скопировано отсюда Для начала вам нужен туннель, в который будет направляться трафик для определённых ресурсов. По настройке туннелей в ROS много мануалов. Я просто приведу пример настройки WG, именно по нему нормальный ман нелегко найти. Хотя сложного ничего тут нет. В address нужно указать IP-адрес с подсетью (пример 10.7.0.2/24), в network подсеть (пример 10.7.0.0). /interface […]
скопировано отсюда Настроим логирование нашего оборудование.Проверяем есть ли у нас rsyslog командой ls /etc/rsys* Вывод команды: ls /etc/rsys*/etc/rsyslog.conf /etc/rsyslog.conf.save /etc/rsyslog.conf.save.1 /etc/rsyslog.conf.save.2 /etc/rsyslog.conf.save.3 Если нет, то ставим apt-get install rsyslog После установки переходим в конфигурационный файл nano /etc/rsyslog.conf Настроим прием удаленных логов на наш сервер.Раскомментируем строчки: module(load=”imtcp”) – модуль для приема логов по udp.input(type=”imtcp” port=”514″) –udp порт который будет слушать наш […]
{:local lists {“Port-Scanners”}:local export “port-scanners”:local file “/ip firewall address-list\n”:foreach i in=$lists do={:set $file ($file . “remove [find list=\”” . $i . “\”]\n”):foreach j in=[/ip firewall address-list print as-value where list=$i] do={:set $file ($file . “add list=\”” . ($j->”list”) . “\” address=\”” . ($j->”address”) . “\”\n”)}}:if ([/file print count-only where name=$export] = 0) do={/file print file=$export:delay […]
скопировано отсюда С самого основания данного ресурса мы не перестаем придерживаться мнения, что практика всегда должна опираться на необходимый теоретический минимум, давая в своих статьях порой обширные теоретические отступления. Без теории практика превращается в подобие шаманских камланий с бубном, когда вроде сделал все тоже самое, но ничего не работает. В этом плане технология FastTrack в […]
скопировано отсюда Cloudflare Краткое описание: инструкция по настройке защищённого DNS в MikroTik – DoH. Подключение Cloudflare DNS с импортом сертификатов SSL из терминала. DNS over HTTPS (DoH) — протокол для выполнения разрешения DNS по протоколу HTTPS. Целью этого метода является повышение конфиденциальности и безопасности пользователей путём предотвращения перехвата и манипулирования данными DNS с помощью атак типа “Атака посредника”. По состоянию на март 2018 года Google и Mozilla Foundation тестируют версии DNS по протоколу HTTPS. Опубликован IETF в RFC 8484 в октябре 2018 […]
скопировано отсюда. Перевод гугла Вступление WireGuard — это облегченная виртуальная частная сеть (VPN), поддерживающая соединения IPv4 и IPv6. VPN позволяет вам проходить через ненадежные сети, как если бы вы были в частной сети. Это дает вам свободу безопасного и надежного доступа в Интернет со смартфона или ноутбука при подключении к ненадежной сети, такой как Wi-Fi в отеле или […]
скопировано отсюда Краткое описание: инструкция по настройке VPN туннеля типа WireGuard между двумя роутерами MikroTik. Описание параметров WireGuard. WireGuard — это современный протокол для организации VPN, написанный с нуля, бесплатный и с открытыми исходниками. В отличие от OpenVPN или IPSec, он намного проще и легче. Это касается и скорости (пере)подключения, и производительности, и требований к ресурсам, и процесса настройки, и объёма кода. Недавно было объявлено, что WireGuard войдёт […]
скопировано отсюда Подготовка к настройке Первым делом, взяв в руки Mikrotik, следует обновить версию RouterOS до актуальной. Это следует сделать по нескольким причинам, в первую очередь в целях безопасности. Еще свежа история с широкой эксплуатацией уязвимости CVE-2018-14847, несмотря на то что производитель оперативно выпустил патч. Просто пользователи не спешили обновлять свои устройства, как говорится – […]
Настройка находится в IP->Firewall /ip firewall filter add action=drop chain=input comment=”Drop – port scanners” src-address-list=\ Port-Scanners add action=drop chain=forward comment=”Drop – port scanners” \ src-address-list=Port-Scanners add action=add-src-to-address-list address-list=Port-Scanners \ address-list-timeout=2w chain=input comment=”Scan – Scan Ports” protocol=\ tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list=Port-Scanners \ address-list-timeout=2w chain=input comment=\ “Scan – NMAP FIN Stealth scan” protocol=tcp tcp-flags=\ fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list […]
Для VPN клиентов создаётся отдельная подсеть, это добавит больше возможностей в ограничении доступа между VPN клиентами и локальной сетью, а также в самой маршрутизации. Другими словами эта реализация обеспечивает сетевую безопасность на уровне Firewall-а. Добавление новой подсети Настройка находится IP->Pool /ip pool add name=LAN-Ip-Pool ranges=192.168.10.100-192.168.10.150 Настройка VPN сервера PPTP(на сервере) Настройка находится PPP->Profile Предварительно нужно задать сетевые […]
от