Добрый день, настроили роутер MikroTik RB951Ui-2HnD интернет через PPPoE статический но присваивается провайдером. По факту открыл подключение на одном порту и добавил PPPoE клиент больше ничего не настраивал. Пробросил порты, так же добавил правило что если внутри сети попытаться зайти через внешний адрес сразу кидает на нужный компьютер, забыл как это называется. Так вот это правило работает. А проброшенные порты почему то нет, пытаешься достучаться а толку нет.... в чем может быть проблема? так же просто засыпает терминал сообщениями:
10:35:31 echo: system,error,critical login failure for user admin from 175.17.201.162 via telnet
10:35:31 echo: system,error,critical login failure for user root from 78.85.23.63 via telnet
10:35:32 echo: system,error,critical login failure for user root from 177.10.217.229 via telnet
как от них избавиться?)
Вроде избавился отключил ssh и ftp а telnet перекинул на другой порт.. вопрос по пробросу актуальный, почему не могу достучаться?
Методом тыка (потрачена почти неделя) оказалось что надо выбирать в in. interface нужно было выбрать не сам интерфейс а подключение pppoe... бред конечно..
MikroTik RB951Ui-2HnD ростелеком по PPPoE, проброс портов, куча попыток подключения извне
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Какой-то поток мыслей и сознания. Может будем чуть инженерно и целенаправленно
обрисовывать что есть и что хочется.
И самое главное как проверяли? Если делается проброс для доступа снаружи во внутрь,
то проверять такой проброс надо с другого канала (не со своего).
То есть надо позвонить другу или зайти на рабочий компьютер и оттуда сделать проверку
доступности порта или найти в Интернете сайт(ы) которые показывают, открыт
ли порт или нет.
Поэтому расскажите и покажите как Вы делали и что.
(показать - я имею ввиду привести часть конфигурации файрвола микротика,
где будет явно показано как Вы проброс и настроили, как делать конфиг
в текстовом виде - вверху в шапке красным написано, пункт 5)
во внешнем интернете, так по мелочи, на специфических железках, телнет не защищён,
никак не шифруется....
Во-вторых создать правильные правила в файрволе, которые будут не пускать пакеты атакующих.
думаю ещё атаки идут на роутер из-за того, что Ваши правила файрвола (если они вообще есть) защищают
только порт ether1, а там трафик между провайдером и Вашим портом, поэтому правила надо делать по отношению к
интерфейсу рррое, да и чтобы неделю не тратить надо было почитать, методом тыка в микротике мало что получиться почти.
обрисовывать что есть и что хочется.
Теперь расскажите что куда Вы хотите пробросить?yaroslav.volobuev писал(а): ↑27 мар 2018, 09:37 А проброшенные порты почему то нет, пытаешься достучаться а толку нет.... в чем может быть проблема? так же просто засыпает терминал сообщениями:
И самое главное как проверяли? Если делается проброс для доступа снаружи во внутрь,
то проверять такой проброс надо с другого канала (не со своего).
То есть надо позвонить другу или зайти на рабочий компьютер и оттуда сделать проверку
доступности порта или найти в Интернете сайт(ы) которые показывают, открыт
ли порт или нет.
Поэтому расскажите и покажите как Вы делали и что.
(показать - я имею ввиду привести часть конфигурации файрвола микротика,
где будет явно показано как Вы проброс и настроили, как делать конфиг
в текстовом виде - вверху в шапке красным написано, пункт 5)
Во-первых вырубить порт телнета, зачем Вам? Телнетом как службой давно не пользуютсяyaroslav.volobuev писал(а): ↑27 мар 2018, 09:37 10:35:31 echo: system,error,critical login failure for user admin from 175.17.201.162 via telnet
10:35:31 echo: system,error,critical login failure for user root from 78.85.23.63 via telnet
10:35:32 echo: system,error,critical login failure for user root from 177.10.217.229 via telnet
как от них избавиться?)
во внешнем интернете, так по мелочи, на специфических железках, телнет не защищён,
никак не шифруется....
Во-вторых создать правильные правила в файрволе, которые будут не пускать пакеты атакующих.
Уточняющие моменты я выше объяснил, ошибки тоже возможные Вам показал.yaroslav.volobuev писал(а): ↑27 мар 2018, 09:37 Вроде избавился отключил ssh и ftp а telnet перекинул на другой порт.. вопрос по пробросу актуальный, почему не могу достучаться?
Почему бред, рррое = это виртуальный интерфейс, IP-адрес присваивается ему, значит это то через что Вы связаны с интернетом,yaroslav.volobuev писал(а): ↑27 мар 2018, 09:37 Методом тыка (потрачена почти неделя) оказалось что надо выбирать в in. interface нужно было выбрать не сам интерфейс а подключение pppoe... бред конечно..
думаю ещё атаки идут на роутер из-за того, что Ваши правила файрвола (если они вообще есть) защищают
только порт ether1, а там трафик между провайдером и Вашим портом, поэтому правила надо делать по отношению к
интерфейсу рррое, да и чтобы неделю не тратить надо было почитать, методом тыка в микротике мало что получиться почти.
-
poppy
- Сообщения: 24
- Зарегистрирован: 17 ноя 2017, 11:42
Никакой не бред, а все правильно. Интернет видит вас через этот интерфейс.yaroslav.volobuev писал(а): ↑27 мар 2018, 09:37 Методом тыка (потрачена почти неделя) оказалось что надо выбирать в in. interface нужно было выбрать не сам интерфейс а подключение pppoe... бред конечно..
А вот попутный вопрос к общественности в сторону:
Стоит ли в таких случаях вешать фильтры на чисто ehernet интерфейс, чтобы, например пропускать через него только pppoe?
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Да, стоит.
Я считаю что по порту, где бегает трафик внешний и трафик провайдера,
мало что там вдруг может проскочить, да и нет толка этот порт воспринимать
как локальный, поэтому внешний порт физически у меня тоже описан в
адрес-лист интерфейсов в раздел WANs.
И соответственно в файрволе везде при использовании правил защиты,
блокировок, защит от атак я использую адрес-лист WANs.
Маленькое исключение: есть провайдер(ы) которые по физическому порту дают доступы к своим внутренним
ресурсам, раньше в роутерах этот функционал назывался Dual Access, то при таком доступе,
да, порту физическому даётся какой-то внутренне-локальный адрес провайдера через которые
уже идёт обмен информации в рамках провайдерской сети, но и там, когда куча народа,
вирусни и прочего не мало, поэтому ряд стандартных защитных мер на таких портах
будет не лишним. Я имею ввиду защиту по SMB(CIFS) протоколам, и прочее....
-
poppy
- Сообщения: 24
- Зарегистрирован: 17 ноя 2017, 11:42
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Я люблю защиту, но не параноидальную.
Думаю надо вырубить почти всё, даже проще сделать так:
запретить всё порты по TCP и UDP на интерфейсе ether1, кроме 67-68 портов.
-
poppy
- Сообщения: 24
- Зарегистрирован: 17 ноя 2017, 11:42
а их зачем оставлять?
отделить конкретно pppoe IMHO трудно, но можно тогда просто закрыть всё ip
или сделать "параною"?
Код: Выделить всё
/interface bridge filter
add action=accept chain=input in-interface=ether1 mac-protocol=pppoe-discovery
add action=accept chain=input in-interface=ether1 mac-protocol=pppoe
add action=drop chain=input in-interface=ether1