Stránka 1 z 1
Nastavení Mikrotik po zavirování
Napsal: 05 Aug 2018 16:34
od lolek
Zdravím ve spolek,
procházel jsem snad 4 hodiny toto fórum a hlavně témata odheldně napadených RB.
Svůj RB jsem přes Netinstal přehrál (v 6.42.6), zakázal ip/services vše krom winbox (který jako jediný používám pro správu jen pod jiným portem), změněno heslo a login.
Potřeboval bych nastavit zakázání přístpupu do winboxu a vlastně do všeho z WAN a případně další bezpečnostní řešení aby RB nebyl znovu heknutý a byl zabezpečen.
Můj ISP mi bloknul přístup k netu s poznámkou že není dostatečně zabezpečený.
Berte prosím ohled na samouka a neprofíka. Díky.
Re: Nastavení Mikrotik po zavirování
Napsal: 05 Aug 2018 16:53
od mirek.k
V services (nebo ve firewallu) lze definovat nejen povolené služby a jejich porty, ale také adresní rozsahy, z nichž mohou být dostupné.
Pokud tam dáte LAN rozsah, mělo by to být v pořádku.
Mirek
Re: Nastavení Mikrotik po zavirování
Napsal: 05 Aug 2018 17:09
od sutrus
Standartně je ještě zapnuto "Allow remote Request" v DNS.
Pokud to necháš zapnuté je potřeba vyřešit otevřený port 53 z internetu ve firewallu.
Jinak omezení Winboxu na rosah lokalních adres určitě nastavit, ale to neznamená že směrem ven do internetu bude port zavřený.
Já to řeším bloknutím portu 8291 z internetu v Raw firewallu.
Re: Nastavení Mikrotik po zavirování
Napsal: 05 Aug 2018 17:18
od lolek
sutrus píše: Já to řeším bloknutím portu 8291 z internetu v Raw firewallu.
Můžeš mi prosím poslat screen kde tam a jak to vypadá? Díky.
Re: Nastavení Mikrotik po zavirování
Napsal: 05 Aug 2018 17:24
od lolek
a vysvětlil by mi prosím někdo ještě tyhle pravidla?
https://ibb.co/hCPMrK
Re: Nastavení Mikrotik po zavirování
Napsal: 05 Aug 2018 17:41
od sutrus
lolek píše:sutrus píše: Já to řeším bloknutím portu 8291 z internetu v Raw firewallu.
Můžeš mi prosím poslat screen kde tam a jak to vypadá? Díky.
Kód: Vybrat vše
/ip firewall raw
add action=drop chain=prerouting comment="Drop WinBox from WAN" dst-port=8291 in-interface-list=WAN log=yes log-prefix="WinBox !LAN" protocol=tcp
add action=drop chain=prerouting comment="Drop WinBox from WAN" dst-port=8291 in-interface-list=WAN log=yes log-prefix="WinBox !LAN" protocol=udp
/ip firewall filter
add action=reject chain=input comment="Reject DNS from WAN" dst-port=53 protocol=tcp reject-with=icmp-port-unreachable
add action=reject chain=input comment="Reject DNS from WAN" dst-port=53 protocol=udp reject-with=icmp-port-unreachable
Re: Nastavení Mikrotik po zavirování
Napsal: 05 Aug 2018 17:48
od sutrus
Co přesně chceš vysvětlit? Toto je základní nastavení firewallu a jednotlivá pravidla jsou popsaná.
Re: Nastavení Mikrotik po zavirování
Napsal: 15 Aug 2018 22:10
od lolek
sutrus píše:lolek píše:Toto je základní nastavení firewallu a jednotlivá pravidla jsou popsaná.
Myslel jsem popsat "lajcky" česky.
A ještě jeden dotaz: Nastavil jsem na Winbox jiný port a konkrétiní IP ze které se můžu přihlásit.
Problém je v tom že když se přihlásím přes MAC adresu tak je jedno z které jsem IP a jaký mám port na Winbox.
Jak se to dá vyřešit?
Re: Nastavení Mikrotik po zavirování
Napsal: 15 Aug 2018 22:11
od ludvik
Nastavením MAC-Server.
Re: Nastavení Mikrotik po zavirování
Napsal: 16 Aug 2018 09:57
od lolek
ludvik píše:Nastavením MAC-Server.
- Dííky.
Je ještě nějaké další nastavení zabezpečení které tady ještě nepadlo?