Очень полезная презентация. Спасибо, что выложили.

Топчик!

Очень, очень дельно!

Огонь

С открытими портами и попытками подбора... Вспомнил анекдот как китайцы ломали сервер пентагона с паролем "Мао Дзедун"

Чтобы поднять приоритет RDP трафика, достаточно: промаркировать соединение, по соединению маркировать пакеты, создать правило повышающее приоритет (по маркировке пакета). Нужно ли маркировать весь оставшийся трафик ?

16:04 а для блокировки UPD трафика разве не надо указывать protocol=udp ?

23:58 - в RAW нет цепочки "Forward"

23 слайд не принимает код выдает ошибку версия прошивки последняя 6.47.1, ошибка ( syntax error (line 1 column 140) ) можете подсказать что не так код в в вожу через терминал

Что удалось выяснить есть два варианта запуска скрипта: первый с ответа Sam Boldner - /system reset-configuration no-defaults=yes run-after-reset=.rsc второй - /import file-name=.... нашел в скрипте некие нерабочие моменты: (проверял на прошивке - 6.45.6 (Stable)) в самом скрипте ошибка - раздел #Configuring backup строка - /tool e-mail send file=\"email_backup.backup\" to=\"\$BackupToEmail\" from=\"\$SMTPUser\" body=\"See attached file\" subject=\"\$[/system identity get name] \$[/system clock get time] \$[/system clock get date] Backup\"; \ должно быть - /tool e-mail send file=\"email_backup.backup\" to=\"$BackupToEmail\" from=\"$SMTPUser\" body=\"See attached file\" subject=\"\$[/system identity get name] \$[/system clock get time] \$[/system clock get date] Backup\"; \ иначе переменные $BackupToEmail и "$SMTPUser не берутся из шапки если в скрипте в шапке в разделе #CAPsMAN #CAPsMAN guest service customize? (1 yes, 0 no) :local CAPsMANGuestNetInstall 1; поставить - 0 - скрипт не запускается для запуска CAPsMAN на роутере где запущен скрипт в правила фаервола нужно добавить строку ;;; RealDefConf: allove CAP from LAN chain=input action=accept src-address-type=local dst-address-type=local log=no log-prefix="" перед ;;; RealDefConf: drop all not coming from LAN chain=input action=drop in-interface-list=!LAN log=no log-prefix="" иначе не зупустится CAPsMAN в Wirelles Спасибо автору, скрипт очень понравился, попробую добавлять в него по мере нахождения что то интересное маленькое добавление для проверки работоспособности интернета #Configuring Netwatch :log info "Start Netwatch configured"; :do { /tool netwatch add down-script="log warning \"internet propal\"" host=8.8.8.8 interval=30s up-script="log warning \"internet zarabotal\"" :log info "Netwatch settings created"; } on-error={:log error "Error Netwatch settings configured"};

А зачем делать ежедневные бэкапы с Микротика? Обычно достаточно одного бэкапа, до каких-либо изменений конфигурации. И одного бэкапа после изменений в конфигурации. Исходя из практики, очень редко что-то приходится перенастраивать или дополнять правила и т.д. И обычно в эти моменты бэкап и делается.

input отрезается 5ю правилами... если что инпут это цепочка защиты только роутера.

На 49ой минуте говорится, что Микротик не может создавать папки и приводится сложный пример, как это можно обойти. Но ведь можно, используя Winbox перетащить мышкой из Windows заранее созданную папку, также как мы это делаем с файлами. Или я не правильно понял проблему?

Спасибо!Много интересного услышал. Есть замечание: слайд 24 : src-address-list="!NotTrapsIP" Кавычка не там, нужно: src-address-list=!NotTrapsIP В том же примере не понял как/где установить address-list-timeout=3d Команду как есть микротик не принял

BOGON лучше блэкхолить в роутинге, а не резать файрволлом.

13:54 Выступающий говорит, что отключаем опцию "echo reply" , а в примере на слайде опция 8:0 это "echo request". На слайде правильно, а озвучили не верно.

О каком установщике для винды на 37 минуте идет речь?

Если есть возможность опишите как запустить этот скрипт

Вот нафига лектор в очередной раз рассказал, что надо делать маскарад в srcnat, имея при этом статический внешний адрес, который он предлагает даже добавить в addres-list? А зачем запрещать echo reply ICMP в цепочке INPUT? Чтобы пинги с роутера уходили, но нам ответить не могли?

23:13 Мы блокируем входящие новые соединения, а не установленные. Значит chain=input connection-state=new

А если некоторые любознательные просканировали ваш роутер из-за ната, то вы залочите и всех остальных хороших людей с того же ип. А нат сейчас много где.

не проще на input разрешить доступ только с нужных адресов, чем отлавливать ушлых, сохранять их ip и потом проверять список?

Много спорных моментов

Слабовато! Это все для end users