— Обсуждение тут — скопировано отсюда Для начала вам нужен туннель, в который будет направляться трафик для определённых ресурсов. По настройке туннелей в ROS много мануалов. Я просто приведу пример настройки WG, именно по нему нормальный ман нелегко найти. Хотя сложного ничего тут нет. В address нужно указать IP-адрес с подсетью (пример 10.7.0.2/24), в network […]
— Обсуждение тут — скопировано отсюда Настроим логирование нашего оборудование.Проверяем есть ли у нас rsyslog командой ls /etc/rsys* Вывод команды: ls /etc/rsys*/etc/rsyslog.conf /etc/rsyslog.conf.save /etc/rsyslog.conf.save.1 /etc/rsyslog.conf.save.2 /etc/rsyslog.conf.save.3 Если нет, то ставим apt-get install rsyslog После установки переходим в конфигурационный файл nano /etc/rsyslog.conf Настроим прием удаленных логов на наш сервер.Раскомментируем строчки: module(load=»imtcp») — модуль для приема логов по udp.input(type=»imtcp» port=»514″) –udp порт […]
— Обсуждение тут — {:local lists {«Port-Scanners»}:local export «port-scanners»:local file «/ip firewall address-list\n»:foreach i in=$lists do={:set $file ($file . «remove [find list=\»» . $i . «\»]\n»):foreach j in=[/ip firewall address-list print as-value where list=$i] do={:set $file ($file . «add list=\»» . ($j->»list») . «\» address=\»» . ($j->»address») . «\»\n»)}}:if ([/file print count-only where name=$export] = […]
— Обсуждение тут — скопировано отсюда С самого основания данного ресурса мы не перестаем придерживаться мнения, что практика всегда должна опираться на необходимый теоретический минимум, давая в своих статьях порой обширные теоретические отступления. Без теории практика превращается в подобие шаманских камланий с бубном, когда вроде сделал все тоже самое, но ничего не работает. В этом […]
— Обсуждение тут — скопировано отсюда Cloudflare Краткое описание: инструкция по настройке защищённого DNS в MikroTik – DoH. Подключение Cloudflare DNS с импортом сертификатов SSL из терминала. DNS over HTTPS (DoH) — протокол для выполнения разрешения DNS по протоколу HTTPS. Целью этого метода является повышение конфиденциальности и безопасности пользователей путём предотвращения перехвата и манипулирования данными DNS с помощью атак типа “Атака посредника”. По состоянию на март 2018 года Google и Mozilla Foundation тестируют версии DNS по протоколу HTTPS. […]
— Обсуждение тут — скопировано отсюда. Перевод гугла Вступление WireGuard — это облегченная виртуальная частная сеть (VPN), поддерживающая соединения IPv4 и IPv6. VPN позволяет вам проходить через ненадежные сети, как если бы вы были в частной сети. Это дает вам свободу безопасного и надежного доступа в Интернет со смартфона или ноутбука при подключении к ненадежной сети, такой как […]
— Обсуждение тут — скопировано отсюда Для WireGuard популярные две схемы настроек: На момент написания инструкции используется RouterOS v 7.16.2 Настройка WireGuard сервера на роутере MikroTik После успешного использоваться протокола WireGuard на системах с ОС Linux, его поддержку начало содержать оборудование MikroTik. Современный протокол WireGuard, обладающий высокими производительными характеристиками стал идеальным решением для настройки VPN туннеля между роутерами MikroTik. В качестве WireGuard клиента и WireGuard сервера будут выступать роутеры MikroTik. Настройка […]
— Обсуждение тут — скопировано отсюда Подготовка к настройке Первым делом, взяв в руки Mikrotik, следует обновить версию RouterOS до актуальной. Это следует сделать по нескольким причинам, в первую очередь в целях безопасности. Еще свежа история с широкой эксплуатацией уязвимости CVE-2018-14847, несмотря на то что производитель оперативно выпустил патч. Просто пользователи не спешили обновлять свои […]
— Обсуждение тут — Настройка находится в IP->Firewall /ip firewall filter add action=drop chain=input comment=»Drop — port scanners» src-address-list=\ Port-Scanners add action=drop chain=forward comment=»Drop — port scanners» \ src-address-list=Port-Scanners add action=add-src-to-address-list address-list=Port-Scanners \ address-list-timeout=2w chain=input comment=»Scan — Scan Ports» protocol=\ tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list=Port-Scanners \ address-list-timeout=2w chain=input comment=\ «Scan — NMAP FIN Stealth scan» protocol=tcp […]
— Обсуждение тут — Для VPN клиентов создаётся отдельная подсеть, это добавит больше возможностей в ограничении доступа между VPN клиентами и локальной сетью, а также в самой маршрутизации. Другими словами эта реализация обеспечивает сетевую безопасность на уровне Firewall-а. Добавление новой подсети Настройка находится IP->Pool /ip pool add name=LAN-Ip-Pool ranges=192.168.10.100-192.168.10.150 Настройка VPN сервера PPTP(на сервере) Настройка находится PPP->Profile […]
от