Роман, спасибо за знания. С вами, можно быть обладателем Микротика.

Спасибо, по вашим видео изучаю возможности RouterOS! Очень нравится формат, раньше смотрел по часу, но не всегда есть столько времени. 👍👍👍

Как всегда на высоте все!

Давно хотел защитить winbox, теперь будет возможность. Скажу так, атаки на микротик мотивируют изучать сети и маленькую коробочку😝

очень полезно !

Роман, можно так же видео про состояние пакетов? Спасибо! /Ваши часовые вебинары лучшие!

Оч крутая тема.

Роман, огромное спасибо за ваши видео, очень все четко и доступно. Не могли бы вы снять видео со след.сценарием: имеем интерфейс vpn (wireguard) и хотим трафик для определенных сайтов отправлять через него, остальной через провайдера. Возможно уже есть такое у вас, тогда прошу прощения.

Раскройте, пожалуйста, в одном из следующих видео различия в синтаксисе на RouterOS v6 и на RouterOS v7. Переносили настройки с Mikrotik RB450G (v6.48.6) на RB5009UG+S+ (v7.0.5) и некоторые правила не отрабатывали.

Как раз сейчас ищу материал по данной теме. Дело в том, что возникла необходимость подключать сотрудников удалённо. Но головная контора регулярно следит за открытыми портами на адресах подчиненных подразделений. Port Knocking - вроде то, что нужно. Но возникает вопрос - когда удалённый сотрудник достучался и соединился, получается порт открыт и контролирующее подразделение сразу обнаружит это?

Правильно ли я понял, что при такой настройке порт 22 виден в инете постоянно, но доступ получают только те, кто прошелся по оговоренным портам? Или 22 порт закрыт и открывается только тогда, когда проходишь оговоренные порты?

На телефоне (андройд) стоит программа Knock on Ports с разными стуками под разное железо и Mikrotik 1.3.27 - если в дороге надо что то подправить, то вполне рабочий комплект -)

Роман! Благодарю за Ваши видео. 2-3 летней давности, благодаря роликам Вашим, PORK KNOCK уже стандарт. Прошу подсказать, port knock клиент для Windows. Под android отрабатывает и TCP и UDP и ICMP, а WINDOWS программы не нашел, что бы ещё ICMP отрабатывало. У меня так 5 стуков в перемешку: TCP,UDPICMP на ANDROID, а под WONDOWS ICMP программа не знает, что это такое. Получается так: Программа на ПК отрабатывает порткнокинг на 4 пункта, а 5 стук уже командной строкой доганаю на WINDOWS. Бухгалтера косо смотрят. Прошу помочь. Благодарю.

Я провел эксперимент: Настроил порты стучась на которые попадаешь в определенный адрес лист, так вышло поставил порты по возрастанию с рандомным интервалом(к примеру 50, 600, 1050). Далее запустил сканер портов и что ребята. У меня в адрес листе появились 2 списка. Считаю нужно подтюнить эту тему. Вы можете поиграться с рандомными числами чтобы интервал был по больше между цифрами портов, и чтобы 1,2,3 список не соответствовал порядку портов по возрастании. И еще сократив время работы в списке к минимуму больше шансов что не активизируется 2 список при скане портов на вашем устройстве.(время должно стоять такое чтобы вы успели попасть в след список). Софт кнокинг делает думаю это быстрее, поэтому активацию 1х двух списков можно привести к 3 секундам. Жду критику. Но бейте не сильно)))))))))))

лучше делать в raw. так как в filter rules нужно ждать пока соединение от 1 knock закроется чтобы попасть в knock2, по крайней мере у меня было так.

Добрый день, Роман! Полагаю, что тема раскрыта не полностью. А именно, снимите вторую часть с произвольным порядком ввода портов для доступа к ресурсам.

Объясните зачем этот несекурный велосипед нужен? Гораздо проще настроить ssh по ключам или вообще vpn.

А можно это организовывать mangle? В данном примере неважно но вроде маркеры меньше нагружают процессор?

Можно создать скрипт который будет делать это автоматом, НО только когда стучишься на специальный (технический) порт. Админ стучится на специально заготовленный порт скрипт в свою очередь генерирует создает правило для Кнок со случайно сгенерированными портами и отправляет последовательность этих портов админу на почту

Подскажите, какую программу для Port knocking можно использовать на Mac os?

Роман, добрый день. А почему не поместить drop на вкладку raw, цепочку prerouting? Это вроде будет дешевле по ресурсам маршрутизатора. Поправьте если я не прав. Вроде и сам knocking можно сделать в raw. Это я по вашим же туториалам делал. Сейчас предпочтение поменялось?

получается если просканировать все порты то доступ откроется?)

Номера портов для первых 2 простукиваний двузначные, а вот третье из четырех цифр. Наверное, чтобы Микротик не сгорел. 😀

Некоторые админы добавили авторизацию веб, через cloudflare У них есть какой-то совместимый сервис

Интересно, кто то делал port knocking, чтобы не было разницы в какой последовательности это делать

Провайдер может резать длинну пакетов ping’a?