Port Knocking в Mikrotik Firewall Filter

preview_player
Показать описание
В данном видео мы поговорим про port knocking, что это и как настроить на tcp портах, какие нюансы есть при использовании icmp протокола и чем может помочь данная настройка в работе сетевого инженера.

  1. Mikrotik Training
  2. chain
  3. cli
  4. drop
  5. filter
  6. firewall
Рекомендации по теме
Port Knocking в 0:09:06

Port Knocking в Mikrotik Firewall Filter

Реализация Port Knocking 0:19:49

Реализация Port Knocking на Mikrotik для защиты подключения к ресурсам...

Port knocking with 0:11:36

Port knocking with MikroTik

Port Knocking Step 0:14:13

Port Knocking Step by Step - Mikrotik RouterOS v6 & 7

Protecting MikroTik Logins 0:07:00

Protecting MikroTik Logins with Port Knocking

Защита от сканирования 0:05:23

Защита от сканирования портов - PSD в mikrotik.

Port Knocking in 0:02:02

Port Knocking in Mikrotik

Port Knocking with 0:27:04

Port Knocking with MikroTik

Port Knocking (Network 0:04:21

Port Knocking (Network Security Technique) Explained and Demoed in 5 Minutes!

Mikrotik port knocking 0:12:43

Mikrotik port knocking

PORT KNOCKING MIKROTIK 0:11:18

PORT KNOCKING MIKROTIK ROUTER | MENGAMANKAN ROUTER MIKROTIK DENGAN METODE PORT KNOCKING

Основы Firewall Filter 0:03:04

Основы Firewall Filter в Mikrotik

Mikrotik port knocking 0:01:11

Mikrotik port knocking + Fail2Ban ft. RoyalTSX task before connect

MIKROTIK PORT KNOCKING 0:14:43

MIKROTIK PORT KNOCKING ROUTER OS 6.49.6

Цепочка Output в 0:06:39

Цепочка Output в Mikrotik Firewall Filter

Цепочка Forward в 0:08:01

Цепочка Forward в Firewall Mikrotik Filter

portknocking на mikrotik 0:07:19

portknocking на mikrotik

Action в Mikrotik 0:09:46

Action в Mikrotik ip firewall filter - accept, log, add to address list

Отключаем стандартные порты 0:00:21

Отключаем стандартные порты в mikrotik

Port knocking MikroTik.iptables, 0:04:11

Port knocking MikroTik.iptables, часть 34

Implementing Network Security 0:30:31

Implementing Network Security with MikroTik RouterOS IP Firewall Advanced and Extra Conditions

Основные цепочки IP 0:01:58

Основные цепочки IP Firewall Filter, используемые в MikroTik

Защита от брутфорса 0:06:05

Защита от брутфорса на MikroTik

Firewall в Mikrotik: 1:19:15

Firewall в Mikrotik: разбираем, как обеспечивать безопасность сети...

Комментарии
Автор

Роман, спасибо за знания. С вами, можно быть обладателем Микротика.

kot
Автор

Спасибо, по вашим видео изучаю возможности RouterOS! Очень нравится формат, раньше смотрел по часу, но не всегда есть столько времени. 👍👍👍

АндрейГрязнов-ль
Автор

Роман, можно так же видео про состояние пакетов? Спасибо! /Ваши часовые вебинары лучшие!

No_NameQ
Автор

Давно хотел защитить winbox, теперь будет возможность. Скажу так, атаки на микротик мотивируют изучать сети и маленькую коробочку😝

kot
Автор

Роман, огромное спасибо за ваши видео, очень все четко и доступно. Не могли бы вы снять видео со след.сценарием: имеем интерфейс vpn (wireguard) и хотим трафик для определенных сайтов отправлять через него, остальной через провайдера. Возможно уже есть такое у вас, тогда прошу прощения.

awerton
Автор

Как раз сейчас ищу материал по данной теме. Дело в том, что возникла необходимость подключать сотрудников удалённо. Но головная контора регулярно следит за открытыми портами на адресах подчиненных подразделений. Port Knocking - вроде то, что нужно. Но возникает вопрос - когда удалённый сотрудник достучался и соединился, получается порт открыт и контролирующее подразделение сразу обнаружит это?

picassos
Автор

Я провел эксперимент:
Настроил порты стучась на которые попадаешь в определенный адрес лист, так вышло поставил порты по возрастанию с рандомным интервалом(к примеру 50, 600, 1050). Далее запустил сканер портов и что ребята. У меня в адрес листе появились 2 списка. Считаю нужно подтюнить эту тему. Вы можете поиграться с рандомными числами чтобы интервал был по больше между цифрами портов, и чтобы 1, 2, 3 список не соответствовал порядку портов по возрастании. И еще сократив время работы в списке к минимуму больше шансов что не активизируется 2 список при скане портов на вашем устройстве.(время должно стоять такое чтобы вы успели попасть в след список). Софт кнокинг делает думаю это быстрее, поэтому активацию 1х двух списков можно привести к 3 секундам. Жду критику. Но бейте не

kot
Автор

Добрый день, Роман! Полагаю, что тема раскрыта не полностью. А именно, снимите вторую часть с произвольным порядком ввода портов для доступа к ресурсам.

pitercruz
Автор

Раскройте, пожалуйста, в одном из следующих видео различия в синтаксисе на RouterOS v6 и на RouterOS v7.
Переносили настройки с Mikrotik RB450G (v6.48.6) на RB5009UG+S+ (v7.0.5) и некоторые правила не отрабатывали.

Vit
Автор

Роман! Благодарю за Ваши видео.
2-3 летней давности, благодаря роликам Вашим, PORK KNOCK уже стандарт.
Прошу подсказать, port knock клиент для Windows. Под android отрабатывает и TCP и UDP и ICMP, а WINDOWS программы не нашел, что бы ещё ICMP отрабатывало.
У меня так 5 стуков в перемешку: TCP, UDPICMP на ANDROID, а под WONDOWS ICMP программа не знает, что это такое.
Получается так:
Программа на ПК отрабатывает порткнокинг на 4 пункта, а 5 стук уже командной строкой доганаю на WINDOWS.
Бухгалтера косо смотрят.
Прошу помочь. Благодарю.

ТарасГ-эо
Автор

Роман, добрый день. А почему не поместить drop на вкладку raw, цепочку prerouting? Это вроде будет дешевле по ресурсам маршрутизатора. Поправьте если я не прав.
Вроде и сам knocking можно сделать в raw. Это я по вашим же туториалам делал. Сейчас предпочтение поменялось?

ovanse
Автор

Правильно ли я понял, что при такой настройке порт 22 виден в инете постоянно, но доступ получают только те, кто прошелся по оговоренным портам? Или 22 порт закрыт и открывается только тогда, когда проходишь оговоренные порты?

dyadya
Автор

На телефоне (андройд) стоит программа Knock on Ports с разными стуками под разное железо и Mikrotik 1.3.27 - если в дороге надо что то подправить, то вполне рабочий комплект -)

SWS-LINK
Автор

А можно это организовывать mangle? В данном примере неважно но вроде маркеры меньше нагружают процессор?

krundel
Автор

лучше делать в raw. так как в filter rules нужно ждать пока соединение от 1 knock закроется чтобы попасть в knock2, по крайней мере у меня было так.

Владимир-рьг
Автор

Можно создать скрипт который будет делать это автоматом, НО только когда стучишься на специальный (технический) порт.
Админ стучится на специально заготовленный порт скрипт в свою очередь генерирует создает правило для Кнок со случайно сгенерированными портами и отправляет последовательность этих портов админу на почту

UncleAndru
Автор

Объясните зачем этот несекурный велосипед нужен? Гораздо проще настроить ssh по ключам или вообще vpn.

Samiron
Автор

Подскажите, какую программу для Port knocking можно использовать на Mac os?

Пиу-Пиу-зе
Автор

получается если просканировать все порты то доступ откроется?)

igogo
Автор

Номера портов для первых 2 простукиваний двузначные, а вот третье из четырех цифр. Наверное, чтобы Микротик не сгорел. 😀

aleksbotler