5000KiB max-udp Konfigurasi DNS www. 1 / ip dhcp-server add address-pool = hs-pool-1 authoritative = after-2sec-delay bootp-support = static disabled = no interface = LAN lease-time = 1h name = dhcp1 Включите их один за другим, пока он не остановится работающий. Расширение конфигурации DNS. 8; 9. Базовая настройка :: LAN Stejné jako přechozí postupy Lan / wan z hlediska porovnání s klasickým «широкополосный маршрутизатор», доступный в установленном брандмауэре / NAT-u (Masquerade). полечением: [admin @ MikroTik]> ip dns print primary-dns: 10.8 и 8. 86. MikroTik Router имеет функции как DNS-клиента, так и DNS-сервера. xxx2 разрешить-удаленный-запрос = да. ip dns set secondary-dns = xxx. — Межсетевой экран IP nat add chain = srcnat action = masquerade out-interface = ether1 Mikrotik Router Basic Configuration Конфигурация IP-адреса: / ip address add address = 192. 222 208. Kemudian kalian klik menu В MikroTik RouterOS существует уязвимость с отсутствующей аутентификацией из-за недостаточной защиты. 4 Шаг 3 — Список адресов брандмауэра Konfigurasi. Настройка DNS — IP dns set primary-dns = pppp allow-remote-requests = yes — IP dns set secondary-dns = nnnn allow-remote-requests = yes Source NAT (преобразование сетевых адресов) / маскарадинг Для всех существующих компьютеров в локальной сети также может подключиться к Интернету.Настройка IP DNS MikroTik Buka menu IP >> DNS, kemudian masukan ip dnsnya misalkan open dns milik google (8. DNS ini biasanya sudah diberikan juga bersamaan dengan IP Public, jika Anda memiliki IP DNS ini, silahkan masukkan pada DNS tersebut. Войти через winbox к маршрутизатору Mikrotik 5. 155, Secondary = 202. 7. Разрешить удаленный запрос memungkinkan Mikrotik menjadi DNS cache, sehingga kita bisa mengarahkan DNS komputer kita ke IP Mikrotik untuk akses lebih cepat, khususnya untuk NS yang sus terekam di cache Mikrotik.Заблокируйте открытый рекурсивный DNS на Mikrotik. 24 комментарий = defconf gateway = 192. 1. Обновите ОС маршрутизатора на маршрутизаторе Mikrotik до последней версии (как минимум версия v5. 8,8. 8 Banyak yang tidak menyadari pengguna router mikrotik yang menjadikan routernya sekaligus dns server tidak memfilter port 53 (dns) pada router. Отключите неиспользуемый интерфейс MikroTik Адалах Салах Сату Мерк Маршрутизатор Ян Палинг Дикенал ди Индонезии, MikroTik menggunakan sistem Operasi RouterOS без поддержки оператора Routerya dalam Джаринган Компьютер, Маршрутизатор MikroTik biasanya dipakai untuk menghubungkan Интернет-клиент Микайро Роуринга Джитуйан яндакай Untuk menghubungkan Интернет-клиент Джаринган Джуринга Интернет-клиент MikroTik cocok digunakan untuk 30 января 2013 г. · set allow-remote-requests = yes cache-max-ttl = 1w cache-size = 10000KiB max-udp-packet-size = 512 серверов = 192.Pada DNS setting aturlah: Primary DNS disini menuji IP mikrotik, dan secondary DNS dapat kalian isi nomor DNS dari ISP kalian. В открывшемся диалоговом окне щелкните Параметры. 137. 47: Disini akan kami contohkan provider OPENDNS, Untu yang lain bisa ditambakan sendiri. Когда удаленные запросы включены, маршрутизатор MikroTik отвечает на запросы TCP и UDP DNS = 22 августа 2018 г. · Убедитесь, что наш Mikrotik использует OpenDNS для поиска DNS: WinBox> IP> DNS-серверы: 208. MangoDNS MikroTik Dynamic DNS Настроенный IP> DNS> zapnu «Разрешить удаленные запросы» (jinak nepojede překládání web stránek) к альтернативному DNS-серверу.Измените порт HTTP на какой-либо другой порт, кроме порта 80. 2. Я могу только ping / ip dns установить allow-remote-requests = yes servers = 1. 28 октября 2019 г. · Три команды (3, 4 и 6) позволяют удаленному пользователю, не прошедшему проверку подлинности, отправлять DNS-запросы через маршрутизатор на DNS-сервер по своему выбору. 0/24 с портами 2-4 в мосту, порт 1 служит WAN (10. 1 to-ports = 5353 добавить 25 апреля 2017 г. · Маршрутизатор MikroTik с включенной функцией DNS может быть установлен в качестве DNS-сервера для любого DNS-совместимого клиент 2. 881 комментарий = Сделать Mikrotik предпочтительным DNS-сервером.add action = drop chain = input dst-port = 53 protocol = udp add action = drop chain = input dst-port = 53 protocol = tcp; Отключите SSH, доступ через Telnet, если не требуется. Сингхарат Канджанасопон. 1 maka set juga dns nya dengan 192. Затем примените и ОК. 7 марта 2013 г. · Базовая настройка :: DNS servery2, DNS cacheOkno DNS :: Настройки — Zaškrtávátko — Разрешить удаленные запросы 24. Войдите в привилегированный режим, набрав enable и введя свой пароль включения. 10 allow-remote-requests = yesip dns set secondary-dns = 202. Я оставил его отключенным, и он тоже отлично работает.• Усиление NTP. 47: Mikrotik имеет новую функцию на RouterOS 6. Установите DNS-сервер на IP Mikrotik Anda. Когда я пытаюсь подключиться к глобальной сети, соединение отклоняется. Решение для удаленного расширения UCM с использованием клиентов MikroTik VPN и шлюза Server 24 = 192. 123 208. 168. Наконец, назначьте маршрутизатору адрес DNS и установите флажок, чтобы разрешить удаленные запросы. Используется только для локального разрешения DNS. Отключите Mac-telnet, Mac-Ping и Mac-Winbox: / tool mac-server 6. 5. DNS (система доменных имен) mempermudah mengidentifkasi suatu komputer dengan menggunakan nama, bukan dengan menggunakan alamat IP. Para configurar 159. HEX использует 192. 208. P Me u di s ka t Ri a sn k a a a Hasil ping sebagai berikut ini: S m a r t 4. Маршрутизаторы MikroTik также поддерживают VPN, что не может не радовать. 8 8. 200 трансляция = 103. Щелкните IP в главном меню и выберите DNS. 8. 255 интерфейс = ЛОКАЛЬНЫЙ добавить адрес = 103. 222 дан 208. Три доступные команды могут позволить неаутентифицированному удаленному пользователю делать DNS-запросы через маршрутизатор к DNS-серверу по своему выбору. 4 и избегайте разрешающих удаленных запросов.DNS — это протокол клиент-сервер, в котором DNS-клиент запрашивает разрешение доменного имени и ответ DNS-сервера на него. En este caso tenemos 2 de Google: 8. 76. id 8 DNS server yang akan digunakan Mikrotik Untuk meresolve nama domain Параметр Aktifkan «разрешить удаленный запрос» для отправки запроса на разрешение домена для клиента Подключитесь к маршрутизатору Mikrotik через WinBox. 26. Создайте правило NAT для доступа в Интернет через интерфейс LAN. 44. 11. 255 / ip route. Три команды (3, 4 и 6) позволяют удаленному пользователю, не прошедшему проверку подлинности, делать DNS-запросы через маршрутизатор к DNS-серверу по своему выбору.Мы просто блокируем Mikrotik, чтобы он не отвечал на запросы порта 53 на внешнем интерфейсе. DDOS-АТАКА. 0/24 add chain = input comment = «разрешить пинг ICMP» протокол = icmp add chain = input CVE-2019-3978: недостаточная защита критического ресурса (запросы DNS / кэш) версии RouterOS 6. Разрешить удаленные запросы: при включении этого Установите флажок, MikroTik будет работать как DNS-сервер. MangoDNS MikroTik Dynamic DNS Akhirnya, berikan router alamat dns dan centang kotak untuk mengizinkan permintaan jarak jauh.Вы можете использовать тот же Mikrotik в качестве DNS-сервера, но вам нужно включить Разрешить удаленные запросы в настройках DNS. 8 и. 17. 8 [5]. Маршрутизатор может запросить нама DNS ке IP Cloud Server ян нама домен кратко, но не пропустите удаленный сервер mikrotik atau. Но когда я использую его с Cloudflare DNS, я не могу просматривать и т. Д. 1 / ip pool add name = dhcp_pool0 range = 192. Введите IP-адреса первичного и вторичного DNS-серверов, предоставленные вашим интернет-провайдером (здесь у меня есть DNS-сервер в моей сети, которую я использую) primary DNS = 10.16. Первый — это входящие запросы порта 53 к маршрутизатору. 2 января 2019 г. · [Admin @ MikroTik]> установить ip dns servers = 8. 4) y para que funcione debe estar marcado Разрешить удаленные запросы (PermitirPeticiones Remotas) Сеть обмена стеками состоит из 176 сообществ вопросов и ответов, включая Stack Overflow, самое большое и самое большое надежное онлайн-сообщество, в котором разработчики могут учиться, делиться своими знаниями и строить свою карьеру. Отключить удаленные DNS-запросы / ip dns set allow-remote-requests = no Другое / Общие Поддерживайте свой маршрутизатор в актуальном состоянии.Настройка IP DNS MikroTik Инструмент обновления DNS поддерживает только один алгоритм — hmac-md5. привет, у меня проблема, установленная на моем RouterBoard, я использовал ниже скрипт на терминале, который работает с opendns. Инструмент обновления DNS поддерживает только один алгоритм — hmac-md5. Моя настройка: модем / маршрутизатор провайдера со всеми портами, перенаправленными на hEX S. 3 Примечание: в этом примере он уже отключен (allow-remote-requests = no). 206/29 сеть = 103. Добавить бесплатный DNS-сервер с адреса Google 8. Когда разрешены удаленные запросы, маршрутизатор MikroTik отвечает на TCP- и UDP-запросы DNS через порт 53.Вы можете использовать свой собственный параметр от интернет-провайдера. Прежде чем я покажу вам следующие шаги, вы должны протестировать ваше соединение с DNS-серверами с помощью команды ping: ping 8. Мы запустим конфигурацию сервера Hotspot в MikroTik Router. 220), настройка dengan allow-remote-request = yes. Disini saya menggunakan Google DNS. 0/12 list 24 ноября 2013 г. · / ip dns set allow-remote-requests = yes cache-max-ttl = 1w cache-size = 5000KiB max-udp-packet-size = 512 серверов = 221. 18 203. Сентябрь 25, 2016 · Выберите DNS-серверы Isi dengan IP DNS yang diberikan ke PC client, contoh ini saya isi IP mikrotiknya, pasttin dulu mikrotik sekaligus menjadi DNS server dengan centang «Allow Remote Request» в меню Winbox IP> DNS DNS Servers: 192. Установите маршруты по умолчанию и попросите маршрутизатор проверить основной порт WAN. Вы хотите, чтобы ваши клиенты имели доступ только к Mikrotik.

Блокировать поиск DNS для имен, содержащих «samsung» · GitHub

Mikrotik RouterOS: Блокировать поиск DNS для имен, содержащих «samsung» · GitHub

Мгновенно делитесь кодом, заметками и фрагментами.

Mikrotik RouterOS: блокировать поиск DNS для имен, содержащих слово «samsung»

/ IP фильтр межсетевого экрана добавить
цепочка = ввод
действие = падение
comment = «запретить разрешение DNS, содержащее ‘samsung’ от SmartTV»
протокол = udp dst-порт = 53
content = «samsung»
src-mac-address =
/ IP фильтр межсетевого экрана добавить
цепь = вперед
действие = падение
comment = «запретить разрешение DNS, содержащее ‘samsung’ от SmartTV»
протокол = udp dst-порт = 53
content = «samsung»
src-mac-address =

Вы не можете выполнить это действие в настоящее время. Вы вошли в систему с другой вкладкой или окном. Перезагрузите, чтобы обновить сеанс.
Вы вышли из системы на другой вкладке или в другом окне. Перезагрузите, чтобы обновить сеанс.

MikroTik DNS Attack Prevention Rev 4.0 (фильтр межсетевого экрана) — RFC

Чтобы загрузить это в виде текстового файла, используйте эту ссылку: MikroTik DNS Attack Prevention Rev 4.0 (фильтр межсетевого экрана)

########################################################################## ###############################################

# MikroTik DNS Attack Prevention Rev 4 Рика Фрея.0 #
############################################################################### ############################################### ########
# Автор: Rick Frey #
# email: [email protected] #
# Имя пользователя на форуме MikroTik — rickfrey #
############### ########################################################################## #####################################
# Лицензия #
# Этот сценарий был созданы для использования широкой публикой и могут использоваться свободно. Этот сценарий #
# не может быть продан! #
############################################# ############################################### ######
# Возможности # #
# — Снижает атаку через DNS на ваш маршрутизатор MikroTik #
######################### ########################################################################## ############################

########################################################################## ########################################################################## ########################

#### Удалите все частные подсети, которые вы не используете.Убедитесь, что ваша подсеть LAN указана здесь. ##
################################################################################ ########################################################################## ##########################
/ ip firewall address-list
add address = 10.0.0.0 / 8 list = ”Адреса LAN (RFC1918 ) »
добавить адрес = 172.16. 0.0 / 12 список =« Адреса LAN (RFC1918) »
добавить адрес = 192.168.0.0 / 16 список =« Адреса LAN (RFC1918) »

########################################################################## ############################################### ######################

#### Добавьте свои DNS-серверы в список DNS_Accept.Удалите DNS-серверы и DNS, которые вы не используете в своей сети. ##
################################################################################ ########################################################################## ##########################

/ ip firewall address-list

add address = 8.8.8.8 comment = Google list = «DNS Servers»
add address = 8.8.4.4 comment = Google list = «DNS Servers»
add address = 4.2.2.1 comment = «Уровень» 3 ″ список = «DNS-серверы»
добавить адрес = 4.2.2.2 комментарий = «Уровень 3 ″ список =« DNS-серверы »
добавить адрес = 208.67.222.222 комментарий = список OpenDNS = «DNS-серверы»
добавить адрес = 208. 67.220.220 комментарий = список OpenDNS = «DNS-серверы»
добавить адрес = 1.1.1.1 комментарий = список Cloudflare = «DNS-серверы»
добавить адрес = 1.0. 0.1 комментарий = список Cloudflare = «DNS-серверы»
добавить адрес = 4.2.2.3 комментарий = «уровень 3 ″ список =« DNS-серверы »
добавить адрес = 4.2.2.4 комментарий =« уровень 3 ″ список = «DNS-серверы»
добавить адрес = 4.2.2.5 комментарий = «Уровень 3 ″ список =« DNS-серверы »
добавить адрес = 4.2.2.6 комментарий =« Уровень 3 ″ список = «DNS-серверы»
добавить адрес = 45.90.28.225 comment = NextDNS list = «DNS-серверы»
добавить адрес = 45.90.30.225 comment = NextDNS list = «DNS-серверы»
добавить адрес = 948953.dns.nextdns.io comment = NextDNS list = «DNS-серверы»
добавить адрес = 188.94.192.215 комментарий = список FlastStart = «DNS-серверы»
добавить адрес = 45.76.84.187 комментарий = список FlastStart = «DNS-серверы»

/ ip firewall filter

add action = jump chain = input comment = «Перейти к цепочке DNS_INPUT» dst-port = 53 jump-target = DNS_INPUT log = yes protocol = udp
add action = accept chain = DNS_INPUT comment = ”Сделать исключения для запросов DNS в локальной сети »порт = 53 протокол = udp src-address-list =« Адреса локальной сети (RFC1918) »
добавить действие = add-src-to-address-list список-адресов = DNS_DDoS список-адресов-тайм-аут = none- динамическая цепочка = DNS_INPUT comment = «Добавить другие запросы DNS в список нарушителей DNS_DDoS» port = 53 protocol = udp \
src-address-list = »! Адреса LAN (RFC1918)»
add action = drop chain = DNS_INPUT comment = »Drop Трафик, полученный от нарушителей DNS_DDoS »src-address-list = DNS_DDoS
add action = return chain = DNS_INPUT comment =« Возврат из цепочки DNS_INPUT »
add action = jump chain = output comment =« Перейти к цепочке DNS_OUTPUT »dst-port = 53 jump-target = DNS_OUTPUT protocol = udp
add action = accept chain = DNS_OUTPUT comment = «Сделать исключения для трафика на DNS-серверы» dst-address-list = «DNS-серверы» dst-por t = 53 protocol = udp
add action = drop chain = DNS_OUTPUT comment = «Отбросить весь остальной исходящий связанный DNS-трафик» dst-port = 53 protocol = udp
add action = return chain = DNS_OUTPUT comment = «Возврат из цепочки DNS_OUTPUT»
add action = jump chain = forward comment = «Перейти к цепочке DNS_FORWARD» jump-target = DNS_FORWARD
add action = accept chain = DNS_FORWARD comment = «Сделать исключения для трафика с DNS-серверов, идущего в локальную сеть» dst-address-list = «Адреса LAN (RFC1918)» порт = 53 протокол = udp src-address-list = \
«DNS-серверы»
add action = accept chain = DNS_FORWARD comment = «Сделать исключения для трафика из локальной сети, идущего на DNS-серверы» dst -address-list = «DNS-серверы» порт = 53 протокол = udp src-address-list = \
«Адреса LAN (RFC1918)»
добавить действие = drop chain = DNS_FORWARD comment = «Отбросить весь другой DNS-трафик» порт = 53 protocol = udp
add action = drop chain = forward comment = «Отбросить трафик к DNS-нарушителям DNS_DDoS» dst-address-list = DNS_DDoS

/

Нравится:

Нравится Загрузка. ..

Связанные

Межсетевые экраны и пакеты L3 и L7 — Tikdis

Цепи

У вашего маршрутизатора MikroTik есть 3 основные цепочки для правил: вход, выход и пересылка.

Пакеты с IP-адресом назначения на маршрутизаторе (список см. В / ip-адреса ) будут проверяться с помощью входной цепочки, поэтому для самого маршрутизатора или если у вас есть локальные устройства, где общедоступные IP-адреса перенаправляются на IP-адрес с NAT. , вам нужно использовать входную цепочку.

Выходная цепочка предназначена для пакетов с исходным IP-адресом на маршрутизаторе, то есть все пакеты, исходящие от маршрутизатора, будут проверяться с помощью выходной цепочки. Если вы используете маршрутизатор в качестве DNS-сервера для своей локальной сети, его DNS-запросы будут использовать выходную цепочку.

Прямая цепочка предназначена для всех пакетов, проходящих через маршрутизатор, которые пересылаются на общедоступный IP-адрес внутри или за пределами маршрутизатора. Таким образом, в серверной среде вы чаще всего используете прямую цепочку.В очень простой серверной среде в прямой цепочке вы захотите принять порты типа 80 + 443 (веб) для всех, принять 22 + 3389 (ssh / rdp) для себя и отбросить остальные пакеты.

Маршрутизатор MikroTik обрабатывает правила сверху вниз и прекращает обработку других правил, когда находит правило, которое является истинным для пакета. Если он не соответствует ни одному из истинных правил, пакет принят, поэтому вы должны завершить список правилом отбрасывания с in-interface , установленным для вашего интернет-интерфейса.Если вы забудете в интерфейсе , правило отбрасывания повлияет на все входящие и исходящие пакеты и, вероятно, остановит работу многих вещей на ваших клиентах, поскольку вы в первую очередь хотите отбросить входящий трафик извне.

Действия

В основном вы будете использовать два действия. Вы либо принимаете пакетов, либо отбрасываете пакетов. Accept прекратит обработку любых правил и пропустит пакет. Drop также прекратит обработку любых других правил и удалит (отбросит) пакет, не давая отправителю знать, что пакет отброшен.Вы также можете отклонить пакет , то есть удалить пакет и сообщить отправителю, что вы его удалили, но тем самым вы действительно помогаете любому злонамеренному отправителю, сообщая ему, что здесь есть устройство. Так что обычно не рекомендуется отклонять , просто отбрасывать его.

Подключения: Новые или установленные / связанные?

В вашем брандмауэре — особенно на основном устройстве, таком как маршрутизатор — вам необходимо минимизировать количество проверок, поскольку каждая проверка требует драгоценной мощности процессора.Поэтому маршрутизаторы используют отслеживание соединения для проверки состояния соединения. Для всех новых подключений нам нужно проверить все наши правила, чтобы узнать, должно ли соединение проходить. Но для всех последующих пакетов в одном и том же соединении нам не нужно их проверять, поскольку соединение уже было проверено, поэтому для всех уже установленных соединений (или связанных, например, FTP-соединение, открывающее другой порт данных), мы хочу принять все пакеты.

Поэтому обычно разумно начинать правила брандмауэра с правила приема / пересылки для всех состояний соединения = установлено / связано.Поскольку MikroTik прекращает обработку правил ниже по списку, всякий раз, когда правило оказывается истинным, вы можете обойти все последующие правила и минимизировать использование ЦП для всех установленных / связанных пакетов, поместив это правило в начало списка брандмауэра.

Если ваш маршрутизатор защищает серверы, установленное / связанное правило должно быть цепочкой = пересылка. Если он находится перед вашим офисом или домом, он должен быть цепочкой = ввод. Если за вашим маршрутизатором есть как клиенты с локальными IP-адресами, так и серверы с общедоступными IP-адресами, вам понадобятся два правила, одно для обеих цепочек.

Адресация

Для серверов внутри вашей сети вы обычно будете принимать соединения в зависимости от их адресов назначения, портов назначения или комбинаций. Или вы можете использовать списки адресов назначения, чтобы проверить список различных IP-адресов, созданных в списке адресов брандмауэра / ip .

Прыгающие цепи

Чтобы уменьшить количество правил, проверяемых для каждого соединения, вы можете сэкономить много проверок, переходя к различным цепям. Это означает Перейти к , если вы когда-либо программировали Basic.Если вам нужно, чтобы принял различных протоколов для определенного сервера, все соединения должны быть проверены с каждым правилом. Но если вместо этого вы начнете с , перескакивая с на свою собственную цепочку , в зависимости от IP-адреса сервера, вы сократите проверку только до одной проверки для всех других подключений, кроме подключений к конкретному серверу.

Если вы введете собственное имя цепочки (вместо ввода / вывода / пересылки) при создании нового правила фильтрации, будет создана новая цепочка. Для следующего создаваемого вами правила фильтрации вы увидите эту новую цепочку в списке цепочек.

Документ с комментариями

Правила брандмауэра быстро становятся сложными, и вам будет трудно вспомнить их причину. В Winbox используйте сочетание клавиш Ctrl + M, чтобы добавить комментарии к каждому правилу, которое вы создаете, чтобы позже вы могли вспомнить, почему существует это конкретное правило.

Отладка

Если вам сложно понять части вашего брандмауэра, вы можете добавить дополнительные правила приема / удаления, чтобы увидеть, перехватывают ли они трафик. Любое добавленное правило фильтра будет содержать счетчик, показывающий весь сопоставленный трафик, поэтому добавление дополнительных временных правил может помочь вам отладить и понять ваш брандмауэр.

Fasttrack

Для еще большей скорости вы можете позволить пакетам пропускать части внутренних систем маршрутизатора. Вы делаете это, добавляя правила фильтрации fasttrack и правила изменения. Он может обеспечить нужную вам скорость, но помните, что для получения скорости это также означает, что эти пакеты пропускают часто важные части маршрутизатора (например, брандмауэр), поэтому используйте fasttrack с осторожностью. Узнайте больше о Fasttrack.

Соединения и протоколы

Два основных используемых протокола — UDP и TCP.

UDP-пакет только что отправлен, а ответа нет — поэтому нет соединения для UDP, это просто пакет, который может или не может быть получен адресатом, отправитель не узнает.

TCP работает, открывая соединения. Часто вы используете имя хоста, например tikdis.com, поэтому сначала DNS-сервер проверяется, чтобы получить IP. С IP можно открыть TCP / IP-соединение.

Сначала отправитель запускает трехэтапное рукопожатие, отправляя пакет SYN (синхронизация).Затем сервер tikdis.com отвечает пакетом SYN-ACK (подтверждение синхронизации), чтобы подтвердить получение пакета SYN. И, наконец, отправитель отправляет ACK серверу, чтобы подтвердить, что соединение установлено . Пока соединение не установлено , маршрутизатор считает соединение новым , поэтому для установления соединения необходимо 3 пакета. Если пользователь смотрит фильм размером 2 ГиБ, серверу необходимо отправить примерно 1,5 миллиона пакетов для доставки полного фильма. Таким образом, используя установленных правил , вы можете значительно сэкономить вычислительную мощность маршрутизатора. Или, создав межсетевые экраны без надлежащих правил и , вы можете быстро перегрузить любой маршрутизатор.

Правильное завершение соединения означает выполнение 4-стороннего рукопожатия с использованием FIN и ACK. Маршрутизатор MikroTik закроет (tcp-close-wait-timeout) соединение, если нет ответа в течение 10 секунд. Это намного быстрее, чем значение по умолчанию для Linux, которое составляет 60 секунд — здесь есть сравнение.

Недопустимое состояние соединения

Маршрутизатор MikroTik считает соединение недействительным, если он не получил правильного трехстороннего подтверждения. Таким образом, в большинстве ситуаций вы можете и должны сбросить недопустимых соединений, поскольку они, вероятно, являются попыткой проникновения в вашу сеть. Однако есть несколько ситуаций, когда недействительные соединения действительно действительны.

Если вы используете BGP или OSPF, ваш интернет-трафик может входить на один маршрутизатор и выходить на другом маршрутизаторе, если BGP определил, что это кратчайший путь.Это будет означать, что часть 3-стороннего рукопожатия выполняется на одном маршрутизаторе, а другая часть — на другом маршрутизаторе. Это нормально и полностью приемлемо, но это также означает, что оба маршрутизатора MikroTik переведут соединение в состояние соединения = недействительно. Удаление недопустимых пакетов в этой ситуации создаст странные сценарии, которые будет очень сложно отладить. Так что будьте осторожны, отбрасывая недействительные пакеты, если вы используете BGP или OSPF.

Остановить взлом всей сети методом перебора

Большинство администраторов знают, что вам следует открывать только те порты, которые вам нужны, и отбрасывать все остальные пакеты.Но часто есть веб-приложения, которые вы должны оставить открытыми для публики, даже если вы бы предпочли заблокировать их с помощью IP / VPN. В среде хостинга это могут быть phpMyAdmin и WordPress.

Настройка защиты от перебора на маршрутизаторе значительно повысит вашу безопасность. И это может уменьшить огромный объем трафика, который может потреблять ресурсы ЦП на ваших веб-серверах / серверах баз данных, когда выполняются попытки грубой силы. Вот несколько примеров запрета пользователя, пытающегося подобрать маршрутизатор:

Черный список и запрет IP на 3 часа после 10 неправильных входов в систему по FTP в минуту на маршрутизаторе

В этом примере мы проверяем содержимое пакета в поисках текст 530 Неправильный логин , мы знаем, что наш FTP-сервер отвечает, если логин не удался.Для этого требуется, чтобы соединение не было зашифровано и мы знали ответ нашего сервера.

/ ip фильтр межсетевого экрана
добавить цепочку = входной протокол = tcp dst-port = 21 src-address-list = ftp_blacklist action = drop \
comment = «drop ftp brute forcers»

добавить цепочку = выход действие = принять протокол = tcp content = «530 Неправильный вход в систему» dst-limit = 1 / 1m, 9, dst-address / 1m

add chain = output action = add-dst-to-address-list protocol = tcp content = «530 Неверный вход в систему» \
address-list = ftp_blacklist address-list-timeout = 3h

/ ip firewall filter

add chain = input protocol = tcp dst-port = 21 src-address-list = ftp_blacklist action = drop \

comment = «drop ftp brute forcers»

add chain = output action = accept protocol = tcp content = «530 Ошибка входа в систему» dst-limit = 1 / 1m, 9, dst-address / 1m

add chain = output action = add-dst-to-address-list protocol = tcp content = «530 Неправильный вход в систему» \

address-list = ftp_blacklist address-list-timeout = 3h

Черный список и запретить IP на 1 день после 3 неверных входа по SSH за 3 минуты на маршрутизаторе

В этом примере защищена служба ssh на маршрутизаторе. Он работает путем добавления ip в список, если соединение не установлено, потому что, если проходящий пакет не смог установить соединение, попытка входа в систему должна быть неудачной. Это повторяется 3 раза, добавляя IP в новый список, чтобы установить запрет IP после 3 попыток входа в систему.

/ ip фильтр межсетевого экрана

# Если IP находится в списке адресов ssh_blacklist, отбросить пакет
добавить цепочку = входной протокол = tcp dst-port = 22 src-address-list = ssh_blacklist action = drop \
comment = «drop ssh brute forcers» отключен = нет

# Если IP-адрес ssh_stage3 и состояние новое, добавьте IP-адрес в список адресов: ssh_blacklist
добавить цепочку = входной протокол = tcp dst-port = 22 состояние соединения = новое \
src-список-адресов = ssh_stage3 действие = добавить-src-в-список-адресов список-адресов = ssh_blacklist \
адрес-список-тайм-аут = 1д комментарий = «» отключен = нет

# Если IP-адрес ssh_stage2 и состояние новое, добавьте IP-адрес в список адресов: ssh_stage3
добавить цепочку = входной протокол = tcp dst-port = 22 состояние соединения = новое \
src-address-list = ssh_stage2 действие = добавить-src-to-address-list список-адресов = ssh_stage3 \
адрес-список-тайм-аут = 1 мин. комментарий = «» отключен = нет

# Если IP-адрес ssh_stage1 и состояние новое, добавьте IP в список адресов: ssh_stage2
добавить цепочку = входной протокол = tcp dst-port = 22 connection-state = new src-address-list = ssh_stage1 \
действие = add-src-to-address-list список-адресов = ssh_stage2 address-list-timeout = 1m comment = «» отключено = нет

# Добавить IP в список адресов: ssh_stage1
add chain = input protocol = tcp dst-port = 22 connection-state = новое действие = add-src-to-address-list \
список-адресов = ssh_stage1 список-адресов-тайм-аут = 1 мин. комментарий = «» отключено = нет
# Также запретите IP для SSH на всех наших серверах за маршрутизатором (цепочка = forward)
добавить цепочку = протокол пересылки = tcp dst-port = 22 src-address-list = ssh_blacklist action = drop \
comment = «drop ssh brute downstream» отключен = нет

1

2

3

4

5

6

7

8

9

11

13

14

15

16

17

18

19

20

21

22

23

24

ip

4 25 26

фильтр 9002 9002 25

# Если IP находится в списке адресов ssh_blacklist, отбросьте пакет

add chain = input protocol = tcp dst-port = 22 src-address-list = ssh_blacklist action = drop \

comment = «drop ssh brute forcers «disabled = no

# Если IP-адрес ssh_stage3 и состояние новое, тогда добавьте IP в список адресов: ssh_blacklist

add chain = input protocol = tcp dst-port = 22 connection-state = new \

src- список-адресов = ssh_stage3 a ction = add-src-to-address-list список-адресов = ssh_blacklist \

address-list-timeout = 1d comment = «» disabled = no

# Если IP-адрес ssh_stage2 и состояние новое, добавьте IP в список адресов: ssh_stage3

add chain = input protocol = tcp dst-port = 22 connection-state = new \

src-address-list = ssh_stage2 action = add-src-to-address-list address-list = ssh_stage3 \

address-list-timeout = 1m comment = «» disabled = no

# Если IP-адрес ssh_stage1 и состояние новое, добавьте IP-адрес в список адресов: ssh_stage2

add chain = input protocol = tcp dst- порт = 22 состояние-соединения = новый src-список-адресов = ssh_stage1 \

действие = добавить-src-в-список-адресов список-адресов = ssh_stage2 список-адресов-тайм-аут = 1м комментарий = «» отключено = нет

# Добавить IP в список адресов: ssh_stage1

add chain = input protocol = tcp dst-port = 22 connection-state = new action = add-src-to-address-list \

address-list = ssh_stage1 address-list-timeout = 1m comment = «» disabled = no

# Также запретите IP для SSH на всех наших серверах за маршрутизатором (цепочка = forward)

add chain = forward protocol = tcp dst-port = 22 src -address-list = ssh_blacklist action = drop \

comment = «drop ssh brute downstream» отключен = нет

Черный список и запрет IP на 3 часа после 3 неправильных входов SSH / RDP за 3 минуты в сети сервера

Это то же самое, что и в примере выше, но сейчас мы проверяем SSH и RDP (удаленная / терминальная служба Microsoft) на предмет попыток грубой силы для серверов в нашей сети. Вы можете добавить дополнительные порты, чтобы защитить больше сервисов в вашей сети методом перебора.

/ ip фильтр межсетевого экрана

# Всегда разрешайте доступ вашим локальным IP-адресам (не баньте себя)
добавить цепочку = пересылать dst-порт = 22,3389 src-адрес = 192.168.0.0 / 24 действие = принять
добавить цепочку = протокол пересылки = tcp dst-port = 22,3389 src-address-list = ssh_blacklist action = drop \
comment = «drop ssh brute forcers» отключен = нет

добавить цепочку = протокол пересылки = tcp dst-port = 22,3389 состояние соединения = новое \
src-address-list = brute_stage3 action = add-src-to-address-list список-адресов = ssh_blacklist \
адрес-список-тайм-аут = 1д комментарий = «» отключен = нет

добавить цепочку = протокол пересылки = tcp dst-port = 22,3389 состояние соединения = новое \
src-список-адресов = brute_stage2 действие = добавить-src-в-список-адресов список-адресов = brute_stage3 \
адрес-список-тайм-аут = 1 мин. комментарий = «» отключен = нет

добавить цепочку = протокол пересылки = tcp dst-port = 22,3389 состояние-соединения = новый список-адресов src = brute_stage1 \
action = add-src-to-address-list список-адресов = brute_stage2 address-list-timeout = 1m comment = «» отключено = нет

добавить цепочку = протокол пересылки = tcp dst-port = 22,3389 состояние-соединения = новое действие = добавить-src-to-address-list \
список-адресов = brute_stage1 тайм-аут списка-адресов = 1 мин комментарий = «» отключен = нет

1

2

3

4

5

6

7

8

10

11

12

13

14

15

16

17

18

19

20

/ ip local firewall filter

s доступ (не банить себя)

добавить цепочку = пересылать dst-port = 22,3389 src-address = 192. 168.0.0 / 24 action = accept

add chain = forward protocol = tcp dst-port = 22,3389 src-address-list = ssh_blacklist action = drop \

comment = «drop ssh brute forcers» отключен = no

добавить цепочку = протокол пересылки = tcp dst-port = 22,3389 состояние соединения = новое \

src-address-list = brute_stage3 действие = добавить-src-to-address-list список-адресов = ssh_blacklist \

address-list-timeout = 1d comment = «» disabled = no

add chain = forward protocol = tcp dst-port = 22,3389 connection-state = new \

src-address-list = brute_stage2 action = add -src-to-address-list список-адресов = brute_stage3 \

тайм-аут списка-адресов = 1 м комментарий = «» отключен = нет

добавить цепочку = протокол пересылки = tcp dst-port = 22,3389 соединение- state = new src-address-list = brute_stage1 \

action = add-src-to-address-list список-адресов = brute_stage2 address-list-timeout = 1m comment = «» disabled = no

добавить цепочку = вперед ard protocol = tcp dst-port = 22,3389 состояние-соединения = новое действие = add-src-to-address-list \

список-адресов = brute_stage1 список-адресов-тайм-аут = 1 мин. комментарий = «» отключено = нет

Устройство межсетевого экрана

Устройство MikroTik RouterOS может использоваться как устройство межсетевого экрана, как виртуальное устройство межсетевого экрана CHR, так и аппаратное устройство.. * (хост | HOST). + (youtube). * \\\ $ «

# Отметить соединение и пакеты
/ ip firewall mangle
add action = mark-connection chain = протокол предварительной маршрутизации = udp dst-port = 53 \
метка подключения = без метки, уровень7-протокол = YouTube \
new-connection-mark = youtube_conn \
comment = youtube passthrough = да

добавить действие = mark_packet chain = prerouting connection-mark = youtube_conn \
new-packet-mark = youtube_packet

# Отметить соединение и пакеты

/ ip firewall mangle

add action = mark-connection chain = prerouting protocol = udp dst-port = 53 \

connection-mark = no-mark layer7-protocol = youtube \

new-connection-mark = youtube_conn \

comment = youtube passthrough = yes

add action = mark_packet chain = prerouting connection-mark = youtube_conn \

new-packet -mark = youtube_packet

# Отбрасываем пакеты, если они отмечены
/ ip фильтр межсетевого экрана
добавить действие = drop chain = forward packet-mark = youtube_packet
add action = drop chain = input packet-mark = youtube_packet

# отбрасывать пакеты, если они отмечены

/ ip firewall filter

add action = drop chain = forward packet-mark = youtube_packet

add action = drop chain = input packet-mark = youtube_packet

# Помните, что уровень 7 блокирует только незашифрованный http-трафик!
/ ip межсетевой экран Layer7-протокол
# Блокировка / admin /
добавить name = «http admin1» regexp = «^ GET \\ / admin /»
# Блокировка / admin / по протоколу
добавить name = «http admin2» regexp = «^ GET \\ / admin / [^ \\] * \\ HTTP / 1 \\. \\] * \\ HTTP / 1 \\. (0 | 1) «

/ ip firewall filter

add action = reject chain = forward dst-port = 80 layer7-protocol =» http admin1 «protocol = tcp reject-with = tcp-reset

Links

Другой способ:

/ ip firewall mangle add action = mark-packet chain = prerouting comment = youtube disabled = no \ in-interface = eth2 layer7-protocol = youtube new-packet-mark = youtube \ passthrough = yes

Блокировать AnyDesk в вашей сети и порты AnyDesk

AnyDesk — это решение для удаленного рабочего стола, которое стало очень популярным за последние два года.По популярности он обгоняет TeamViewer, потому что AnyDesk в настоящее время намного щедрее в отношении того, сколько активности они позволяют в бесплатной версии. Однако не всегда желательно, чтобы в вашей сети работало программное обеспечение удаленного доступа, такое как AnyDesk. В этой статье объясняется ряд мер, чтобы заблокировать AnyDesk от подключения к большому миру.

Порты, используемые AnyDesk

Как и большинство современных приложений удаленного доступа, AnyDesk подключается к портам TCP 80 , TCP 443 , а также к одному уникальному порту — TCP 6568 .

Внутренне он использует порты UDP 50001-50003 для многоадресной рассылки, чтобы обеспечить обнаружение в вашей локальной сети.

Никаких специальных правил исходящего трафика или переадресации портов не требуется, чтобы AnyDesk работал — до тех пор, пока ваш сетевой администратор не выполнил приведенные ниже инструкции, чтобы усложнить жизнь AnyDesk.

Как заблокировать AnyDesk в вашей сети

Если вы хотите заблокировать AnyDesk в своей сети, вы можете принять следующие меры:

  1. Создайте правил локального брандмауэра с помощью брандмауэра Windows, чтобы заблокировать исходящие соединения от AnyDesk.exe
  2. Блокировать разрешение записей DNS в домене anydesk. com . Если у вас есть собственный DNS-сервер (например, сервер Active Directory), это просто:
    1. Откройте консоль управления DNS
    2. Создайте запись верхнего уровня для « anydesk». com ‘
    3. Больше ничего не делать. Указав эту запись в никуда, вы прекратите подключения к этому домену и всем его поддоменам
  3. Блок anydesk. com в PiHole — это еще один способ использования блокировки DNS для предотвращения подключения AnyDesk через вашу сеть
  4. Убедитесь, что единственные DNS-соединения, разрешенные в вашей сети, относятся к вашим собственным внутренним DNS-серверам (которые содержат указанные выше фиктивная запись). Это исключает возможность проверки клиентом AnyDesk записей DNS на своих серверах, а не на ваших. Для этого добавьте новое правило исходящего брандмауэра, чтобы запретить TCP и UDP-порт 53 для всех исходных IP-адресов, ЗА ИСКЛЮЧЕНИЕМ адресов ваших собственных DNS-серверов.
  5. Вы можете использовать групповую политику , чтобы запретить запуск AnyDesk.exe . Для этого создайте новую политику ограниченного использования программ с правилом хеширования для AnyDesk.exe .
  6. Если у вас есть брандмауэр с Deep Packet Exception , вы можете включить встроенные правила для блокировки AnyDesk. Эти брандмауэры часто выпускают новые обновления определений по мере изменения ситуации, поэтому большая часть тяжелой работы ложится на вас.
  7. Заблокировать исходящий TCP-порт 6568 .Для этого вы можете создать правило DENY в вашем брандмауэре.

AnyDesk не имеет фиксированных IP-адресов — они просто используют IP-адреса от облачных провайдеров и не публикуют список, поэтому блокировка IP-адресов будет игрой в кроты. Однако эти семь шагов должны позволить вам успешно заблокировать AnyDesk от подключения к Интернету.

Маршрутизаторы

Mikrotik — базовая конфигурация | VoiceHost

Базовая настройка {ключевые настройки производительности и безопасности}

» rel=»tooltip»> PPPOE настройка:

В разделе Интернет измените получение адреса на PPPoe и введите имя пользователя и пароль PPPoe.Затем нажмите «Повторное подключение», и он должен показать вам IP-адрес для подключения.

Настройка локальной сети:

Введите желаемый локальный IP-адрес и требуемый диапазон DHCP , убедитесь, что вы выбрали One network is designated the inside network and the other is the outside.» rel=»tooltip»> NAT , иначе он не будет маршрутизировать на локальные IP-адреса.

Безопасность

Пароль: установите пароль для маршрутизатора на выбранный пароль

Установите для безопасности WIFI значение WPA2 с отмеченными флажками aes ccm и tkip, а затем введите пароль Wi-Fi.

Наконец, нажмите «Проверить обновления» внизу, чтобы обновить прошивку » rel=»tooltip»> .

ОТКРЫТЬ DNS RESOLVER

Перейти к IP / Firewall / Правилам фильтров

add chain = input action = drop protocol =  tcp  in-interface = pppoe-out1 dst-port = 53
 add chain = input action = drop protocol =   Like the Transmission Control Protocol, UDP uses the Internet Protocol to actually get a data unit (called a datagram) from one computer to another." rel="tooltip"> udp  in-interface = pppoe-out1 dst-port = 53 

Ограничить удаленный доступ

В IP / services / www в доступном из введите ниже

xxx.xxx.xxx.xxx/32 Это любой внешний IP-адрес, с которого вы хотите иметь доступ к маршрутизатору.

Диапазон IP-адресов DHCP: xxx.xxx.xxx.xxx/24

Убедитесь, что вы нажали «Применить конфигурацию» внизу!

Как перенаправить порты
  1. Войдите в веб-интерфейс Microtik
  2. Перейдите к IP-адресу -> Межсетевой экран
  3. Щелкните вкладку One network is designated the inside network and the other is the outside.» rel=»tooltip»> NAT
  4. Установите для цепочки dstnat
  5. Введите общий IP-адрес маршрутизатора адрес в Dst.Адрес
  6. Установите для протокола соответствующую настройку
  7. Установите Dst. Порт на требуемый порт
  8. Установить действие на dst-nat
  9. Введите требуемый внутренний IP-адрес в поле To Addresses
  10. Установите To Ports как требуемый порт (порты)
  11. Нажмите OK

Остановка открытия DNS

Сервер DNS не работает по умолчанию, но может быть настроен с помощью / ip dns (или меню графического интерфейса «IP / DNS»), в этом случае маршрутизатор This creates an overlay internetwork, as a router is connected to two or more data lines from different networks.» rel=»tooltip»> будет действовать как открытый преобразователь DNS.

Правило фильтра брандмауэра может предотвратить входящий трафик DNS на интерфейсе WAN:

 / ip фильтр межсетевого экрана
 add chain = input action = drop protocol =  tcp  in-interface =  " rel="tooltip"> pppoe  -out1 dst-port = 53
 add chain = input action = drop protocol =  udp  in-interface = pppoe-out1 dst-port = 53
 

(замените ppoe-out1 на имя внешнего интерфейса, полученное из / interface print ).


Отключение SIP ALG

Вы также можете настроить это в графическом интерфейсе в разделе «IP / Firewall / Filter Rules»

Mikrotik SIP ALG называется SIP Helper и находится в / IP> Firewall> Service ports

Чтобы отключить , запустите эту команду из терминала:

/ ip firewall service-port disable sip

Или из winbox просто перейдите к IP> Firewall, затем щелкните вкладку Service Ports и отключите его через графический интерфейс.

Рецепты конфигурации pfSense — Блокировка DNS-запросов внешнего клиента

Эта процедура настраивает брандмауэр для блокировки DNS-запросов к серверам за пределами
локальная сеть. При отсутствии других доступных DNS-серверов клиенты вынуждены
отправлять DNS-запросы в DNS Resolver или DNS Forwarder в программном обеспечении pfSense® для
разрешающая способность.

Примечание

Блокировка эффективна, но плохо справляется с ситуацией.
Клиенты должны вручную настроить свою конфигурацию, чтобы использовать брандмауэр для DNS.Перенаправление DNS-запросов на брандмауэр — более простое решение. Видеть
Перенаправление клиентских DNS-запросов для получения подробной информации.

  • Перейдите к Брандмауэр> Правила , Вкладка LAN

  • Создайте правило блокировки как первое правило в списке:

  • Создайте правило передачи, чтобы разрешить DNS к брандмауэру, над правилом блокировки:

  • Нажмите Применить изменения , чтобы перезагрузить набор правил

По завершении будут две записи правил, которые выглядят следующим образом
картина:

Некоторым локальным ПК можно разрешить использовать другие DNS-серверы, поместив
правило передачи для них выше правила блокировки.

DNS через TLS

Другая проблема заключается в том, что клиенты могут использовать DNS через TLS для разрешения узлов. DNS
через TLS отправляет DNS-запросы по зашифрованному каналу на альтернативный порт,
853 .

Этот трафик можно заблокировать правилом брандмауэра для порта 853 , используя тот же
процедура, используемая для 53 . Хотя, если брандмауэр не будет предоставлять DNS через
Служба TLS для клиентов, не добавляйте правило передачи.

DNS через HTTPS

Подобно DNS через TLS, клиенты также могут использовать DNS через HTTPS (DoH).Это
сложнее заблокировать, поскольку он использует порт 443 . Блокировка порта 443 на общем
могут помочь общедоступные DNS-серверы (например, 1.1.1.1 , 8.8.8.8 ).

Некоторые браузеры автоматически пытаются использовать DNS через HTTPS, потому что считают, что
это должно быть более безопасно и лучше для конфиденциальности, хотя это не всегда так.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *