Вас приятно слушать грамотная речь , полезные уроки, не останавливайтесь ,продолжайте.
@DaveRylenkov4 жыл бұрын
Спасибо)
@sergeysergeev_4 жыл бұрын
Спасибо-классный урок приподнесли, хорошо объясняете. Ваш урок по Catalyst 2950 мне очень помог. Построил заново сеть, на 3 влана успешно работает уже пол года. Респект и успехов Вам. Лайк и подписку уже оформил.
@StanislavShakhbazov3 жыл бұрын
Спасибо огромное за хороший гайд без воды и болтовни.
@user-nu7ok1ut9r3 жыл бұрын
Лучший! Вся нужная информация в таком коротком ролике, талант! :)
@user-gs5zz8rh7p4 жыл бұрын
Спасибо за Ваши уроки!
@srh_btk3 жыл бұрын
Супер! То что нужно! Спасибо за уроки. Хотелось бы увидеть видео по port-knocking и маркировку пакетов, если есть такая возможность.
@DaveRylenkov3 жыл бұрын
Спасибо за отзыв, про port knocking уже есть видео на моем канале
@kot6897 Жыл бұрын
Тоже доволен вашей работе. Доп инфа по сетям приносить удовлетворение. Сижу дома настраиваю микротик. Увидел у других людей 30 правил firewall и понял что есть куда стремиться. Между прочим подвергался атакам от ботнетов при ненастроенном fierwall на микротике. 😆😆😆
@rootware4 жыл бұрын
четко , якно и понятно , спасибо !
@korobelnikovguarim97024 жыл бұрын
Расскажи, пожалуйста, про варианты настройки firewall NAT
@user-hz6pn4si5o3 жыл бұрын
Доступно, понятно, без лишнего. Спасибо за гайд! Правда я до конца не понял, как и какое правило прописать, чтобы комп подключенный у меня по 3му локальному порту (для третьего порта у меня сделан отдельный бридж - 8я подсеть) не мог никаким образом зайти на интерфейс роутера и что-то там менять, ни через ip ни через winbox.
@SovMan2 жыл бұрын
Спасибо, Друг!
@sergexiomi77003 жыл бұрын
Давид, спасибо за видео объяснения
@user-nd2bu5hv7y8 ай бұрын
В целом все отлично. У меня при правиле drop/input валится пинг из терминала роутера, такое же при форварде не портит пинг на клиентских машинах. заработало только тогда, когда поиставил в стейт new у правила drop/input
@kutycr6 ай бұрын
приветствую! подскажите, этих правил достаточно для домашнего использования данного роутера ? без фанатизма, из вне мне не нужно на него заходить и проверять и тп вещи....
@metalus98384 жыл бұрын
Можеш обеснить про оптикальный кабель(fibre optical). Как и на каких устроить надо соединить и настроить. В цискр пакет трасер
@aliensky64092 жыл бұрын
спасибо!
@DaveRylenkov11 ай бұрын
Провожу индивидуальные консультации по компьютерным сетям и настройке MikroTik . Пишите мне в ВК
Почему в некоторых правилах указан интерфейс? Это имеет значение? Как быть, если будет добавлен еще один бридж или wan.
@ruslan.pupkov3 жыл бұрын
Этого достаточно? или ещё какие правила нужны?
@desdechado93 жыл бұрын
Здравствуйте Давыд. Разрешите спросить, если соединение PPOE , нужно указывать именно его в фаерволе или можно просто указать внешний интерфейс ether 1 в правиле? И второй вопрос, в некоторых видео на ютуб говорят что дропать инвелид на всех интерфейсах не стоит , а только из приходящих извне, с wan, из-за того что некоторые устройства в сети лан например могут генерить инвелид пакеты, например китайские камеры. Что вы думаете по этому поводу?
@DaveRylenkov3 жыл бұрын
Здравствуйте, нужно указывать именно pppoe соединение. По поводу invalid пакетов, да, бывает что в локалке некоторые устройства их генерят поэтому можно только с WAN интерфейса оставить
@user-wr4xu7gv4b4 жыл бұрын
Thanks for video! Could you explain 2 last rules, what do mean Connection State Invalid?
@DaveRylenkov4 жыл бұрын
Эти правила нужны чтобы сразу срезать паразитный трафик, неправильно сформированные соединения
@korobelnikovguarim97024 жыл бұрын
может снимешь видосик объединение 2х провайдеров
@freem932 жыл бұрын
Здравствуйте! Насчёт dstnat, как сделать так чтобы из внутреннего локального сегмента при обращение на свой внешний адрес и порт. Можно было увидеть видеорегистратор. Я настроил как вы показали. Он работает с внешки. Но с внутренней сети не работает. Приложение AyEee 3.0
@sv1at Жыл бұрын
столкнулся с аналогичной проблемой. как получилось решить вашу?
@222Imphotep2224 жыл бұрын
А почему общее правило DROP для FORWARD и/или INPUT/OUTPUT цепочки не будет резать соединения с INVALID состоянием?
@user-lt5qq1lm5e3 жыл бұрын
В общем правиле он указал конкретные интерфейсы, а для INVALID - только цепочку, т.е. такие пакеты будут дропаться с любых интерфейсов. Согласен, что стоило этот момент в явном виде проговорить, а то не сразу заметно. К тому же, нужно ли такие пакеты дропать не на WAN-интерфейсе - вопрос открытый для обсуждения.
@kot6897 Жыл бұрын
1 Мы защищаем роутер на входе(input) от внешнего проникновения(WAN port - провод провайдера в eth1), от прощупывания(что за устройство, модель, mac, мусора или атак). Общим правилом drop - eth1. 2 После можно указать новое правило в цепочке input eth1(WAN)-accept, разрешающее пропускать ping и поднять это правило выше основного drop правила. Можно мониторить доступность микротика через ping, но тут же и нужно защитится чтобы злоумышленник не использовал это в своих целях. Я на работе видел как безопасники свои важные хосты шифрования закрывают от возможности их пинговать (icmp protocol). Всем добра и знаний🤓🤓🤓.
@nikopolv4 жыл бұрын
Для более гибкой настройки, если захотите поменять физический порт подключения например с 1 на 6 или подключили usb модем, лучше использовать interface list. То есть добавляете подключение в interface list (например WAN) и правила будут работать сразу, а не менять во всех порт.
@trew911114 жыл бұрын
щас всем заняться нечем дома сидят , помогите освоить микротик ,стыдно признаться сисадмин а микротик только щас решил изучить ,для себя ,ну и для работы в будущем ,я сейчас сокращён (по собственному)
@sergeysergeev_4 жыл бұрын
@@trew91111 Я был на Вашем месте 2 года назад-устроился на работу админом, а там микротик(был в шоке-в тот период времени ломали микротики, в прошивке уязвимость была-кажется версия 6.42 была) в интернете инфы огромная куча, настройка на самом деле не такая уж и сложная, как кажется-с файерволом придется повозиться, это правда, я до сих пор не совсем в нем силен-Давыд очень классно все объясняет. У Вас все получится-уверен.
@nikopolv4 жыл бұрын
@@trew91111 Есть программа GNS3, очень удобно для изучения сетей, там можно запустить routeros, создать между двумя маршрутизаторам vpn и тд. Изучить как настраивать можно по этому каналу, еще есть netskills, mikrotik training.
@nikopolv4 жыл бұрын
@@sergeysergeev_ Ломали только те у кого наружу торчал стандартный порт winbox. Если знаешь linux то изучения не составит труда, там многое интуитивно и понятно. Вот сейчас ковыряюсь в dlink dfl вот где вынос мозга.
@sergeysergeev_4 жыл бұрын
@@nikopolv на тот момент боялся его как огня. С GNU/Linux уже дружил и стандартные порты менял, это первое правило(вход от амина или root должен быть запрещен !!!)
@hazartilirot10143 жыл бұрын
Есть вопрос. Правил очень много, получается, все которые дропаютя должны идти в самый низ? Не совсем понятна последующая сортировка правил.
@kot6897 Жыл бұрын
Если запрещающее правило поставить раньше(ближе к нулю), оно перебьет приоритетом правило, которое разрешает пропускать трафик.
@user-uu8ep2xw5j4 жыл бұрын
вроде как было видео про настройку address lists? по доступу к роутеру извне по определенным IP адресам, что-то не могу найти , или на другом канале видел...
@alexeyzakharov81353 жыл бұрын
А не проще в первом созданом правиле указать "new" в connection state ? будут дропаться только новые пакеты из "инета" , т.е. ping из локалки должен продолжать ходить.
@UrNeuro2 жыл бұрын
Жесть, все понятно объяснил, а вот мой препод не справился.
@gaidamacka2 жыл бұрын
Напишите здесь пожалуйста модель вашего Mikrotika, плохо видно.
@avadasiken Жыл бұрын
RB2011UiAS-2HnD
@ninjasassasin32244 жыл бұрын
А как посмотреть правила файервола по умолчнаию? У меня на микротике RB2011UiAS-IN новом никаких правил не было - было все пусто.
@DaveRylenkov4 жыл бұрын
Там если с магазина его прям из коробки достать и подключать и заходить по винбоксу, либо сбрасывать, высвечивается окно, типо загрузить конфиг по умолчанию. Можно согласиться, либо с чистого листа настраивать, видимо вы с чистого листа настраивали
@zohrabmi5767 Жыл бұрын
Человек объсняет-это благое дэло! Люди добрые, объясните мне на человечоскоя языке; Я сижу за НАТом, и стоит добреньий Микротик роутербоард на выходе в инет. На локальке куча сервероа которые доступны из внешного мира на счет порт-форвардинга на роутере(Микротик) Зачем мне куча запрещающие правила? Стоит только Фаил2Бан образная правила которая при не удачном авторизации удлиняет время повторные попытки по течение несколько ч.. Все встроенные сервизы роутера отключены, только из локальной сети можна подключится ВинБоксом. Чем могут нам вредить? И каким образом? Зачем мне запрещающие правила для входящего трафика? (А на самом дэле куча запрещающих правил для исходящего трафика. Это мне понятно)
@John___Doe4 жыл бұрын
вроде все интересно, но слишком поверхностно, это скорее для тех кто перешел с бытового длинка на микротик и нужно настроить "как было до", 99% параметров не упоминается и вся гибкость микротика сходит на нет
@TheShotw2 жыл бұрын
Спасибо, а вы случаенно курсы не ведете?
@DaveRylenkov2 жыл бұрын
Индивидуально провожу консультации
@earledge2 жыл бұрын
Дефолтные правила делают тоже самое. Только установленные и связанные форвард пакеты проверяются на invalid и на утечку через пролом NAT.
@renshler99344 жыл бұрын
Большое СПАСИБО хотелось бы чтобы прилагали текстовый файл с командами Winbox NewTerminal в нужном порядке да еще и с комментами например 0 /ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN \ comment="defconf: masquerade" 1 /ip firewall filter add chain=input connection-state=invalid action=drop \ comment="defconf: Drop Invalid connections Input" 2 /ip firewall filter add chain=forward connection-state=invalid action=drop \ comment="defconf: Drop Invalid connections Forward" 3
@ruslan.pupkov3 жыл бұрын
Здравствуйте!!!! А если у меня PPPoE в место ether1 указывать PPPoE ? и при настройки нат тоже PPPoE а не ether1 ????
@DaveRylenkov Жыл бұрын
Да, в NAT нужно прописывать PPPoE интерфейс в таком случае
@mostrakt4 жыл бұрын
У вас честно есть какая то склонность преподаванию, к грамотному изложению материала!
@DaveRylenkov4 жыл бұрын
Спасибо))
@Nafan-TV1 Жыл бұрын
привет как с тобой можно связатся может телеграмм есть
@DaveRylenkov Жыл бұрын
Можете в вк написать мне
@romanjakhiashvili2 жыл бұрын
Я честно говоря не понял зачем правило на инвалид стейт. Ведь и так все должно дропаться, кроме established и related?
@user-rd3lj4gn4s Жыл бұрын
Не понял, а почему нет Chain = prerouting?
@DaveRylenkov Жыл бұрын
Эта цепочка трафика инициируется во вкладке Mangle, при самой базовой настройке это не затрагивается
@user-rd3lj4gn4s Жыл бұрын
@@DaveRylenkov а по RouterOS v7 не планируете обзоры? Там много чего изменилось, и хотелось именно об изменениях послушать, что поменялось, для чего, что пропало.
@DaveRylenkov Жыл бұрын
@@user-rd3lj4gn4s Насколько я помню Routeros 7 пока что нет в long-term, поэтому я в прод её стараюсь не ставить ещё. В следующем месяце возможно запишу о ней видео
@user-rd3lj4gn4s Жыл бұрын
@@DaveRylenkov ROS v7.7 stable была уже в январе. Сейчас вроде v7.8 stable (может даже v7.9). А лонг-терм у них появляется когда 10 000 пользователей на одной версии больше года без единой ошибки отработают, так что этого всегда пару лет надо ждать. В тоже время уже куча устройств вышла v7 only. Да и вообще пора уже, ведь v7 вышла в 2021 году.
@mix54572 жыл бұрын
Забавно, что в интернет можно спокойно ходить и без форвард... мораль, ракеты а форвард попадают по какому-то алгоритму, который как врдится здесь не озвучен