█ 30.05.2018 18:56
Цитата:
Не очень понял, а что я буду в Mangle делать с внешними обращениями (drop в action не нашёл OlegON ➤ А, я визуально только оцениваю, правило надо не в Filter пихать, а в Mangle, prerouting.
) █ 30.05.2018 20:15
У меня в голове каша из микротика и iptables сейчас, а консоли под рукой нет, я завтра до микротика доберусь и сделаю. На пальцах вспомнить не могу, но банил как-то без проблем.
█ 30.05.2018 20:26
Цитата:
Не торопись. OlegON ➤ У меня в голове каша из микротика и iptables сейчас, а консоли под рукой нет, я завтра до микротика доберусь и сделаю. На пальцах вспомнить не могу, но банил как-то без проблем.
Локально проблема решена.
Более правильное решение - хорошо, но - не горит совсем.
█ 31.05.2018 07:13
Перечитал, а зачем ты != ставил?
там играет значение порядок правил
одно должно быть в Input, чтобы защитить сам микротик, второе в forward, чтобы перекрыть проходящие пакеты, но у тебя они только из
NAT? Первым правилом надо в NAT что-то делать, например, дропать. Я сделать-то сделаю, мне только тестировать негде, у меня микротик во внутренней сети.
Сейчас пока ещё с телефона.
там играет значение порядок правил
одно должно быть в Input, чтобы защитить сам микротик, второе в forward, чтобы перекрыть проходящие пакеты, но у тебя они только из
NAT? Первым правилом надо в NAT что-то делать, например, дропать. Я сделать-то сделаю, мне только тестировать негде, у меня микротик во внутренней сети.
Сейчас пока ещё с телефона.
█ 31.05.2018 10:32
Цитата:
На мой взгляд - логично. OlegON ➤ Перечитал, а зачем ты != ставил?
Переправляем запросы от всех, кроме тех, что в чёрном листе
Цитата:
Это я понял, когда мои правила не заработали OlegON ➤ там играет значение порядок правил
Цитата:
Повторюсь - пока какого-то результата достиг. OlegON ➤ одно должно быть в Input, чтобы защитить сам микротик, второе в forward, чтобы перекрыть проходящие пакеты, но у тебя они только из
NAT? Первым правилом надо в NAT что-то делать, например, дропать. Я сделать-то сделаю, мне только тестировать негде, у меня микротик во внутренней сети.
Сейчас пока ещё с телефона.
NAT? Первым правилом надо в NAT что-то делать, например, дропать. Я сделать-то сделаю, мне только тестировать негде, у меня микротик во внутренней сети.
Сейчас пока ещё с телефона.
Более "глобальные эксперименты" приходится делать осторожно, и в ночное время. А если я сдуру сам себя "зарежу" - придётся вскакивать ни свет ни заря и бежать на работу (что бы изнутри смочь всё исправить).
█ 31.05.2018 11:45
Цитата:
Еще раз повторюсь, Микротики достаточно слабы процами, поэтому бездумно набивать их правилами нельзя. Особенно очереди жрут проц. KirillHome ➤ На мой взгляд - логично.
Соответственно, сверка каждого пакета со списком - достаточно ресурсоемкая операция. А у тебя она повторяется в каждом правиле проброса. Если у тебя за NAT какой-нибудь FTP, то можно как следует просадить процессор, особенно, когда подрастет список и канал расширится.
В общем, сделал, для начала сделал себе фиктивный NAT с порта 6789 на 8080, который у меня был среди открытых
Код:
/ip firewall nat add action=dst-nat chain=dstnat dst-address=192.168.10.1 dst-port=6789 protocol=tcp to-addresses=192.168.10.70 to-ports=8080
Цитата:
работает telnet 192.168.10.1 6789
Trying 192.168.10.1...
Connected to 192.168.10.1.
Escape character is '^]'.
GET
HTTP/1.1 400 Bad Request
Content-Type: text/html
Connection: close
Date: Thu, 31 May 2018 08:20:23 GMT
Content-Length: 94
<HTML><HEAD>
<TITLE>400 Bad Request</TITLE>
</HEAD><BODY>
<H1>Bad Request</H1>
</BODY></HTML>
Connection closed by foreign host.
Trying 192.168.10.1...
Connected to 192.168.10.1.
Escape character is '^]'.
GET
HTTP/1.1 400 Bad Request
Content-Type: text/html
Connection: close
Date: Thu, 31 May 2018 08:20:23 GMT
Content-Length: 94
<HTML><HEAD>
<TITLE>400 Bad Request</TITLE>
</HEAD><BODY>
<H1>Bad Request</H1>
</BODY></HTML>
Connection closed by foreign host.
Добавил 10.10.0.2 в список, на случай случайной блокировки поставил таймаут в сутки (через сутки адрес из этого списка уберется)
Код:
/ip firewall address-list add address=10.10.0.2 list=garbage timeout=1d
Код:
/ip firewall filter add action=drop chain=forward src-address-list=garbage
Код:
/ip firewall filter print ... ... 10 chain=forward action=drop protocol=tcp src-address-list=garbage
Код:
move 10 0
В качестве варианта, опять же, при большом трафике, добавил бы в блокировщик условие с интерфейсом, еще и только connection-state=new, может... Правило INPUT можно добавить, если закрывать сам Mikrotik. У меня по умолчанию на все INPUT закрыт, открыто только то, что нужно.
█ 31.05.2018 11:59
У меня не хватило смелости (разума?) на последний шаг
Спасибо!
Цитата:
Попробую.Спасибо!
Часовой пояс GMT +3, время: 23:38.
Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.