Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Jan Blahout

Stran: [1]
1
Dej sem ještě co máš nastaveno v natu
Bylo to v tom exportu
Kód: [Vybrat]
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=pppoe-LIBLI
add action=dst-nat chain=dstnat comment="WinBox ZSK-Wifi" dst-port=8292 protocol=tcp src-address-list=Allowed_admin to-addresses=192.168.1.15  to-ports=8291
add action=dst-nat chain=dstnat comment="RDP server" dst-port=3390 in-interface=pppoe-LIBLI protocol=tcp src-address-list=Allowed_admin to-addresses=192.168.1.253 to-ports=3389
add action=dst-nat chain=dstnat comment="SYNOLOGY MGMT for Allowed" dst-port=8001 in-interface=pppoe-LIBLI protocol=tcp src-address-list=Allowed_admin to-addresses=192.168.1.105 to-ports=5001
add action=dst-nat chain=dstnat comment=UrBackup disabled=yes dst-port=55414 in-interface=pppoe-LIBLI protocol=tcp src-address-list=Allowed_admin to-addresses=192.168.1.252 to-ports=55414
add action=dst-nat chain=dstnat comment="RDP PC-Honza" dst-port=3391 in-interface=pppoe-LIBLI protocol=tcp src-address-list=Allowed_admin to-addresses=192.168.1.2 to-ports=3389

2
v rámci problémů na síti se řídím pravidlem „Jakmile vyloučíte vše nemožné, všechno ostatní, co zbude, ať je to jakkoli nepravděpodobné, musí být pravda.“ :)

3
zkusil bych pod pravidlo "DROP RDP4 Port Scanners" přidat ještě jedno pravidlo
Kód: [Vybrat]
/ip firewall filter
add action=add-src-to-address-list address-list="WAN Port Scanners" address-list-timeout=5d chain=input comment="WAN IP WinBox Port Scanner to list" dst-port=8291 protocol=tcp in-interface=pppoe-LIBLI
a následně ještě upravit pravidlo "LAN Port Scanners" kam dát in-interface="název bridge" a odebrat src-address=192.168.1.1 pro výpis do logu. Aby se ukázalo, z jakého směru se o přihlášení něco pokouší. Možná bych ještě zduplikoval "WAN Port Scanners" na interface, na které je zařazeno PPPoE volání.

V pravidlech nejsou ošetřené vstupy, kde se hlídá detekce scannerů (pokud to není záměr a nehlídá se jak wan tak lan zároveň).
Třeba v těch dropech by mělo být doplněno, že pokud má vyhovět něco pravidlu "DROP Bridge IP Winbox Port Scanner"
pak by bylo potřeba dát i in-interface=bridge.

4
chtělo by to vypsat přes terminál
Kód: [Vybrat]
/ip firewall filter print ať se v tom dá něco hledat. Mimochodem, pokud je tam někde pravidlo na zahazování broadcastů tak si dovedu představit, že si je routerboard generuje sám v podobě očuchávání do Neighbor listu. Zkusil bych vypnout discovery
Kód: [Vybrat]
/ip neighbor discovery-settings set discover-interface-list=none

Stran: [1]