Золотой конфиг для малого и среднего офиса

Очень полезная презентация. Спасибо, что выложили.

SWS-LINK

Чтобы поднять приоритет RDP трафика, достаточно: промаркировать соединение, по соединению маркировать пакеты, создать правило повышающее приоритет (по маркировке пакета). Нужно ли маркировать весь оставшийся трафик ?

ShSh-rcxn

16:04 а для блокировки UPD трафика разве не надо указывать protocol=udp ?

mcdba

С открытими портами и попытками подбора...
Вспомнил анекдот как китайцы ломали сервер пентагона с паролем "Мао Дзедун"

oz

23:58 - в RAW нет цепочки "Forward"

earledge

input отрезается 5ю правилами... если что инпут это цепочка защиты только роутера.

trnglm-music

13:54 Выступающий говорит, что отключаем опцию "echo reply", а в примере на слайде опция 8:0 это "echo request". На слайде правильно, а озвучили не верно.

МаксимМ-жч

А зачем делать ежедневные бэкапы с Микротика? Обычно достаточно одного бэкапа, до каких-либо изменений конфигурации. И одного бэкапа после изменений в конфигурации. Исходя из практики, очень редко что-то приходится перенастраивать или дополнять правила и т.д. И обычно в эти моменты бэкап и делается.

drwatson

Мороз и солнце день чудесный
Фаервол Микротика прелесный
Админ скорее просыпайся
РоутерОС ты не пугайся

Микрот для SOHO ты настрой
За дыры в ОСи ты не ной
Придёт обнова латышей
Скорей беги качай и шей

Мой красноглазый бедолага
Не плачь, читай и не ругайся
Микрот настроить тебе надо
Читай, настрой чтоб не ломался

И день прошёл и ночь прошла
И вновь беда к тебе пришла
Ddos тебя опять нашла
В сети закралась, не ушла

Тебя с работы в шею гнали
Ломали, били, унижали
В просак админ попал опять
И слёз от горя не унять

НарекСаргисян-ъщ

На 49ой минуте говорится, что Микротик не может создавать папки и приводится сложный пример, как это можно обойти. Но ведь можно, используя Winbox перетащить мышкой из Windows заранее созданную папку, также как мы это делаем с файлами. Или я не правильно понял проблему?

andreytorzhenov

Что удалось выяснить
есть два варианта запуска скрипта:
первый с ответа Sam Boldner - /system reset-configuration no-defaults=yes run-after-reset=<script>.rsc
второй - /import file-name=....
нашел в скрипте некие нерабочие моменты: (проверял на прошивке - 6.45.6 (Stable))
в самом скрипте ошибка - раздел #Configuring backup
строка - \n/tool e-mail send file=\"email_backup.backup\" to=\"\$BackupToEmail\" from=\"\$SMTPUser\" body=\"See attached file\" subject=\"\$[/system identity get name] \$[/system clock get time] \$[/system clock get date] Backup\";\r\
должно быть - \n/tool e-mail send file=\"email_backup.backup\" to=\"$BackupToEmail\" from=\"$SMTPUser\" body=\"See attached file\" subject=\"\$[/system identity get name] \$[/system clock get time] \$[/system clock get date] Backup\";\r\
иначе переменные $BackupToEmail и "$SMTPUser не берутся из шапки
если в скрипте в шапке в разделе #CAPsMAN
#CAPsMAN guest service customize? (1 yes, 0 no)
:local CAPsMANGuestNetInstall 1;
поставить - 0 - скрипт не запускается
для запуска CAPsMAN на роутере где запущен скрипт в правила фаервола нужно добавить строку
;;; RealDefConf: allove CAP from LAN
chain=input action=accept src-address-type=local dst-address-type=local
log=no log-prefix=""
перед
;;; RealDefConf: drop all not coming from LAN

chain=input action=drop in-interface-list=!LAN log=no log-prefix=""
иначе не зупустится CAPsMAN в Wirelles


Спасибо автору, скрипт очень понравился, попробую добавлять в него по мере нахождения что то интересное
маленькое добавление для проверки работоспособности интернета
#Configuring Netwatch
:log info "Start Netwatch configured";
:do {
/tool netwatch add down-script="log warning \"internet propal\"" host=8.8.8.8 interval=30s up-script="log warning \"internet zarabotal\""
:log info "Netwatch settings created";
} on-error={:log error "Error Netwatch settings configured"};

romanroman

Спасибо!Много интересного услышал.
Есть замечание: слайд 24 :
Кавычка не там, нужно: src-address-list=!NotTrapsIP
В том же примере не понял как/где установить address-list-timeout=3d
Команду как есть микротик не принял

Alexander_Herz

Если есть возможность опишите как запустить этот скрипт

romanroman

О каком установщике для винды на 37 минуте идет речь?

Alexey-bw

BOGON лучше блэкхолить в роутинге, а не резать файрволлом.

starikoff

23 слайд не принимает код выдает ошибку версия прошивки последняя 6.47.1, ошибка ( syntax error (line 1 column 140)
) можете подсказать что не так код в в вожу через терминал

GiorgiZurashvili

Вот нафига лектор в очередной раз рассказал, что надо делать маскарад в srcnat, имея при этом статический внешний адрес, который он предлагает даже добавить в addres-list?
А зачем запрещать echo reply ICMP в цепочке INPUT? Чтобы пинги с роутера уходили, но нам ответить не могли?

alexanderkozlikhin

23:13 Мы блокируем входящие новые соединения, а не установленные. Значит chain=input connection-state=new

AtmelMk

А если некоторые любознательные просканировали ваш роутер из-за ната, то вы залочите и всех остальных хороших людей с того же ип. А нат сейчас много где.

ycrjduf