Спасибо за подобную серию роликов. С ними стало намного проще находить нужную информацию по сравнению с длинными роликами.

За улыбку в конце роликов, когда понимаешь что ролик коротки, лайкос. Ну требуем продолжения банкета!

Новый формат просто Огонь!

как обычно - классный контент

Вам спасибо

Спасибо. в моей конфигурации не заработало правило input, а вот правило forward работает как нужно

Инфа бомба!

Спасибо

Здравствуйте! Пишу практически от безнадеги. Возможно ли то, что я хотел сделать? Постараюсь кратко. Есть плоская сеть. Два сегмента удалены друг от друга. Связаны оптикой, с двух сторон стоят CRS317. Также на сети есть антенны, которые воткнуты НЕ в 317е микротики, в в другие свитчи, по одной антенне на участке, итого две. Как было раньше - упала оптика, отключаем оптический порт в том сегменте, что имеет доступ к антеннам и включаем лан-порт на антенне другого сегмента. Руками. И вот.. задумал я значит сделать все автоматом. Через антенны и свитчи протянул vlan между 317ми микротиками. Этакий виртуальный провод чтобы вышел. И затем сделал бондинг Active Backup, в котором слейвами указаны оптические порты и этот влан на каждой стороне. Добавил бондинг в бриджи с обеих сторон. В бридж-влан указал его в нужных вланах, чтобы управление ходило... В итоге.. что странно.. оно заработало, вот только не так, как нужно. В протянутом через свитчи и радио влане каждый 317й имеет адрес. Запускаю между ними пинги... Идут по оптике.. Гашу оптику - идут по влану. Латентность повышается, интерфейс переключается... Все хорошо, все отлично. Работает с виду бондинг. Вот только немаркированный трафик идет обходом, не по оптике, а через резервный канал. Не могу понять что я упустил... может HW Offload выключать на некоторых портах.. может делать вланы не бриджами, а как в старые времена. Бондинг-интерфейс все равно не работает с HW Offload.. в общем прямо шайтан-бондинг получился. Который нормально и выключить то сейчас проблема. Или петли, или связь теряется. Управление тоже пошло через него. Может у вас выйдет показать как сделать бондинг-бэкап физического интерфейса с вланом? Может быть прочтете.. и просветите по этому вопросу. Спасибо!

На какой-то из версий RouterOS в Address List начали попадать IP DNS сервера и как следствие начали появляться проблемы с сетью. Кто-то знает почему так?

Спасибо, полезно. А что лучше применять в качестве действия - Drop или другие методы? Планируется туториал на эту тему?

А если метод сканирования TCP SYN Scan да и сканят сразу на конкретный порт например на 3389

Поставил psd на локальную сеть и в течение дня большое количество ПК попали в бан микротика, подскажите, что это может быть, какие то сервисы винды или какой-либо софт популярный может сканить порты? Или это какой-то вирус на этих ПК сканирует?

Трэшхолд - это сильно :)

В вашем видео в 4:57 какое проникновение произошло, что за девушка прошла? Очень интересно. Дайте пожалуйста её контакт.))

И еще один момент. Некоторые секунд 20-30 долбятся в один порт, через паузу также в другой. И перебирают большие номера портов. Так что с учетом коэффициента 1 на 21 порт уйдет не меньше 10 минут. И установленные по умолчанию 3 сек. не вычислят таких сканеров.

Спасибо. Реализовал у себя и PSD и HoneyPot. Хотелось бы еще добавить: в практическом плане удобно преобразовывать отловленные адреса в подсети хотя бы /24 и банить подсетями. Тогда количество записей в адрес-листах как правило растет медленнее. Раз в минуту выполняю скрипт анализа адрес листа "ddoser", куда отправляются src-address от "злоумышленника". Отрабатывает очень быстро: { :local a; :local n; :foreach i in=[/ip firewall address-list find list="ddoser"] do={ :set a [/ip firewall address-list get $i address]; :if ([:find $a "/24" 0]) do={ } else { :set n ([:pick $a 0 ([:find $a "." ([:find $a "." ([:find $a "." 0] + 1)] + 1)] + 1)]."0/24"); [/ip firewall address-list set $i address=$n]; } } }

У меня почему-то PSD совсем не редактируется. Просто список выпадает и все. Так и должно быть?

К сожалению, эта штука видит не все сканирования. В частности, у меня зарегистрировала за пару часов 11 из 24-х внешних сканирований.

Правила PSD нужно ставить сразу после запрещающих правил? Т.е., каким в списке правил оно должно идти? Например, у меня идут сначала правила drop-ов DNS Flood, проверки сканирования SSH-портов и только затем всякие разрешающие правила. Правила PSD нужно ставить сразу после окончания запрещающих правил и перед первым разрешающими?

А не лучше засунуть это правило в прероутинг(Raw) для оптимизации нагрузки?!

Эх, когда же роутерось научится добавлять в адрес листы в6 сразу префиксами

Спасибо за данный материал, а есть ли способы определения кто сканирует локальную сеть изнутри?

"Правила PSD нужно использовать с большой осторожностью. Советуем Вам в список адресов источников для исключения добавить, как минимум, ip-адреса системного администратора, других площадок, ip-адреса шлюза вашего провайдера, DNS серверов и так далее" - а каким образом сделать такое исключение? Нужно создать отдельное правило?

🥰

давно ваших лекций не было

Wi Fi клиент создает 1000 запросов на аутентификацию менее чем за минуту на радиус сервер. MAC меняется. Хочется автоматически банить таких клиентов. Возможно это через PSD реализовать?

Когда нормальный ролих про dot1x в AD?

Port security когда завезут, а то как то несерьезно.

погонял в 4 филиалах - за 7 дней тысячи по три IP в бан лист влетело - смысла нет юзать - они меня перспамят -)

я так понимаю и тут РФ под санкциями?

😂яб сказал нафиг микротик нам смертным он нафиг не нужэн завтро откажусь.мне порты открыть надо если нельзя прога гавно