help@812it.ru

Резервный канал в Mikrotik

Простой резервный канал

Cети провайдеров:
/ip address add address=10.0.1.2/24 interface=WAN1
/ip address add address=10.0.2.1/24 interface=WAN2

Два маршрута с разными приоритетами
/ip route add dst-address=0.0.0.0/0 gateway=10.0.1.254 distance=1 check-gateway=ping
/ip route add dst-address=0.0.0.0/0 gateway=10.0.2.254 distance=2 check-gateway=ping

check-gateway=ping - каждые 10 секунд шлюз проверяется ICMP пакетом. После двух потерянных пакетов шлюз считается недоступным. После получения ответа от шлюза он становится доступным и счетчик потерянных пакетов обновляется.
Резервный канал с проверкой внешнего ip

Cети провайдеров:
/ip address add address=10.0.1.2/24 interface=WAN1
/ip address add address=10.0.2.1/24 interface=WAN2

С параметром scope укажем рекурсивные пути к 8.8.8.8 и 8.8.4.4
/ip route add dst-address=8.8.8.8 gateway=10.0.1.254 scope=10
/ip route add dst-address=8.8.4.4 gateway=10.0.2.254 scope=10

Укажем 2 default gateway через узлы путь к которым указан рекурсивно
/ip route add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping
/ip route add dst-address=0.0.0.0/0 gateway=8.8.4.4 distance=2 check-gateway=ping

Шлюз провайдера не знает, что 8.8.8.8 или 8.8.4.4 — это роутер и направит трафик по обычному пути. Микротик считает, что по умолчанию весь интернет трафик нужно отправлять на 8.8.8.8, который напрямую не виден, но через 10.0.1.254 доступен. Если пинг на 8.8.8.8 пропадает то mikrotik начнет слать весь интернет трафик на 8.8.4.4, а точнее на рекурсивно определенный 10.0.2.254 (ISP2).

Подробнее ...

История посещения сайтов

История посещения сайтов

В своей работе мы используем маршрутизаторы Mikrotik для решения задач. Очень часто заказчик хочет видеть список посещаемых сайтов своих сотрудников. Для решения такой задачи с использованием бесплатного ПО мы используем web-proxy-log.

Сначала нужно настроить прозрачный прокси. В роутере есть свой Web-proxy, чтобы сделать его прозрачным выполняем:

/ip firewall nat add in-interface=WAN dst-port=80 protocol=tcp action=redirect to-ports=8080 chain=dstnat
/ip proxy set enabled=yes port=8080

Теперь все запросы по 80(HTTP) порту переправляются на порт прокси сервера 8080.

Теперь можно добавить блокируемые адреса, например
/ip proxy access add action=deny redirect-to=192.168.1.23 dst-host=:vk

Теперь будут блокироваться запросы содержащие слово «vk» и переадресовываться на внутреннюю страницу 192.168.1.23. После двоеточия в параметре dst-host можно использовать и регулярные выражения. Теперь о том, как накапливать и обрабатывать журнал посещений. Встроенного или иного продукта от производителя предусмотрено не было, но есть ПО от стороннего производителя: Web-proxy-log

Как это работает:
1. В настройке назначения журналирования добавляем раздел для передачи в syslog сервер.
/system logging action add name=proxylog target=remote remote=192.168.1.11 src-address=192.168.1.31 
192.168.1.11 — адрес syslog сервера, в который мы будем направлять журнал.
192.168.1.31 — внутренний адрес маршрутизатора.

2. Создадим раздел самого журнала, который будет использовать созданное назначение и направлять туда логи прокси сервера.
/system logging add topics=web-proxy action=proxylog

На этом этапе роутер будет отсылать логи вида:
web-proxy,account 192.168.1.59 GET
xml action=allow cache=MISS
web-proxy,debug GET /pan_img/appDownload/PandoraService/Service_Info.xml HTTP/1.1
web-proxy,debug Cache-control: no-cache
web-proxy,debug Pragma: no-cache
web-proxy,debug Host: imgcdn.ptvcdn.net
web-proxy,debug Accept: text/html, */*
web-proxy,debug Accept-Encoding: identity
web-proxy,debug User-Agent: Mozilla/3.0 (compatible; Indy Library)
web-proxy,debug X-Proxy-ID: 1074695054
web-proxy,debug X-Forwarded-For: 192.168.1.59
web-proxy,debug Via: 1.1 192.168.1.31 (Mikrotik HttpProxy)
web-proxy,debug

где с префикса web-proxy,account будет записан адрес пользователя пославшего запрос, и сам запрос.

3. В качестве сервера можно использовать вышеуказанный продукт, который состоит из двух частей:
WebProxy Log Catcher — приложение (как служба не устанавливается) сам простой syslog сервер, собирающий логи для последующей обработки и добавляющий метки времени.
WebProxy Log — интерфейс просмотра журналов, при каждом запуске импортирующий накопленные сборщиком логи в локальную БД.

 

Подробнее ...

Защита от трафика из Bogon сетей.

Защита от трафика из Bogon сетей. 

Bogons - от bogus – "барабашка".Это "серые" диапазоны IP, которые не были занесены в системы IANA и RIPE. Эти блоки прописаны для частного и специального использования. Однако отдельные блоки выбиваются в Сеть, обычно для осуществления различных атак, рассылки спама и т.д. Злостными пакетами с bogons’ов формируется до 60% распределенных «атак на интернет». Фильтрация Bogon трафика обязанность каждого системного администратора.

/ip firewall address-list
add address=192.168.0.0/16 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=224.0.0.0/3 comment="multicas" list=BOGON
add address=223.0.0.0/8 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=185.0.0.0/8 list=BOGON
add address=180.0.0.0/6 list=BOGON
add address=179.0.0.0/8 list=BOGON
add address=176.0.0.0/7 list=BOGON
add address=175.0.0.0/8 list=BOGON
add address=104.0.0.0/6 list=BOGON
add address=100.0.0.0/6 list=BOGON
add address=49.0.0.0/8 list=BOGON
add address=46.0.0.0/8 list=BOGON
add address=42.0.0.0/8 list=BOGON
add address=39.0.0.0/8 list=BOGON
add address=36.0.0.0/7 list=BOGON
add address=31.0.0.0/8 list=BOGON
add address=27.0.0.0/8 list=BOGON
add address=23.0.0.0/8 list=BOGON
add address=14.0.0.0/8 list=BOGON
add address=5.0.0.0/8 list=BOGON
add address=2.0.0.0/8 list=BOGON
add address=0.0.0.0/7 list=BOGON
add address=128.0.0.0/16 list=BOGON
add list=local-addr address=192.168.1.0/24 comment="LAN"
/ ip firewall filter
add chain=forward in-interface=WAN out-interface=Local action=accept comment="Allow local traffic"
add chain=input in-interface=WAN dst-address-list=BOGON dst-address-type=!local action=drop comment="Drop BOGON addresses"

Подробнее ...

Защита от брутфорса FTP

Защита от брутфорса FTP

Если вы используете на Микротике сервис FTP, то к вам обязательно будут ломиться. Вот простенький скрипт, который позволит заблокировать источник трафика, с которого ввели 10 раз неправильно пароль.

/ip firewall filter
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers"
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=1w

Подробнее ...

Защита от сканирования портов

Защита от сканирования портов

Сканирование портов (Port Scanning) может быть одним из первых шагов для взлома или защиты от взлома сети. С помощью сканера портов можно исследовать службы, установленные на компьютере (FTP-сервер, Web-сервер, mail-сервер, и т. д.). Так давайте же блокировать источник такого трафика на две недели.

 /ip firewall filter
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list "
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"
add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners"

Подробнее ...

Защита SSH от brute force

Защита SSH от brute force

Brute force - подбор паролей методом перебора, наверное самый простой метод взлома систем. Так давайте же сразу будем блокировать источник этого трафика на 10 дней

/ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" 
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_st3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d 
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_st2 action=add-src-to-address-list address-list=ssh_st3 address-list-timeout=1m 
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_st1 action=add-src-to-address-list address-list=ssh_st2 address-list-timeout=1m 
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_st1 address-list-timeout=1m 

Подробнее ...

DDoS защита

DDoS защита

 

Заносим в черный список и блокируем на 1 день источники большого кол-ва соединений
/ip firewall filter add chain=input protocol=tcp connection-limit=100,32 action=add-src-to-address-list  address-list=Many-connections address-list-timeout=1d comment="Block many connection"
/ip firewall filter add chain=input protocol=tcp src-address-list=Many-connections connection-limit=3,32 action=tarpit 

Подробнее ...

Календарь

« Сентябрь 2017 »
Пн Вт Ср Чт Пт Сб Вс
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30  

Популярное