[研究所] MikroTik RouterOS 學習 (持續更新) (第682頁)

gfx
個人積分：1603分
文章編號：72353371

1603分

6811樓

2019-03-10 10:14

veyron0727 wrote:
您真是個熱心助人的...(恕刪)

nat就是指中繼。
Router自己的連線是無法在nat做控制的，因為它根本沒做中繼的動作。

Router做中繼時記憶體會記錄封包進來的路徑，回應會照進來的路徑送出。
若封包要求是您的電腦主動送出去的，Router也會將回應的封包送回來。

所以每次的進出循環，srcnat與dstnat都是併行的。

為何Router設定上網，action=masquerade chain=srcnat必要?
因為記憶體沒記錄，所以它標明了電腦上網要求封包，出Router前的路徑。

為何Router設定伺服器，action=dst-nat chain=dstnat必要?
因為記憶體沒記錄，所以它標明了外部要求封包，進入Router後的路徑。

所以若您沒標明外部要求封包，進入Router後的路徑(port forwarding)。
封包是無法從Router轉交電腦的，只能將封包讓Router自己吃下。
Router吃下來若無發觸發反應，這封包最後會因逾時而被Router丟棄。

所以您說的安全風險，即開了port forwarding這條進入的後門，陌生人會不會藉此進入?
會，肯定會。但您又不得不開放，否則您就不得遊戲連線了。

所以建議做法即使用的時候才啟用，平常最好都是關閉的。
而且我覺得把路徑封掉，遠比開放路徑再借由防火牆封閉更安全。
本來無一物，何處惹塵埃。對吧～

gfx

gfx
個人積分：1603分
文章編號：72357712

1603分

6812樓

2019-03-10 17:38

derliang wrote:
拜請gfx神人，最...(恕刪)

derliang大您要的生成VpnBanIP列表。需防火牆Rule搭配：

/ip firewall filter
add action=accept chain=input comment=friends src-address-list=friends
add action=accept chain=input comment=mobile src-address-list=mobile
add action=drop chain=input comment=Outlanders connection-state=invalid,new \
 in-interface=pppoe-out1 src-address-list=!temp src-address-type=!local

/ip firewall mangle
add action=accept chain=input comment="Local area network" src-address=192.168.0.0/16
add action=accept chain=input comment=friends src-address-list=friends
add action=accept chain=input comment=mobile src-address-list=mobile
add action=jump chain=input comment="vpn point" connection-state=new dst-port=1723,443,1194 \
 jump-target=vpn-point protocol=tcp src-address-list=!temp
add action=jump chain=input connection-state=new dst-port=1701,500,4500 \
 jump-target=vpn-point protocol=udp src-address-list=!temp
add action=add-src-to-address-list address-list=temp address-list-timeout=16m chain=vpn-point \
 src-address-list=!Scanners

/ip firewall raw
add action=accept chain=prerouting comment=friends src-address-list=friends
add action=drop chain=prerouting comment=Scanners src-address-list=Scanners

/ppp profile

:if ([/interface get $interface type]~"in") do={
  :do {/ip firewall address-list add list=mobile address=$"caller-id" timeout=1d} on-error={}
  :do {/ip firewall address-list remove [find list~"(temp|Scanners)" address=$"caller-id" dynamic]} on-error={}
}

/ppp secret

/system scheduler 新增：

:global vpn
:if ([:typeof $vpn]!="num") do={:set vpn 0}

:local total [/ip firewall mangle get [find chain=vpn-point action=add-src-to-address-list] byte]
:if ($vpn!=$total) do={:set vpn $total ; /system script run vpn-server}

/system script 新增：

:global vpn
:local connected [/ip firewall address-list find list=temp dynamic]

:local scanners 0
:foreach i in=$connected do={
  :if ([/ip firewall address-list get $i timeout]<0:1:0) do={
    /ip firewall address-list add list=Scanners address=[get $i address] timeout=14d
    /ip firewall address-list remove $i ; :set scanners ($scanners+1)
  }
}
:if ([:len $connected]>$scanners) do={:set vpn ($vpn-1)}

a22548546

Gfx大哥想請教一下，我使用13231這個Port(WireGuard)，用4G網路沒過多久就會被加入Scanners清單中，是我什麼地方沒注意到嗎

2022-12-15 20:12

derliang

derliang
個人積分：1143分
文章編號：72360552

1143分

6813樓

2019-03-10 22:32

gfx wrote:
derliang大...(恕刪)

嗯，夠複雜...我有空再來研究一下。
我的防火牆裡有規則可以把port scanner自動加到banIP裡。
有沒有比較簡單的方法可以把踹VPN的人自動加到banIP去呢？

irsjx2vxo3ne3k84dr1dz4,r4pe8bez3/4ne3bq4bew2j92gea jx4hq me-2d8 e3hy4hi2ty k84!

chenchunyen

chenchunyen
個人積分：6分
文章編號：72363614

6分

6814樓

2019-03-11 9:15

各位，小弟是新手，想請教一下HAP AC2的DHCP為何給的IP順序是從大到小，有辦法設定成小到大嗎? 找了半天沒甚麼設定值可以設定，還望大師解答，多謝

Canon 5D 24-104 F4L 16-35 F2.8L 70-200 F4L 50 F1.4 100 2.8 Macro =========

gfx

gfx
個人積分：1603分
文章編號：72364912

1603分

6815樓

2019-03-11 10:35

chenchunyen wrote:
各位，小弟是新手，...(恕刪)

系統沒有給，但搭配script可以做到。

chenchunyen

chenchunyen
個人積分：6分
文章編號：72365224

6分

6816樓

2019-03-11 10:53

gfx wrote:
系統沒有給，但搭配s...(恕刪)

請問Script有可以參考的嗎?

Canon 5D 24-104 F4L 16-35 F2.8L 70-200 F4L 50 F1.4 100 2.8 Macro =========

gfx

gfx
個人積分：1603分
文章編號：72365342

1603分

6817樓

2019-03-11 11:00

chenchunyen wrote:
請問Script有...(恕刪)

您的區網網段是多少，與dhcp-pool的名稱是什麼?
我幫您寫

chenchunyen

chenchunyen
個人積分：6分
文章編號：72365453

6分

6818樓

2019-03-11 11:08

gfx wrote:
您的區網網段是多少，...(恕刪)

192.168.2.1~192.168.2.254

但這個一定得用script嗎? 我有在沒屋頂網路賣家他預設值我找了半天沒有script設定值，但他的IP是從小到大排列。

Canon 5D 24-104 F4L 16-35 F2.8L 70-200 F4L 50 F1.4 100 2.8 Macro =========

gfx

gfx
個人積分：1603分
文章編號：72365478

1603分

6819樓

2019-03-11 11:09

chenchunyen wrote:
192.168.2...(恕刪)

dhcp-pool的名稱? 還缺這個...

router的機制,您沒法改變.

chenchunyen

chenchunyen
個人積分：6分
文章編號：72365515

6分

6820樓

2019-03-11 11:11

gfx wrote:
dhcp-pool的...(恕刪)

pool name dhcp

Canon 5D 24-104 F4L 16-35 F2.8L 70-200 F4L 50 F1.4 100 2.8 Macro =========