А не проще в первом созданом правиле указать "new" в connection state ? будут дропаться только новые пакеты из "инета" , т.е. ping из локалки должен продолжать ходить.
вроде все интересно, но слишком поверхностно, это скорее для тех кто перешел с бытового длинка на микротик и нужно настроить "как было до", 99% параметров не упоминается и вся гибкость микротика сходит на нет
Здравствуйте! Насчёт dstnat, как сделать так чтобы из внутреннего локального сегмента при обращение на свой внешний адрес и порт. Можно было увидеть видеорегистратор. Я настроил как вы показали. Он работает с внешки. Но с внутренней сети не работает. Приложение AyEee 3.0
Тоже доволен вашей работе. Доп инфа по сетям приносить удовлетворение. Сижу дома настраиваю микротик. Увидел у других людей 30 правил firewall и понял что есть куда стремиться. Между прочим подвергался атакам от ботнетов при ненастроенном fierwall на микротике. 😆😆😆
Человек объсняет-это благое дэло! Люди добрые, объясните мне на человечоскоя языке; Я сижу за НАТом, и стоит добреньий Микротик роутербоард на выходе в инет. На локальке куча сервероа которые доступны из внешного мира на счет порт-форвардинга на роутере(Микротик) Зачем мне куча запрещающие правила? Стоит только Фаил2Бан образная правила которая при не удачном авторизации удлиняет время повторные попытки по течение несколько ч.. Все встроенные сервизы роутера отключены, только из локальной сети можна подключится ВинБоксом. Чем могут нам вредить? И каким образом? Зачем мне запрещающие правила для входящего трафика? (А на самом дэле куча запрещающих правил для исходящего трафика. Это мне понятно)
приветствую! подскажите, этих правил достаточно для домашнего использования данного роутера ? без фанатизма, из вне мне не нужно на него заходить и проверять и тп вещи....
В целом все отлично. У меня при правиле drop/input валится пинг из терминала роутера, такое же при форварде не портит пинг на клиентских машинах. заработало только тогда, когда поиставил в стейт new у правила drop/input
Забавно, что в интернет можно спокойно ходить и без форвард... мораль, ракеты а форвард попадают по какому-то алгоритму, который как врдится здесь не озвучен
Для более гибкой настройки, если захотите поменять физический порт подключения например с 1 на 6 или подключили usb модем, лучше использовать interface list. То есть добавляете подключение в interface list (например WAN) и правила будут работать сразу, а не менять во всех порт.
щас всем заняться нечем дома сидят , помогите освоить микротик ,стыдно признаться сисадмин а микротик только щас решил изучить ,для себя ,ну и для работы в будущем ,я сейчас сокращён (по собственному)
@@trew91111 Есть программа GNS3, очень удобно для изучения сетей, там можно запустить routeros, создать между двумя маршрутизаторам vpn и тд. Изучить как настраивать можно по этому каналу, еще есть netskills, mikrotik training.
@Сергей Сергеев Ломали только те у кого наружу торчал стандартный порт winbox. Если знаешь linux то изучения не составит труда, там многое интуитивно и понятно. Вот сейчас ковыряюсь в dlink dfl вот где вынос мозга.
@Сергей Сергеев не могу пароль узнать дома лежит с бывшей работы микротик, до меня настраивали , войти нужно т.к там должны быть настройки доступа к сети внутренней -доступ, роутер сканом не видет пароль, а питоном мне мозгов не хватает, сейчас прошивка 6.40.8(bugfix)
@@nikopolv на эти каналы подписан , есть тоже приложение для симуляции сетей для cisco CPT .пока для себя что нужно уметь? вернее придя в организацию и горда сказав да я знаю отлично и могу настраивать микротик ?
вроде как было видео про настройку address lists? по доступу к роутеру извне по определенным IP адресам, что-то не могу найти , или на другом канале видел...
Доступно, понятно, без лишнего. Спасибо за гайд! Правда я до конца не понял, как и какое правило прописать, чтобы комп подключенный у меня по 3му локальному порту (для третьего порта у меня сделан отдельный бридж - 8я подсеть) не мог никаким образом зайти на интерфейс роутера и что-то там менять, ни через ip ни через winbox.
@@DaveRylenkov а по RouterOS v7 не планируете обзоры? Там много чего изменилось, и хотелось именно об изменениях послушать, что поменялось, для чего, что пропало.
@@СашкаБелый-ч6м Насколько я помню Routeros 7 пока что нет в long-term, поэтому я в прод её стараюсь не ставить ещё. В следующем месяце возможно запишу о ней видео
@@DaveRylenkov ROS v7.7 stable была уже в январе. Сейчас вроде v7.8 stable (может даже v7.9). А лонг-терм у них появляется когда 10 000 пользователей на одной версии больше года без единой ошибки отработают, так что этого всегда пару лет надо ждать. В тоже время уже куча устройств вышла v7 only. Да и вообще пора уже, ведь v7 вышла в 2021 году.
Здравствуйте Давыд. Разрешите спросить, если соединение PPOE , нужно указывать именно его в фаерволе или можно просто указать внешний интерфейс ether 1 в правиле? И второй вопрос, в некоторых видео на ютуб говорят что дропать инвелид на всех интерфейсах не стоит , а только из приходящих извне, с wan, из-за того что некоторые устройства в сети лан например могут генерить инвелид пакеты, например китайские камеры. Что вы думаете по этому поводу?
Здравствуйте, нужно указывать именно pppoe соединение. По поводу invalid пакетов, да, бывает что в локалке некоторые устройства их генерят поэтому можно только с WAN интерфейса оставить
Там если с магазина его прям из коробки достать и подключать и заходить по винбоксу, либо сбрасывать, высвечивается окно, типо загрузить конфиг по умолчанию. Можно согласиться, либо с чистого листа настраивать, видимо вы с чистого листа настраивали
Большое СПАСИБО хотелось бы чтобы прилагали текстовый файл с командами Winbox NewTerminal в нужном порядке да еще и с комментами например 0 /ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN \ comment="defconf: masquerade" 1 /ip firewall filter add chain=input connection-state=invalid action=drop \ comment="defconf: Drop Invalid connections Input" 2 /ip firewall filter add chain=forward connection-state=invalid action=drop \ comment="defconf: Drop Invalid connections Forward" 3
В общем правиле он указал конкретные интерфейсы, а для INVALID - только цепочку, т.е. такие пакеты будут дропаться с любых интерфейсов. Согласен, что стоило этот момент в явном виде проговорить, а то не сразу заметно. К тому же, нужно ли такие пакеты дропать не на WAN-интерфейсе - вопрос открытый для обсуждения.
1 Мы защищаем роутер на входе(input) от внешнего проникновения(WAN port - провод провайдера в eth1), от прощупывания(что за устройство, модель, mac, мусора или атак). Общим правилом drop - eth1. 2 После можно указать новое правило в цепочке input eth1(WAN)-accept, разрешающее пропускать ping и поднять это правило выше основного drop правила. Можно мониторить доступность микротика через ping, но тут же и нужно защитится чтобы злоумышленник не использовал это в своих целях. Я на работе видел как безопасники свои важные хосты шифрования закрывают от возможности их пинговать (icmp protocol). Всем добра и знаний🤓🤓🤓.
Базовая настройка какого-нибудь домашнего микротика у меня делается так (аплинк в ether1, dhcp):
/system reset-configuration no-defaults=yes skip-backup=yes
/interface bridge
add name=bridge-local
set bridge-local auto-mac=no admin-mac=[/interface ethernet get ether2 mac-address ]
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=wlan1
/interface wireless security-profiles set default \
authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys \
unicast-ciphers=aes-ccm group-ciphers=aes-ccm \
wpa-pre-shared-key= \
wpa2-pre-shared-key=
/interface wireless set wlan1 mode=ap-bridge band=2ghz-b/g/n \
channel-width=20/40mhz-ht-above frequency=auto ssid= \
country=russia disabled=no
/ip address add address=192.168.88.1/24 interface=bridge-local
/ip dhcp-client add interface=ether1 add-default-route=yes \
use-peer-dns=yes use-peer-ntp=yes disabled=no
/ip pool add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server network add address=192.168.88.0/24 netmask=24 \
dns-server=192.168.88.1 gateway=192.168.88.1 ntp-server=192.168.88.1
/ip dhcp-server add interface=bridge-local address-pool=dhcp \
name=dhcp disabled=no
/ip dns set allow-remote-requests=yes
/ip firewall nat add chain=srcnat out-interface=!bridge-local action=masquerade
/ip neighbor discovery set [/ip neighbor discovery find ] discover=no
/ip service disable api,api-ssl,ftp,telnet
/ip upnp interfaces
add interface=ether1 type=external
add interface=bridge-local type=internal
/ip upnp set enabled=yes
/system clock set time-zone-name=Etc/GMT-3
/system ntp client set primary-ntp= enabled=yes
/system routerboard settings set silent-boot=yes
/system identity set name=""
/user set admin password=
/ip firewall filter
add chain=input connection-state=established action=accept
add chain=input connection-state=related action=accept
add chain=input in-interface=bridge-local action=accept
add chain=input connection-state=new protocol=tcp dst-port=22,8291 action=accept
add chain=input protocol=icmp action=accept
add chain=input action=drop
Провожу индивидуальные консультации по компьютерным сетям и настройке MikroTik . Пишите мне в ВК
Вас приятно слушать грамотная речь , полезные уроки, не останавливайтесь ,продолжайте.
Спасибо)
может снимешь видосик объединение 2х провайдеров
Расскажи, пожалуйста, про варианты настройки firewall NAT
Жесть, все понятно объяснил, а вот мой препод не справился.
А не проще в первом созданом правиле указать "new" в connection state ? будут дропаться только новые пакеты из "инета" , т.е. ping из локалки должен продолжать ходить.
вроде все интересно, но слишком поверхностно, это скорее для тех кто перешел с бытового длинка на микротик и нужно настроить "как было до", 99% параметров не упоминается и вся гибкость микротика сходит на нет
Thanks for video! Could you explain 2 last rules, what do mean Connection State Invalid?
Эти правила нужны чтобы сразу срезать паразитный трафик, неправильно сформированные соединения
привет как с тобой можно связатся может телеграмм есть
Можете в вк написать мне
Спасибо огромное за хороший гайд без воды и болтовни.
У вас честно есть какая то склонность преподаванию, к грамотному изложению материала!
Спасибо))
Здравствуйте!!!! А если у меня PPPoE в место ether1 указывать PPPoE ? и при настройки нат тоже PPPoE а не ether1 ????
Да, в NAT нужно прописывать PPPoE интерфейс в таком случае
Супер! То что нужно! Спасибо за уроки. Хотелось бы увидеть видео по port-knocking и маркировку пакетов, если есть такая возможность.
Спасибо за отзыв, про port knocking уже есть видео на моем канале
Здравствуйте! Насчёт dstnat, как сделать так чтобы из внутреннего локального сегмента при обращение на свой внешний адрес и порт. Можно было увидеть видеорегистратор. Я настроил как вы показали. Он работает с внешки. Но с внутренней сети не работает. Приложение AyEee 3.0
столкнулся с аналогичной проблемой. как получилось решить вашу?
Тоже доволен вашей работе. Доп инфа по сетям приносить удовлетворение. Сижу дома настраиваю микротик. Увидел у других людей 30 правил firewall и понял что есть куда стремиться. Между прочим подвергался атакам от ботнетов при ненастроенном fierwall на микротике. 😆😆😆
а как првила перетягивать вверх ??
четко , якно и понятно , спасибо !
Спасибо за Ваши уроки!
Спасибо, а вы случаенно курсы не ведете?
Индивидуально провожу консультации
спасибо!
Лучший! Вся нужная информация в таком коротком ролике, талант! :)
а как создать правило что бы удаленно пинговать микротик ?? не понял просто......
input - ICMP - интерфейс WAN и разрешить небольшими пакетами(в Advanced) - Packet Sise 0-128 - Accept
Почему в некоторых правилах указан интерфейс? Это имеет значение? Как быть, если будет добавлен еще один бридж или wan.
Человек объсняет-это благое дэло! Люди добрые, объясните мне на человечоскоя языке; Я сижу за НАТом, и стоит добреньий Микротик роутербоард на выходе в инет. На локальке куча сервероа которые доступны из внешного мира на счет порт-форвардинга на роутере(Микротик) Зачем мне куча запрещающие правила? Стоит только Фаил2Бан образная правила которая при не удачном авторизации удлиняет время повторные попытки по течение несколько ч.. Все встроенные сервизы роутера отключены, только из локальной сети можна подключится ВинБоксом. Чем могут нам вредить? И каким образом? Зачем мне запрещающие правила для входящего трафика? (А на самом дэле куча запрещающих правил для исходящего трафика. Это мне понятно)
Я честно говоря не понял зачем правило на инвалид стейт. Ведь и так все должно дропаться, кроме established и related?
Давид, спасибо за видео объяснения
приветствую! подскажите, этих правил достаточно для домашнего использования данного роутера ? без фанатизма, из вне мне не нужно на него заходить и проверять и тп вещи....
В целом все отлично. У меня при правиле drop/input валится пинг из терминала роутера, такое же при форварде не портит пинг на клиентских машинах. заработало только тогда, когда поиставил в стейт new у правила drop/input
Спасибо, Друг!
Забавно, что в интернет можно спокойно ходить и без форвард... мораль, ракеты а форвард попадают по какому-то алгоритму, который как врдится здесь не озвучен
Дефолтные правила делают тоже самое. Только установленные и связанные форвард пакеты проверяются на invalid и на утечку через пролом NAT.
Для более гибкой настройки, если захотите поменять физический порт подключения например с 1 на 6 или подключили usb модем, лучше использовать interface list. То есть добавляете подключение в interface list (например WAN) и правила будут работать сразу, а не менять во всех порт.
щас всем заняться нечем дома сидят , помогите освоить микротик ,стыдно признаться сисадмин а микротик только щас решил изучить ,для себя ,ну и для работы в будущем ,я сейчас сокращён (по собственному)
@@trew91111 Есть программа GNS3, очень удобно для изучения сетей, там можно запустить routeros, создать между двумя маршрутизаторам vpn и тд. Изучить как настраивать можно по этому каналу, еще есть netskills, mikrotik training.
@Сергей Сергеев Ломали только те у кого наружу торчал стандартный порт winbox. Если знаешь linux то изучения не составит труда, там многое интуитивно и понятно. Вот сейчас ковыряюсь в dlink dfl вот где вынос мозга.
@Сергей Сергеев не могу пароль узнать дома лежит с бывшей работы микротик, до меня настраивали , войти нужно т.к там должны быть настройки доступа к сети внутренней -доступ, роутер сканом не видет пароль, а питоном мне мозгов не хватает, сейчас прошивка 6.40.8(bugfix)
@@nikopolv на эти каналы подписан , есть тоже приложение для симуляции сетей для cisco CPT .пока для себя что нужно уметь? вернее придя в организацию и горда сказав да я знаю отлично и могу настраивать микротик ?
вроде как было видео про настройку address lists? по доступу к роутеру извне по определенным IP адресам, что-то не могу найти , или на другом канале видел...
Можеш обеснить про оптикальный кабель(fibre optical). Как и на каких устроить надо соединить и настроить. В цискр пакет трасер
Доступно, понятно, без лишнего. Спасибо за гайд!
Правда я до конца не понял, как и какое правило прописать, чтобы комп подключенный у меня по 3му локальному порту (для третьего порта у меня сделан отдельный бридж - 8я подсеть) не мог никаким образом зайти на интерфейс роутера и что-то там менять, ни через ip ни через winbox.
Этого достаточно? или ещё какие правила нужны?
Не понял, а почему нет Chain = prerouting?
Эта цепочка трафика инициируется во вкладке Mangle, при самой базовой настройке это не затрагивается
@@DaveRylenkov а по RouterOS v7 не планируете обзоры? Там много чего изменилось, и хотелось именно об изменениях послушать, что поменялось, для чего, что пропало.
@@СашкаБелый-ч6м Насколько я помню Routeros 7 пока что нет в long-term, поэтому я в прод её стараюсь не ставить ещё. В следующем месяце возможно запишу о ней видео
@@DaveRylenkov ROS v7.7 stable была уже в январе. Сейчас вроде v7.8 stable (может даже v7.9). А лонг-терм у них появляется когда 10 000 пользователей на одной версии больше года без единой ошибки отработают, так что этого всегда пару лет надо ждать. В тоже время уже куча устройств вышла v7 only. Да и вообще пора уже, ведь v7 вышла в 2021 году.
Напишите здесь пожалуйста модель вашего Mikrotika, плохо видно.
RB2011UiAS-2HnD
Здравствуйте Давыд. Разрешите спросить, если соединение PPOE , нужно указывать именно его в фаерволе или можно просто указать внешний интерфейс ether 1 в правиле? И второй вопрос, в некоторых видео на ютуб говорят что дропать инвелид на всех интерфейсах не стоит , а только из приходящих извне, с wan, из-за того что некоторые устройства в сети лан например могут генерить инвелид пакеты, например китайские камеры. Что вы думаете по этому поводу?
Здравствуйте, нужно указывать именно pppoe соединение. По поводу invalid пакетов, да, бывает что в локалке некоторые устройства их генерят поэтому можно только с WAN интерфейса оставить
А как посмотреть правила файервола по умолчнаию? У меня на микротике RB2011UiAS-IN новом никаких правил не было - было все пусто.
Там если с магазина его прям из коробки достать и подключать и заходить по винбоксу, либо сбрасывать, высвечивается окно, типо загрузить конфиг по умолчанию. Можно согласиться, либо с чистого листа настраивать, видимо вы с чистого листа настраивали
Есть вопрос. Правил очень много, получается, все которые дропаютя должны идти в самый низ? Не совсем понятна последующая сортировка правил.
Если запрещающее правило поставить раньше(ближе к нулю), оно перебьет приоритетом правило, которое разрешает пропускать трафик.
Большое СПАСИБО
хотелось бы чтобы прилагали текстовый файл с командами Winbox NewTerminal
в нужном порядке да еще и с комментами например
0
/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN \
comment="defconf: masquerade"
1
/ip firewall filter add chain=input connection-state=invalid action=drop \
comment="defconf: Drop Invalid connections Input"
2
/ip firewall filter add chain=forward connection-state=invalid action=drop \
comment="defconf: Drop Invalid connections Forward"
3
А почему общее правило DROP для FORWARD и/или INPUT/OUTPUT цепочки не будет резать соединения с INVALID состоянием?
В общем правиле он указал конкретные интерфейсы, а для INVALID - только цепочку, т.е. такие пакеты будут дропаться с любых интерфейсов. Согласен, что стоило этот момент в явном виде проговорить, а то не сразу заметно. К тому же, нужно ли такие пакеты дропать не на WAN-интерфейсе - вопрос открытый для обсуждения.
1 Мы защищаем роутер на входе(input) от внешнего проникновения(WAN port - провод провайдера в eth1), от прощупывания(что за устройство, модель, mac, мусора или атак). Общим правилом drop - eth1.
2 После можно указать новое правило в цепочке input eth1(WAN)-accept, разрешающее пропускать ping и поднять это правило выше основного drop правила. Можно мониторить доступность микротика через ping, но тут же и нужно защитится чтобы злоумышленник не использовал это в своих целях.
Я на работе видел как безопасники свои важные хосты шифрования закрывают от возможности их пинговать (icmp protocol). Всем добра и знаний🤓🤓🤓.