Tento web používá soubory cookie. Dalším používáním webu s tímto souhlasíte.
jméno
heslo
přihlásit
zaregistrujte se
zapomněli jste heslo?
Mikrotik, Alix a jina mala reseni...
SHORTY

OS

imedialinux.com
Voyage Linux
RouterOS/

Platformy

PC Engines
Mikrotik

Prislusenstvi

...

Reseni

router, prehravac, ap, monitorovatko, filestorage
Máte k tomu co říct? Vložte se do diskuze.
NETWORK --- 11:50:53 29.3.2012
IRO: Mno ja ted stavel jeden P2P spoj prave taky na 711kach a jedna strana OK, druha se uz jednou kousla a 2x samovolne rebootla - je napajena z 1 silneho zdroje a ostatni RB v te lokalite jedou OK, tudiz to vidim taky na reklamaci... Pekne me s tim zacinaji srat, kluci z Lotysska....
IRO --- 8:29:34 29.3.2012
zdravím lidi, mám celkem banální problém s RB 711UA-5HnD. ztrácí se z ničeho nic IP adresa. když se mi to stalo poprvé, tak se mi jí podařilo resetnout do defaultu na 192.168.88.1. po změně na požadovanou se na ní zas nešlo připojit a nešlo se připojit samozřejmě ani na defaultní adresu. teď už to nejde ani resetovat, což je taky divné. celkem se mi podařilo dostat do původního nastavení 3x a změnit adresu na požadovanou, pak ovšem vždy "zmizla". mám ty karty dvě a ta druhá maká v pohodě. je to na reklamaci nebo nevíte, co bych případně mohl ještě zkusit? nemáte někdo s těmi RB podobné zkušenosti? díky
RAINBOF --- 19:28:29 16.3.2012
dostal se mi do tlap po hodně letech mikrotik 750 a samozřejmě po tý době tak zvládnu maximálně vyrobit ty segmenty.

potřeboval bych na něm "rozpustit" switch (mam pocit ze to nejde) a zavést na něm 3 segmenty z toho dva na dhcp a priorizaci těch portů vůči internetu. Zbavim se tím odporně starýho PC na půdě. kterýmu navíc nejde grafika :)

moje představa:

port1 - WAN1
port2 - Wan2
port3 - 192.168.1.0/24 (dhcp) (lidi na wifi)
port4 - 192.168.2.0/24 (dhcp) (lidi v provozu)
port5 - 192.168.3.0/24 static (ruzny kramy po baraku co musej mit internet)
* 192.168.4.0/24 static (ostatní krámy po baraku co na net nemusej)

situace je taková že wan1 a wan2 jsou dvě identický ADSL linky 8/1 mbit od O2;

- segment na portu3 se dělí o konektivitu z WAN1 rovným dílem - neotravujou provoz. nejde smtp/pop/torrent
- segment na portu4 a 5 se dělí o konektivitu na wan2 tak, že lidi v provozu (port4 maj přednost) segment 192.168.3.0 bere co zbyde.

lidi v segmentu #1 (192.168.1.0/24) se neviděj (zařídí wifina pomocí izolace klientů) a můžou jen na net.

segment 2 vidí do (2),3, 4
segment 3 nevidí nikam. muze jen na net.
segment 4 se vidí s 2

kramy = hw nikoliv obchody tam bych zavedl něco jineho nes mikrotik.
BREBER --- 16:02:31 16.3.2012
NETWORK: asi by to chtělo :-(
NETWORK --- 15:56:03 16.3.2012
BREBER: ja bych hlavne udelal reinstal, upgrade biosu a /system reset a nastavil to odznova...
BREBER --- 15:49:08 16.3.2012
super, tak mám další anomálii s tím routrem...pri pokusu přihlásit se k němu z winboxu mi to píše chybu "bad file format" ...z googlu toho moc nevypadlo...

paradoxem je, že z mého PC to jede, ale to je tak asi jediny...nechapu...

zkusil jsem vypnout veškerá firewall pravidla a žádná změna, v services jsou povolene jen winbox a http
NETWORK --- 11:29:50 16.3.2012
BREBER: Mam neco takoveho:


/ip firewall filter
add action=drop chain=forward comment=SPAM disabled=no dst-port=25 protocol=tcp src-address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=3d chain=forward connection-limit=30,32 disabled=no dst-port=25 limit=50,5 protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=1d chain=input comment="Ochrana pred utokem FTP" content="530 Login incorrect" disabled=no dst-address-list=ftp_stage4
add action=add-dst-to-address-list address-list=ftp_stage4 address-list-timeout=1d10s chain=input content="530 Login incorrect" disabled=no dst-address-list=ftp_stage3
add action=add-dst-to-address-list address-list=ftp_stage3 address-list-timeout=1d10s chain=input content="530 Login incorrect" disabled=no dst-address-list=ftp_stage2
add action=add-dst-to-address-list address-list=ftp_stage2 address-list-timeout=1d10s chain=input content="530 Login incorrect" disabled=no dst-address-list=ftp_stage1
add action=add-src-to-address-list address-list=ftp_stage1 address-list-timeout=1d10s chain=input disabled=no dst-port=21 in-interface=ether10 protocol=tcp
add action=drop chain=input disabled=no dst-port=21 in-interface=ether10 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=input comment="Ochrana pred utokem SSH" connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=sshaccept
add action=drop chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=sshdrop
add action=add-src-to-address-list address-list=sshdrop address-list-timeout=0s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage4
add action=add-src-to-address-list address-list=stage4 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage3
add action=add-src-to-address-list address-list=stage3 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage2
add action=add-src-to-address-list address-list=stage2 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=stage1
add action=add-src-to-address-list address-list=stage1 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=22 protocol=tcp
add action=accept chain=input comment="Ochrana pred utokem SSH" connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=sshaccept
add action=drop chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=sshdrop
add action=add-src-to-address-list address-list=sshdrop address-list-timeout=0s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage4
add action=add-src-to-address-list address-list=stage4 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage3
add action=add-src-to-address-list address-list=stage3 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage2
add action=add-src-to-address-list address-list=stage2 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp src-address-list=stage1
add action=add-src-to-address-list address-list=stage1 address-list-timeout=10s chain=input connection-state=new disabled=no dst-port=23 protocol=tcp
MARECEK --- 9:25:53 16.3.2012
BREBER: ja pouzivam vice mene podobnej set pravidel jako je tady
Mikrotik Howto to Secure your router from invalid login attempts / Virus Flooding Attacks « Syed Jahanzaib Personnel Blog to Share Knowledge !
http://aacable.wordpress.com/2011/08/15/mikrotik-howto-prevent-mt-host-from-invalid-login-attempts-from-lanwan-users/


#Bruteforce login prevention
60

61
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers"
62
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
63
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h
64

65
#This will prevent a SSH brute forcer to be banned for 10 days after repetitive attempts.
66

67
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no
68
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=3d comment="" disabled=no
69
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no
70
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no
71
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no
BREBER --- 17:34:37 15.3.2012
ještě dotaz, jaky má smysl obecně nastavit limity pro zahazovani packetů při brutal atacku?
Nastavil jsem 10 spojeni za 30s s timeoutem na den (kdybych si spletl heslo nebo tak)
BREBER --- 16:04:44 15.3.2012
NETWORK: ahoj, jak mas nastavene to pravidlo s tema pokusama? dík