Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem MikroTik jako SOHO router - 1 - základní konfigurace

Pokud je v dhcp přidělováno DNS = lan adresa mikrotiku (např. 192.168.88.1/24), pak mikrotik pracuje jako DNS cache. Tedy zodpoví rychleji dotazy které zná, to co nezná se dotazuje DNS srveru poskytovatele:
1) V položce IP>DNS tedy nastavíte dns poskytovatele + vám tam mohou naskočit i dynamicky, pokud máte na WAN dhcp klient.
2) Zatrhnete Allow remote requst (jen pak DNS mikrotiku na dotaz odpoví).
3) Teď už to resolví, ale je nutno zabezpečit.
přes terminál vlep toto níže uvedené, když předtím nahradíš WAN svým názvem wan portu:
/ip firewall filter
add action=drop chain=input in-interface=WAN disabled=no dst-port=53 protocol=udp
add action=drop chain=input in-interface=WAN disabled=no dst-port=53 protocol=tcp


To zabezpečení je nutné, jinak byste se nevědomky mohli stát zdrojem DDOS útoku.

*************************
Proti pokusům o proniknutí na služby (porty 21-23) na vašem mikrotiku lze využít toto:

# ftp, ssh, telnet princip: při přístupu na sledovaný port se src IP uloží do 1.listu, timeout IP v něm je 1m. Pokud přijde nová konekce a src IP je v 1. listu, založí se do adress-listu 2. atd. Vytváří se ještě 3. list s uptime 1m. # Pokud tedy během celkem 3 minut se 3x vytvořila nová konekce na sledované porty, tak se IP hodí do konečného black listu 30, který má uptime už 30 dnů a z něho se vytváří drop.

/ip firewall filter
add chain=input protocol=tcp dst-port=21-23 src-address-list=in_blacklist30 \
action=drop \
comment="dropuje dle adress-listu in_blacklist30 porty 21-23" disabled=no


add chain=input protocol=tcp dst-port=21-23 connection-state=new src-address-list=in_blacklist3 \
action=add-src-to-address-list address-list=in_blacklist30 address-list-timeout=30d disabled=no \
comment="port 21-23 => black list 30 z listu 3, timeout 30 dní"

add chain=input protocol=tcp dst-port=21-23 connection-state=new src-address-list=in_blacklist2 \
action=add-src-to-address-list address-list=in_blacklist3 address-list-timeout=1m disabled=no \
comment="port 21-23 => black list 3 z listu 2, timeout 1 min"

add chain=input protocol=tcp dst-port=21-23 connection-state=new src-address-list=in_blacklist1 \
action=add-src-to-address-list address-list=in_blacklist2 address-list-timeout=1m disabled=no \
comment="port 21-23 => black list 2 z listu 1, timeout 1 min"

add chain=input protocol=tcp dst-port=21-23 connection-state=new \
action=add-src-to-address-list address-list="in_blacklist1" address-list-timeout=1m disabled=no \
comment="port 21-23 => black list 1, timeout 1 min"

Jo TIK je skvělá krabička...

Reakce na komentář

1 Zadajte svou přezdívku:
2 Napište svůj komentář:
3 Pokud chcete dostat ban, zadejte libovolný text:

Zpět na články