[研究所] MikroTik RouterOS 學習 (持續更新) (第144頁)

tsaisj55

tsaisj55
個人積分：48分
文章編號：47872142

48分

1431樓

2013-12-23 21:12

pctine wrote:

採用何種 VPN type 還是要

SSTP,L2TP,PPTP這三種VPN，我都設定完成，且都能正常連線，所以用何種都可以，穩定即可，效能差一點也沒關係（當然不能差太多）
我設定VPN通道，大多是小檔案存取
再請教如果24小時連線風險高不高？

gfx

gfx
個人積分：1603分
文章編號：47880545

1603分

1432樓

2013-12-24 11:25

tsaisj55 wrote:
SSTP,L2TP,...(恕刪)

我的PPTP還掛蠻多的,我想應該算安全吧,不然128bits加密就喊假的了...

當然防火牆也有需要,若您有更好的防火牆規劃歡迎補正!

/ip firewall filter
add action=drop chain=input comment="\\AB\\CA\\C2\\EA\\A5~\\BA\\F4Ping \\A6^\\C0\\B3" in-interface=all-ppp protocol=icmp

add action=drop chain=input comment="\\A5\\E1\\B1\\F3\\ABD\\A5\\BB\\BE\\F7\\AA\\BA\\AB\\CA\\A5]" dst-address-type=!local

add action=drop chain=input comment="\\A5\\E1\\B1\\F3\\B5L\\AE\\C4\\AA\\BA\\AB\\CA\\A5]" connection-state=invalid

add action=drop chain=input comment="\\A8\\BE\\A4\\EE\\B3Q\\B1\\BD\\BA\\CB Port" protocol=tcp src-address-list="port scanners"

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input protocol=tcp psd=21,3s,3,1

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input protocol=tcp tcp-flags=fin,syn

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input protocol=tcp tcp-flags=syn,rst

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg

add action=drop chain=input comment="\\A5\\E1\\B1\\F3\\A6h\\BC\\BD\\AA\\BA\\AB\\CA\\A5]" src-address-type=!unicast

add action=drop chain=input comment="DoS\\A9\\DA\\B5\\B4\\AAA\\B0\\C8\\A7\\F0\\C0\\BB" connection-limit=10,32 protocol=tcp

add action=drop chain=input comment="\\AB\\CA\\C2\\EA\\A5~\\A4H\\B5n\\A4JWinBox" src-address-list=login_winbox

add action=add-src-to-address-list address-list=login_winbox address-list-timeout=1d chain=input dst-port=8291 in-interface=all-ppp protocol=tcp

add action=drop chain=input comment="\\AB\\CA\\C2\\EA\\A5~\\A4H\\A8\\CF\\A5\\CEweb-proxy" src-address-list=web-proxy

add action=add-src-to-address-list address-list=web-proxy address-list-timeout=1d chain=input dst-port=88 in-interface=all-ppp protocol=tcp

add action=drop chain=input comment="ROS SSH/Telnet\\A8\\BE\\A4\\F5\\C0\\F0(\\B5n\\A4J3\\A6\\B8\\BF\\F9\\BB~\\A7Y\\AB\\CA\\C2\\EA)" src-address-list=login_blacklist

add action=add-src-to-address-list address-list=login_blacklist address-list-timeout=1d chain=input connection-state=new dst-port=22,23 protocol=tcp \
src-address-list=login_stage3

add action=add-src-to-address-list address-list=login_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22,23 protocol=tcp \
src-address-list=login_stage2

add action=add-src-to-address-list address-list=login_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22,23 protocol=tcp \
src-address-list=login_stage1

add action=add-src-to-address-list address-list=login_stage1 address-list-timeout=1m chain=input connection-state=new dst-address-type=local dst-port=22,23 \
protocol=tcp

add action=drop chain=forward comment="\\AB\\CA\\C2\\EAbittorrent-DHT" layer7-protocol="bittorrent_dht " packet-size=95-190

gfx

gfx
個人積分：1603分
文章編號：47902617

1603分

1433樓

2013-12-25 15:19

pctine wrote:
所以回歸到你所提出的網路架構及欲學習的內容, 建議朝 "NAT" & "route" 這二個部份再深入去看一些實例及其原理解說,

kuenming

kuenming
個人積分：13分
文章編號：47903301

13分

1434樓

2013-12-25 15:55

沒錯這就是關閉NAT功能,之後就只有路由功能

valsily

valsily
個人積分：58分
文章編號：47908671

58分

1435樓

2013-12-25 21:34

請問一下pctine大哥是否知道，RouterOS目前版本支援ipsec interface mode了嗎？

pctine

pctine
個人積分：5084分
文章編號：47911328

5084分

樓主

2013-12-26 0:19

valsily wrote:
RouterOS目前版本支援ipsec interface mode了嗎？...(恕刪)

被你考倒了, "ipsec interface mode" 這是 fortigate 所用的名詞嗎?

FB: Pctine

mandymak

mandymak
個人積分：11分
文章編號：47916253

11分

1437樓

2013-12-26 11:07

是 fortigate 所用的名詞.

pctine

pctine
個人積分：5084分
文章編號：47919983

5084分

樓主

2013-12-26 14:36

mandymak wrote:
是 fortigat...(恕刪)

請教一下, 在 Fortigate 所謂的 "IPSEC interface mode" 是指??

FB: Pctine

mandymak

mandymak
個人積分：11分
文章編號：47924843

11分

1439樓

2013-12-26 19:48

http://blog.xuite.net/jenlin.hsu/twblog/90559452-%E5%BB%BA%E7%AB%8B+Site+to+Site+IPsec+VPN+%28Interface+Mode%29

valsily

valsily
個人積分：58分
文章編號：47926999

58分

1440樓

2013-12-26 22:18

pctine wrote:

被你考倒了, "ipsec int

interface mode 勉強算是fortigate的稱呼方式，這方面vxr大大應該是專家，但就我所知fortios的ipsec有兩種模式，policy與interface，兩者差異說來話長，pctine兄有興趣我們可以另開樓來聊。
回到interface mode，這並不是fortios的獨家發明，其他各大廠商幾乎也都有類似設計，只是稱呼方式不同，例如cisco應該就叫virtual tunnel interface

大致的概念就是將一個ipsec tunnel當作一個interface，在設定管制條例與路由的時候會方便很多，也可有效降低維護與除錯的難度。

microtik的討論區上有一些討論可以參考
http://forum.mikrotik.com/viewtopic.php?f=2&t=29635

一般看到的評論，routeros在ipsec的實作部分比較”精簡”，不支援interface mode讓「在routeros與其他商用防火牆建立ipsec vpn」這件事變得很困難，而routeros的一些特殊vpn模式與功能與其他大廠並不相容。

這部分我沒有驗證過，只是在microtik討論區爬文研究ipsec vpn時不只一次看到其他使用者提出的看法

實際上我個人使用routeros的經驗不多，對它片面印象是硬體cp值不錯，軟體特異功能多但蟲也不少，使用者友善度有待加強，好玩但是似乎不大適合用在嚴謹的商用環境

一點淺見，勿見笑