Вниманию владельцев Asus и Mikrotik - критическая уязвимость роутеров!

Тема в разделе "Флудилка", создана пользователем DmitryAVET, 28 апр 2018.


  • Метки:
    1. edd

      edd

      Регистрация:
      1 янв 2012
      Сообщения:
      232
      Симпатии:
      51
      Город:
      Херсон
      какой -то перегруз по правилам файрвола.. я у себя насчитал (невыключенных) 10шт всего :)
       
      Последнее редактирование: 12 июн 2018
    2. DmitryAVET

      DmitryAVET Модератор Команда форума

      Регистрация:
      18 дек 2011
      Сообщения:
      3.769
      Симпатии:
      1.142
      Адрес:
      http://weblance.com.ua
      Город:
      Зимбабве
      Код:
      add action=accept chain=input connection-state=established
      add action=accept chain=input connection-state=related
      Это можно написать одним правилом ;)

      Код:
      connection-nat-state=!dstnat connection-state=new disabled=yes
      Зачем вы его отключили? Ой зря...

      Код:
      dd action=accept chain=input comment="allow DNS answers from Internet" in-interface=Ukrtelecom_ADSL protocol=udp src-port=53
      Зачем? Ну тогда уже и WebProxy наружу высунуть можно )) *сарказм*
       
    3. edd

      edd

      Регистрация:
      1 янв 2012
      Сообщения:
      232
      Симпатии:
      51
      Город:
      Херсон
      так в дефолтных правилах было описано, при чём related по счётчику по нулям всегда.
      если я правильно понимаю, правило блочит соединения из Интернета которых нет в NAT (т.е. новые входящие); в локалке есть роутер на FreeBSD на него заворачиваются все эти соединения, эта Фря и принимает их.
      сделал сегмент максимально автономным, юзерам через DHCP раздаются гугловские DNS, да и Фря, в случае переключения на этот (резервный для неё канал) она тоже к DNS в инет напрямую лазит

      ЗЫ всегда можно засекьюриться белыми списками, жёстким баном любых подозрительных IP, а Петя бац и с обновой в домен придёт, ещё и с админскими правами запустится :)
       
    4. DmitryAVET

      DmitryAVET Модератор Команда форума

      Регистрация:
      18 дек 2011
      Сообщения:
      3.769
      Симпатии:
      1.142
      Адрес:
      http://weblance.com.ua
      Город:
      Зимбабве
      По части DNS, идеально давать клиентам локальный IP микротика, на самом микротике можно прописать сколько угодно DNS, например сразу 4:

      8.8.8.8
      8.8.4.4
      1.1.1.1
      1.0.0.1

      У RouterOS есть свой кеш, который при желании можно увеличивать и настраивать, добавлять статические записи, "глушить" сайты (127.0.0.1).
      Далее все обращения на 53-й порт перебрасывать на локальный адрес, чем обеспечивается полный переброс всех пользовательских DNS-запросов на локальный сервер. Ресурсов много не кушает.
       

    Поделиться этой страницей