gfx wrote:
它是迴圈寫的,會偵...(恕刪)
沒耶,只有更新了名為Lan與Router的這兩個Address。
請問建立Address list時,有沒有特殊的格式?
derliang wrote:抓到bug了,是語法上的錯誤...
沒耶,只有更新了名...(恕刪)
script最後有段文字裡有disable=false ,用address~"2001:"替換即可.
https://dl.dropboxusercontent.com/u/34743921/dual-stack.txt
gfx wrote:
抓到bug了,是語...(恕刪)
g大,還是不行說。
我發現另一個現象,如果DHCPv6 Client中將ipv6禁用的話,這script會自動將它啟用。
真是不好意思,讓你傷神了....
irsjx2vxo3ne3k84dr1dz4,r4pe8bez3/4ne3bq4bew2j92gea jx4hq me-2d8 e3hy4hi2ty k84!
chengjc wrote:
發現一直有IP在試圖連接,
這應該都是對岸的IP,
請問我需要做甚麼防護嗎??
YAWPYNG wrote:
那是別人試圖透過pptp vpn想要連上你的ros當跳板.
把你的vpn server 內的使用者帳密設複雜點就差不多ok了.
或是這樣做
Y大您的方法只能防ssh登入ros ,用來修改成pptp或其它vpn認證則會出現錯誤的作用...
因為vpn-client連入並非一次一筆conn ,
所以vpn-client都還沒做密碼確認就被server直接丟黑名單了.
所以小弟自編新的pptp與ovpn驗證script,流程是:
1.將嘗試連入ovpn 與pptp連接埠的來源ip ,全部抓到a.test清單.
2.在每1分鐘開始都做ovpn與pptp的server ip連入清查 ,
若ovpn/pptp是有連線的,把server有記錄的ip從a.test移除掉...
3.檢查完a.test還剩餘的ip ,即垃圾ip...全部轉移port scanners黑名單封掉.
/ip firewall filter 新增:
/ip firewall filter
add action=drop chain=input src-address-list="port scanners"
add action=add-src-to-address-list address-list=a.test address-list-timeout=1m20s \
chain=input dst-port=1723 protocol=tcp
add action=add-src-to-address-list address-list=a.test address-list-timeout=1m20s \
chain=input dst-port=1195 protocol=tcp
script:
https://dl.dropboxusercontent.com/u/34743921/vpncheck.txt
成果:
若還想做l2tp與sstp的檢驗,
只要將script內容的"ovpn"與"pptp" ,修改為"l2tp"與"sstp"...目的就達成啦!
gfx wrote:
與derliang...(恕刪)
g大真的超熱心的,還連到小弟的電腦來抓蟲,寫程式的能力讓小弟佩服不已。
原先是因為用IPv6的Mangle來標記IPv6封包時,用fe80開頭的IPv6 IP都無法抓到流量。
只好使用forward外加裝置真實的IP,這才能抓到流量。
但IPv6的IP又會隨著Prefix而變,所以IPv6的流量無法管控。
g大一步一步的很有耐心的try出ROS 6.33.1版的作法,
但還是原先g大寫的那個全自動更新所有裝置IP的Script比較讚!
g大加油喔,很不好意思讓你忙到這麼久。
感謝again。
irsjx2vxo3ne3k84dr1dz4,r4pe8bez3/4ne3bq4bew2j92gea jx4hq me-2d8 e3hy4hi2ty k84!
eavictor wrote:
1. /firewall...(恕刪)
/ip address
add address=192.168.110.1/24 interface=ether5-Lan2 network=192.168.110.0
add address=172.16.25.164/28 interface=ether4-Wan2 network=172.16.25.160
/ip firewall mangle
add action=mark-connection chain=prerouting dst-address=172.16.25.164 \
in-interface=ether4-Wan2 new-connection-mark=164Server
add action=mark-routing chain=prerouting connection-mark=164Server dst-address=\
172.16.25.164 in-interface=ether4-Wan2 new-routing-mark=164Server \
passthrough=no
add action=mark-routing chain=output connection-mark=164Server \
new-routing-mark=164Server passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether4-Wan2 src-address=\
192.168.110.0/24
add action=dst-nat chain=dstnat dst-address=172.16.25.164 dst-port=80 \
in-interface=ether4-Wan2 protocol=tcp to-addresses=192.168.110.107 \
to-ports=80
add action=dst-nat chain=dstnat dst-address=172.16.25.164 dst-address-type=\
local dst-port=80 protocol=tcp to-addresses=192.168.110.107 to-ports=80
add action=src-nat chain=srcnat src-address=192.168.110.107 to-addresses=\
172.16.25.164
/ip route
add distance=1 gateway=172.16.25.164 routing-mark=164Server
add distance=1 gateway=172.16.25.161
我在mangle裡增加了mark routing有看到流量進來,但是無法開啟網頁。
請在指點一下囉~謝謝
另外我參考
http://wiki.mikrotik.com/wiki/How_to_link_Public_addresses_to_Local_ones
https://aacable.wordpress.com/2013/11/13/mikrotik-with-multiple-wan-ips-and-port-forwarding/
這篇中並沒有提到需要mark routing
我對ROS的觀念還不是太清楚-.-!!!
內文搜尋
從 APP 打開
X