Утро началось не с кофе. Просматривая логи, обнаружил, что на web сервере аномальная нагрузка. Причем, ping еще шел, а по ssh я уже не мог достучаться. Соответственно все сайты лежали. Идем на шлюз и смотрим кто мешает. GATE # tcpdump -i bge0 host 19x.xxx.xxx.xx4 …. 10:58:29.348293 IP site.com.ua.49864 > 130.0.237.242.https: Flags [S], seq 142297589, win …
Заблокировать доступ к устройству на 14 дней /ip firewall filter add action=drop chain=input comment=”Drop – port scanners” src-address-list=\ Port-Scanners add action=drop chain=forward comment=”Drop – port scanners” \ src-address-list=Port-Scanners add action=add-src-to-address-list address-list=Port-Scanners \ address-list-timeout=2w chain=input comment=”Scan – Scan Ports” protocol=\ tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list=Port-Scanners \ address-list-timeout=2w chain=input comment=\ “Scan – NMAP FIN Stealth scan” protocol=tcp …
Блокировка на один час /ip firewall filter add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \ comment=”drop ssh brute forcers” disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new \ src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=1h comment=”” disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new \ src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \ address-list-timeout=20s comment=”” disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \ action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=20s …
Если сеть VPN совпадает с диапазоном внутренней сети маршрутизатора, то доступ для управления через VPN будет заблокирован. Исправляем: IP–Firewall–Filter Rule Терминал: /ip firewall add chain=input action=accept in-interface=all-ppp log=no log-prefix=””
Сделав проброс портов для WEB сервера в локальной сети, все отлично работает но ровно до тех пор, пока мы не попытаемся получить доступ по внешнему адресу из внутренней сети. Вообще, таких ситуаций следует избегать, предпочтительно использовать для доступа доменные имена и двойной горизонт DNS, когда для внешних пользователей одно и тоже имя разрешается во внешний …
Перенести каталоги /etc/firewalld /usr/lib/firewalld/services И затем # firewall-cmd –reload
Шаги c 5 по 8 касаются VPN: IP — Address List IP– Pool IP — DHCP Server — Network, DHCP IP — Firewall — NAT IP –Poll PPP — Profiles — Secrets, L2TP Server IP — Firewall Interfaces — Interface List — LAN (proxy-arp) Address List где – ether1 это WAN, ether2 – LAN. Pool …
Вся настройка IP, DHCP, NAT, Firewall находится во вкладке IP IP Можно начать с Quick Set, но потом обязательно проверить: DHCP NAT Firewall
Dst. Port – 3389 порт на внешнем интерфейсе ether1 на который будет происходить подключение. accept — просто принимает данные; add-dst-to-address-list — адрес назначения добавляется в список адресов; add-src-to-address-list — исходящий адрес добавляется в соответствующий список адресов; dst-nat — перенаправляет данные из внешней сети в локальную, внутреннюю; jump — разрешает применение правила из другого канала, например …
Очереди Существуют несколько видов очередей, соответствующих моделям из теории массового обслуживания и телетрафика: CBQ (Class-Based Queueing) – Очередь, основанная на классах. Позволяет создавать иерархию классов с приоритетами. Управление производится в зависимости от общей пропускной способности и загруженности канала. HTB (Hierarchical Token Bucket) – Алгоритм дырявого ведра. Позволяет ограничивать пропускную способность независимо от общей пропускной способности …