❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Ochrání Mikrotik děravou kameru Avtech
Ochrání Mikrotik děravou kameru Avtech
Mám za Mikrotikem RB751U-2HnD kameru od Avtechu. Mikrotik má pevnou veřejnou (překlad 1:1) adresu. Bohužel kamera od Avtech má děravý firmware (ELF IMEIJ malware) a výrobce zatím nevypadá, že by to chtěl zalepit. Kamera mi jen zasílá fotky či v případě pohybu krátká videa na FTP. Také někdy nakouknu na živý náhled z jedné pevné adresy nebo z mobilu od O2 (z venčí přistupuji pouze na kameru na port 88). Když nebudu používat cloudové služby Avtechu, je nějaká šance nastavit restrikce na mikrotiku tak, abych zachoval výše popsanou funkčnost a přitom zabránil kompromitaci kamery malwarem?
0 x
Nevim jak funguje ten malware ale nesel by proste jednoduse kameru hodit na neverejku a na mikrotiku nastavit ve firewallu ze na 88 port na vnitrni ip kamery pristup pouze z nejakeho adresslistu ip a vse ostatni drop ?
0 x
Pak by byl problém s přístupem z telefonu (pokud nemá pevnou IP).CrazyApe píše:Nevim jak funguje ten malware ale nesel by proste jednoduse kameru hodit na neverejku a na mikrotiku nastavit ve firewallu ze na 88 port na vnitrni ip kamery pristup pouze z nejakeho adresslistu ip a vse ostatni drop ?
0 x
Ano, svou "domácí - XX.XX.XX.XX" adresu bych zkusil pořešit takto (ta 147 je ta kamera)
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=88 protocol=tcp src-address=XX.XX.XX.XX to-addresses=192.168.0.147
ale ten rozsah mobilního připojení O2 nevím jak udělám.
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=88 protocol=tcp src-address=XX.XX.XX.XX to-addresses=192.168.0.147
ale ten rozsah mobilního připojení O2 nevím jak udělám.
0 x
Rozsah o2 nejspíš neuděláš. Nejlepší bude ta VPN a vse ostatní zavřít.
0 x
Povol si přístup jen z českých IP adres a budeš mít od největšího bordelu klid...
Spouštěj tento script každý den:
a povol přístup jen pro address list CZ.
Spouštěj tento script každý den:
Kód: Vybrat vše
/tool fetch url=http://www.iwik.org/ipcountry/mikrotik/CZ
:delay 10
/import file-name=CZ
file remove CZ
a povol přístup jen pro address list CZ.
0 x
Děkuji, protože si nejsem moc jistý v kramflecích, raději se zeptám. Bude to s tím whitelistem pro kameru stačit takto?
Script a scheduler jsem doplnil.
Kód: Vybrat vše
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=88 log=yes log-prefix="Kamera" protocol=tcp src-address-list=CZ to-addresses=192.168.0.147
Script a scheduler jsem doplnil.
0 x
Ano, tak by to mělo fungovat.
Povolit vše potřebné a nakonec drop všeho ostatního.
Povolit vše potřebné a nakonec drop všeho ostatního.
0 x
Používat NAT takto je sice možné, ale není to správné logicky. Filtruje se v tabulce "filter".
Tedy nat nechat obecně. Následně omezit input (mikrotika také chceme nějak chránit) a forward - stylem povolit established,related, pak povolit přesně co chci aby fungovalo a na konci vše zakázat.
Tedy nat nechat obecně. Následně omezit input (mikrotika také chceme nějak chránit) a forward - stylem povolit established,related, pak povolit přesně co chci aby fungovalo a na konci vše zakázat.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
goblajz píše:Povol si přístup jen z českých IP adres a budeš mít od největšího bordelu klid...
Spouštěj tento script každý den:Kód: Vybrat vše
/tool fetch url=http://www.iwik.org/ipcountry/mikrotik/CZ
:delay 10
/import file-name=CZ
file remove CZ
a povol přístup jen pro address list CZ.
Jde nějak jednoduše zabránit tomu, aby vkládání address listu nebylo v logu mikrotiku? Je to spousta řádků.
0 x
Zkus port knocking, neni pak potreba extra specifikovat IP a otevres si kdykoliv a kdekoliv jen sam pro sebe ...
Tom
Tom
0 x