搜尋
搜尋
  • 860

[研究所] MikroTik RouterOS 學習 (持續更新)

前往頁尾
tsengleoo
tsengleoo
tsengleoo
  • tsengleoo
  • 個人積分:79分
    文章編號:60975752
79分
4891樓
2016-07-17 20:04
請問大家通用的防火牆規則有哪些?
在官方WIKI找了每個都差異蠻多的
不然就是重覆到,似乎會增加CPU使用量
有時會發現一個規則有相同說明,卻做不同的動作
還有些規則是設定上去後都長期掛0的無用規則...
若方便的話還請先進提供自己的規則供參考,感謝



gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:60976904
1603分
4892樓
2016-07-17 22:14
tsengleoo wrote:
請問大家通用的防火...(恕刪)
firewall filter每個人使用的環境不同,倘若您心中沒定案,您可以如此:

1.先置個人的網域清單
/ip firewall address


2.防火牆 (紅框的是VPN-Server負責的部份,未啟用VPN可省缺)

/ip firewall filter
add chain=input comment="Local area network" src-address-list=All-Lan
add chain=input comment="Mobile Devices" src-address-list=mobile
add chain=input comment="VPN Clients" dst-port=1723,81,1195 protocol=tcp \
src-address-list=temp
add chain=input dst-port=1701,500,4500 protocol=udp src-address-list=temp
add chain=input protocol=gre
add action=reject chain=input reject-with=icmp-admin-prohibited \
src-address-list="port scanners"
add action=add-src-to-address-list address-list=temp address-list-timeout=1m20s \
chain=input dst-port=1723 protocol=tcp
add chain=input dst-port=1723 protocol=tcp
add action=add-src-to-address-list address-list=temp address-list-timeout=1m20s \
chain=input dst-port=81 protocol=tcp
add chain=input dst-port=81 protocol=tcp
add action=add-src-to-address-list address-list=temp address-list-timeout=1m20s \
chain=input dst-port=1701,500 protocol=udp
add chain=input dst-port=1701,500,4500 protocol=udp
add action=add-src-to-address-list address-list=temp address-list-timeout=1m20s \
chain=input dst-port=1195 protocol=tcp
add chain=input dst-port=1195 protocol=tcp
add chain=input comment="Connection Responses" connection-state=established
add action=reject chain=input comment="Undefined discarded packets"
add action=reject chain=output dst-address=255.255.255.255

3.VPN用戶過濾腳本 (需搭配firewall filter VPN規則,未啟用VPN可省缺):
/system scheduler

https://dl.dropboxusercontent.com/u/34743921/vpncheck.txt

只要嘗試登入VPN-Server,
卻沒在1分鐘內成功登入的用戶將被腳本丟置port scanners,並封鎖7日...
jeremy9678
jeremy9678
jeremy9678
67分
4893樓
2016-07-17 23:30

gfx wrote:
firewall filter...(恕刪)


gfx大的設計真的是PRO級的,尤其那腳本的設計
jeremy9678
jeremy9678
jeremy9678
67分
4894樓
2016-07-17 23:33
NeverGiveUp!!! wrote:
安啦!免擔心(放上...(恕刪)


通常電子產品掛都是產生不穩非是真的死機

我的就是CCR1036,你還想投入CCR嗎??他的風聲滿大聲的
我放臥房聽習慣了才有辦法睡覺
kuanding
kuanding
kuanding
  • kuanding
  • 個人積分:2分
    文章編號:60978162
2分
4895樓
2016-07-18 0:29
RB850Gx2溫度,屋內靠牆,距離窗戶8公尺

Voltage 16.9 V
Temperature 49 C
CPU Temperature 55 C

Uptime 1d 04:58:10
Free Memory 444.9 MiB
Total Memory 469.8 MiB
CPU e500v2
CPU Count 2
CPU Frequency 533 MHz
CPU Load 1 %
Free HDD Space 429.7 MiB
Total HDD Size 512.0 MiB
Architecture Name powerpc
Board Name RB850Gx2
Version 6.34.6 (bugfix)
Build Time Jun/06/2016 08:37:27
NeverGiveUp!!!
NeverGiveUp!!!
NeverGiveUp!!!
58分
4896樓
2016-07-18 1:07
原來阿,誤認為你玩迷版的(迷你主機板那種的).
jeremy9678 wrote:
通常電子產品掛都是...(恕刪)


擺放的順序果然專業!
gfx wrote:
firewall filter...(恕刪)
Closer:世界在變,我隨之而變.我心則續於寧靜. :)物質無法取代的快樂之大小便是真理!\m/
tsengleoo
tsengleoo
tsengleoo
  • tsengleoo
  • 個人積分:79分
    文章編號:60987621
79分
4897樓
2016-07-18 20:05
感謝分享,看起來似乎無需設定許多規則
來達到防止網路攻擊或入侵等破壞行為

VPN只使用PPTP及L2TP,所以也只開這兩種
另外還增加阻擋53埠的UDP攻擊
並將預設規則放到最下面
只是不知是否有必要留著就是了

如果阻擋53埠的規則沒設定
路由器應該早就被打掛了(CPU約100%)
其他的像DDOS、BOGON、病毒、蠕蟲等的規則
就慢慢研究該如何設定會較好吧
不然找網路上的資源,相同功用不同設定法也是蠻亂的...
只希望別在規則未完善前就先被打掛了...
當然若有人願意提供自己的私藏規則,也還請指教



jeremy9678
jeremy9678
jeremy9678
67分
4898樓
2016-07-18 23:06
NeverGiveUp!!! wrote:
原來阿,誤認為你玩...(恕刪)


你說的迷版有想過想玩看看,但買ROS的授權不便宜,最少要買L4以上才像樣
elodie319
elodie319
elodie319
  • elodie319
  • 個人積分:59分
    文章編號:60991215
59分
4899樓
2016-07-19 4:30
RouterOS 防火牆

個人建議 不妨先改預設的 Identity 改成其他名字
gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:60993629
1603分
4900樓
2016-07-19 10:47
tsengleoo wrote:
感謝分享,看起來似...(恕刪)

請注意您使用的vpn-server port是否與小弟相同,不然vpn連線會無法使用的.
預設:
pptp:tcp 1723
l2tp/ipsec:udp 1701,500,4500
sstp:tcp 443 (小弟使用的是81)
ovpn:tcp 1194 (小弟使用的是1195)
  • 860
內文搜尋
搜尋
從 APP 打開從 APP 打開
X
X
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
請輸入您要前往的頁數(1 ~ 860)
確定
留言回報
取消 確定
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?