Address List в Mikrotik

  Рет қаралды 9,423

Mikrotik Training

Mikrotik Training

Жыл бұрын

В данной видео рассмотрим IP Firewall, Address List в Mikrotik.
Что можно туда добавлять, зачем они используются и какова механика использования адрес листов.
Статья по теме mikrotik-training.ru/kb/addre...

Пікірлер: 16
@lCooLRusHl
@lCooLRusHl Жыл бұрын
Хороший вариант. Предпочитаю использовать адрес листы для жесткого построения сети, т. е. адрес лист (или несколько листов) задаю прям в дхцп лизах для конкретных машин(оставляя соответствующие комментарии и/или лайф тайм. Таким образом жёстко конролирую несанкционированную активность в сети и на межсетевом пространстве. А всех кто не попал в адрес листы т.е. по дефолту к примеру не имеют доступа к серверам или сервисам определенного типа, но при этом например могут иметь доступ в итернет. Самая главная фича такого подхода, если ты, злоумышленник и знаешь всё настройки сети, тебе это не поможет, всё равно работать ничего не будет. т. к. При такой организации адрес листа для конкретного адресата действителен только если этот адресат имеет статус bound и твой id по 61 опции совпал + незабываем о 82 опции где прям будет писаться откуда именно подключалась та или иная машина ну там к примеру hostname-24:777(имя устройства, куда подключено, номер порта и номер влана). В общем при запрете взаимодействия client-client (в пределах физической и WiFi сети) без твоего ведома даже чихнуть не смогут, что лично в той организации где я сейчас работают крайне важно.
@lCooLRusHl
@lCooLRusHl Жыл бұрын
ну и да я помню о dit1x, но пока чот как-то руки до него не дошли, значит не оч то и нужно.
@MikrotikTraining
@MikrotikTraining Жыл бұрын
Подобный подход не спасет при подмене Mac-адреса. Условно получили адрес - попали в адрес-лист, но это проверка только на уровне Mac. Ну и все на ручном ходу - при dot1x все это получится автоматизировать.
@lCooLRusHl
@lCooLRusHl Жыл бұрын
@@MikrotikTraining, NVT ASCII или 61 опция(ID) не даст подменить мак, если мак и ID не совпадают с тем что в маршрутизатор сохранено, то соответственно это будет другой IP, а соответственно и другой адрес лист и другие правила сети. проблема будет только с устройствами не совместимыми с опцией 61, такие есть, но к счастью мало.
@lCooLRusHl
@lCooLRusHl Жыл бұрын
@@MikrotikTraining это хорошо что многие просто не понимают как это работает, так сказать мне от этого только споконее. 😁подменяйте мак сколько угодно, вы никогда не попадете в тот адреслист за которым именно подменяемая машина закреплена, т.к. без админских прав вы этот ID с исходного хоста не выцепите, а по какому принципу он генерируется это уже личная кухня каждой организации, но явно что не стоит использовать штатный 1:[мак хоста] или 1a:[мак хоста], меняется это ID только при смене операционки или сетевой карты, так что получается о надежно. что казсается дот1x, если сеть построена исключительно на микротах это не проблема, а когда у тебя зоопарк и Макротов, хуавеев, элтексов, длинков и прочего оборудования с годами выпуска от 2012 до 2022, как-то не до dot1. Да и если говорить о доступности оборудования... его счейчас просто нет в нужном количестве или за такой ценник что нуего нафиг.
@alext7199
@alext7199 4 ай бұрын
Так же по MAC адресам
@alexeypro3360
@alexeypro3360 Жыл бұрын
И желательно добавлять комментарий к каждой записи в Address List )
@MikrotikTraining
@MikrotikTraining Жыл бұрын
Конечно
@user-hd2cj1kw4n
@user-hd2cj1kw4n 7 ай бұрын
Подскажите пожалуйста, а можно ли изолировать так подсети на микротике?
@user-ub3pm6wo2y
@user-ub3pm6wo2y Жыл бұрын
Большое спасибо за видео!!! Два вопроса: 1. "Если мы хотим заблокировать доступ к контакту по 80,443 порту....", делаем правило и почему то в конце осталось Accept. Вероятно должно было быть Reject; 2. Я попытался добавить DNS записи (личные) из раздела IP\DNS\Static но это не получилось. Вероятно личные DNS Записи добавлять нельзя; 3. Как отреагируют правила на устройстве, если использованный в правилах конкретный address list будет в статусе "disable" (или все для конкретной записи в disable) ? его просто проигнорируют?
@MikrotikTraining
@MikrotikTraining Жыл бұрын
1. Reject или drop 2. Должен добавить - это фактически записи для самого роутера 3. Если есть не выключенный участник в адрес листе на него будет работать правило.
@user-sc7ru2el7b
@user-sc7ru2el7b Жыл бұрын
лично я использую адрест лист для доступа к микротам из вне. в фаирволе разрешаем трафик с адрес листа - в адрес лист заносим днс имя - в днс имени через RR забиваем нужные внешнии ИП. так даже самый забытый рутер будет знать ип адреса откуда я к ним могу заканектиться, все остальное слать нафиг.
@MikrotikTraining
@MikrotikTraining Жыл бұрын
Именно так нужно)
@ArsenAbaev
@ArsenAbaev Жыл бұрын
А подскажите, пожалуйста, что такое RR ?
@user-sc7ru2el7b
@user-sc7ru2el7b Жыл бұрын
@@ArsenAbaev round robin. В отношении днс это когда к одному днс имени прикреплено несколько ИП.
@shibanovsd
@shibanovsd 8 ай бұрын
подскажи пожалуйста как открыть доступ к сайту
Принцип «Если-То» в Firewall MikroTik, Вкладки «General», «Advanced», «Extra», «Action»
2:48
Принцип «Если-То» в Firewall MikroTik, Вкладки «General», «Advanced», «Extra», «Action»
Mikrotik Training
Рет қаралды 3,8 М.
Знакомство с NAT
9:50
Знакомство с NAT
Mikrotik Training
Рет қаралды 37 М.
Универ. 13 лет спустя - ВСЕ СЕРИИ ПОДРЯД
9:07:11
Универ. 13 лет спустя - ВСЕ СЕРИИ ПОДРЯД
Комедии 2023
Рет қаралды 5 МЛН
Always be more smart #shorts
00:32
Always be more smart #shorts
Jin and Hattie
Рет қаралды 13 МЛН
Backstage 🤫 tutorial #elsarca #tiktok
00:13
Backstage 🤫 tutorial #elsarca #tiktok
Elsa Arca
Рет қаралды 45 МЛН
Мен үшін таңдау жасалған | 2 серия | 60 кг | Сериал 2024 | Конкурс
30:00
Мен үшін таңдау жасалған | 2 серия | 60 кг | Сериал 2024 | Конкурс
OMIR
Рет қаралды 548 М.
Пока ещё открыто ,,окно возможностей и это супер !!!
14:21
Пока ещё открыто ,,окно возможностей и это супер !!!
ARTUR KACHANOV
Рет қаралды 3
Ручная Настройка Default Firewall Filter Rules в MikroTik
8:39
Ручная Настройка Default Firewall Filter Rules в MikroTik
Mikrotik Training
Рет қаралды 19 М.
Создание IP-адреса в черном списке для входящего трафика (Blacklist-IN) | TheWall Firewall
0:53
Создание IP-адреса в черном списке для входящего трафика (Blacklist-IN) | TheWall Firewall
TheWall: Платформа кибербезопасности
Рет қаралды 55
UNBOXING MikroTik L009UiGS-RM by NeXTGENiT
0:56
UNBOXING MikroTik L009UiGS-RM by NeXTGENiT
NeXTGENiT CHANNEL
Рет қаралды 8 М.
Trainz | Szybka instalacja lepszej fizyki do wagonów
4:54
Trainz | Szybka instalacja lepszej fizyki do wagonów
Sebek07 Trainz
Рет қаралды 69
Mikrotik + Mikrotik: SSTP OpenVPN и L2TP
13:41
Mikrotik + Mikrotik: SSTP OpenVPN и L2TP
IT - it easy!
Рет қаралды 10 М.
VLAN в Mikrotik
21:20
VLAN в Mikrotik
Mikrotik Training
Рет қаралды 50 М.
Система предотвращения вторжений (IPS/IDS) от MOXA: IEC-G102-BP
0:51
Система предотвращения вторжений (IPS/IDS) от MOXA: IEC-G102-BP
IPC2U
Рет қаралды 477
Обзор Bridge в Mikrotik
7:07
Обзор Bridge в Mikrotik
Mikrotik Training
Рет қаралды 16 М.
QoS вводная лекция
7:30
QoS вводная лекция
Mikrotik Training
Рет қаралды 8 М.
Хотела заскамить на Айфон!😱📱(@gertieinar)
0:21
Хотела заскамить на Айфон!😱📱(@gertieinar)
Взрывная История
Рет қаралды 3,2 МЛН
he followed the finger movements #shortvideo #iphonefold #smartphone
0:14
he followed the finger movements #shortvideo #iphonefold #smartphone
Si pamerR
Рет қаралды 2,1 МЛН
Samsung Galaxy 🔥 #shorts #trending #youtubeshorts #shortvideo ujjawal4u
0:10
Samsung Galaxy 🔥 #shorts #trending #youtubeshorts #shortvideo ujjawal4u
Ujjawal4u. 120k Views . 4 hours ago
Рет қаралды 4,9 МЛН
Нашел еще 70+ нововведений в iOS 18!
11:04
Нашел еще 70+ нововведений в iOS 18!
ProTech
Рет қаралды 82 М.
Iphone or nokia
0:15
Iphone or nokia
rishton vines😇
Рет қаралды 1,8 МЛН
ВЫ ЧЕ СДЕЛАЛИ С iOS 18?
22:40
ВЫ ЧЕ СДЕЛАЛИ С iOS 18?
Overtake lab
Рет қаралды 134 М.
После ввода кода - протирайте панель
0:18
После ввода кода - протирайте панель
Up Your Brains
Рет қаралды 136 М.