Биллингом никогда не занимался, встречался с mikrobill, carbon, abills. Но вряд ли этот вопрос ко мне - я в основном работаю с корпоративными сетями, достаточно редко с isp.

@@MikrotikTraining , спасибо за ответ. Буду гуглить Ваши рекомендации)))

Речь не про логи. Про адрес-листы - их невозможно писать на внешний носитель.

@@MikrotikTraining ааа, то есть про системные конфиги, а они пишутся только во внутреннюю флешку

Перманентный бан на некоторый срок это прекрасно😀😀

Пермач вроде означает бессрочный бан)

@@pat-bateman0 Конечно прекрасно. Построено потому что так, что если с каких-то адресов происходит подозрительная активность постоянно, то эти IP из бана не выйдут никогда. А если в течении некоторого срока больше небыло подозрительной активности, то такие IP выбывают из бана. Засаживать в бан всех перманентно - никакой памяти не хватит. Потому есть таймаут на помилование. Ну а рецидивистам не будет пощады. 🤣

Тут только смотреть логи. Собираете netflow для этого?

Временные адрес листы не записываются в конфигурацию, не перезаписывают флешку и хранятся в оперативной памяти.

@@MikrotikTraining Спасибо за ответ. Тогда постоянная запись и старание IP-адресов в адрес листы не изнашывает ячейки памяти флешки. Или я неправильно Вас понял в видео?

Прошлое видео посмотрите. Если просто, то raw выше чем filter rules, а чем быстрее остановится пакет, чем меньше ресурсов займёт у микротик

Менее ресурсоемкое.

Не пишите в конфигурацию - оставляйте с тайм-аутом

@@MikrotikTraining и так с тайм-аутом) раньше больше лезло, сейчас меньше вредителей

У меня 350к подсетей в разных листах, полёт нормальный

@@MikrotikTraining Не очень понятно - none dynamic ставить или задавать период сколько то дней?

Дешевле всего в raw.

@@MikrotikTraining а почему же демонстрируете в Filter rules?

Завести себе vps и подключаться через него.

Ну или стучаться в порты.

@@butzmanniam Что значит стучаться в порты ?

Vpn, port knocking, dyndns, /ip cloud, jump host, не стучаться из непонятных сетей, etc - вариантов масса.

@@MikrotikTraining спасибо, port knocking действительно интересный и подходящий вариант в моем случае !

Загадка. Что я имел в виду, написав "горшек"...

@@butzmanniam нулевой юмор

@@rsvidenko ась?

Зависит от ситуации.

Потому что берегите флеш память) всегда нужно беречь флеш память и помнить об этом)

@Mikrotik Training То есть я правильно понял -(src to address list) никак не использует флеш? Но берегите флеш смолоду👌учтем

@@mark.gl1800 или не правильно поняли или не досказали. выставленная опция timeout делает так что адрес записывается в RAM, а не на SSD. записывается в конфиг: ip/firewall/address-list/add list=honeypot address=8.8.8.8 Не записывается в конфиг: ip/firewall/address-list/add list=honeypot address=8.8.8.8 timeout=3d

Если не записывать в address list без тайм-аута, то изнашивается.

@@MikrotikTraining Тогда я вас недопонял, видимо, а в случае занесения в лист honeypot на несколько дней, оно пишется во флешь или в озу?

@@aleksbotler5358 Value of none-dynamic (00:00:00) will leave the address in the address list till reboot (до перезагрузки, следовательно пишется в оперативку) Value of none-static will leave the address in the address list forever and will be included in configuration export/backup (навсегда, пишется в флэш-память)

Тарпид не для блокировки, а для ответа на tcp syn tcp ack - иначе без этого порт совсем закрыт.

@@MikrotikTraining но я говорю о Вашей фразе на 4:12 где вы вначале сделали блокировку и тут говорите - «мы можем прописать ещё дополнительное правило Тарпид, тем самым привлеча больше злоумышленников к нашему горшочку с мёдом». Вот этой фразы я и не понял. С чего это привлекутся дополнительные злоумышленники из-за Тарпида, при том что вы и так его баните при первом же входе.

вообще) как посмел, правда?) это ведь идеальная богоугодная техника, она вообще никогда не ломается)) не то что какая то там CISCO )))

Если у вас нет открытых сервисов для всех - то конечно смысла нет.

Как это нет открытых дыр? Наружу торчит десяток портов rdp, удалённый доступ к видеонаблюдению, различные ftp, АТС и прочая шняга. И какие то из них вполне могут быть дырявыми. Вот чтобы на них не начали целенаправленную атаку вроде подбора пароля или эксплуатации известной уязвимости, нужно пресекать злоумышленников на этапе сканирования.

А по мне нормально. И за монтаж спасибо. Бесплатно обучение, ещё и с оформлением!

Передам оператору.

Пришлите, плиз, ссылку на ваши работы, мы поглядим. Если у вас там уровень Тарантино и соблюдены все принципы монтажа по Соколову, тогда к вам прислушаемся. Если вы с дивана знаете лучше, как нам делать контент - тогда продолжайте сидеть на диване. Ждите следующих роликов, в процессе заметите, что монтаж становится лучше. Привет вам от горе-оператора)))))

С монтажом и оформлением всё хорошо. Продолжайте в том же духе.

@@PopovGP

Если нет ничего опубликованного, то да)

Ну вот к примеру торчит наружу десяток открытых портов для rdp. Разумеется порты нестандартные, но найти их сканером и начать подбор для ботнетов не проблема. Для этого и устраивают защиту от сканирования. Собственно хонипот один из способов защиты от сканирования.