iskljuci ftp port
ili ubi sav saobracaj za pristup ruteru van mreze.
Pitanje je samo odakle sve treba da pristupas ruteru?
Tada bi mogao da ti odgovorim konkretno.

Ja sam to resio tako sto sam ostavio da moze da se pristupa samo sa javnih adresa koje ja imam.

E sad, ne znam... Ne znam kako bi to islo... Ja sam mikrotik stavio kao AP, imam na njemu wireless i lan karticu...

Voleo bih da iskljucim svaku mogucnost za pristup mikrotiku osim sa ovog racunara koji je na mikrotik vezan preko lan kartice. Naravno voleo bih i da nekad ako mi zatreba mogu da ukljucim pristup... Al ne znam kako to da uradim, i da li moze??? Hvala

Ovako:

Malo je konfuzno za pocetnika ali ono sto trebas da uradis je sledece.
U firewall-u treba da postavis da niko ne moze da pristupi sa interface!=lan? predpostavljam.
Tako bi ja to uradio ako imas vise interfacea. Ali ti imas dva pa onda da se slucajno nebi zeznuo.

ovako

ip>firewall>filter rules>

i onda napravis novi rule: gde postavis samo
General--
--Chain: input
--In. Interface: (e ovde pazi da se ne zeznes) taj tvoj wireless
Action--
--Action: drop
i udaris apply i ok.

I to je to

*ako nesto zeznes neces moci vise da pristupis mikrotiku. Pazi!!!

Ako hoces npr da vidis u logu da li te jos uvek napada, onda napravis jos jedan isti rule u koji samo promenis action: log.
i onda ti u logu izbaci da je pokusavao neko.

imas na mikrotikovom forumu dosta skripti koji ce te zastititi od brute force napada.
Evo ti jedna koja ce ti biti od pomoci: http://forum.mikrotik.com//viewtopic.php?f=9&t=16915

/ ip firewall filter
add chain=input in-interface=ether1 protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop

Predpostavljam da ovde treba da umesto ether1 stavim WLAN? Wlan se meni konektije na internet, a lan samo ide na ovaj 1 racunar... Ne bih da pogresim pa da instaliram mikrotik iz pocetka(da izgubim pristup prelo lan)

# accept 10 incorrect logins per minute
/ ip firewall filter
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m

#add to blacklist
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=blacklist address-list-timeout=3h




Koliko sam shvatio, ova skripta omogucava 10 pogresnih logovanja u 1 min, posle toga stavlja adresu na blacklist, a onda ponovo je moguc log in sa te adrese posle 3h... Deluje lepo, samo ako sam dobro shvatio?


Kako mogu da sklonim ove skripte (da ih obrisem), ukoliko pogresim, imao bih direktan pristup al moram da prenosim tastaturu i monitor...

Hvala

sto jednostavno ne iskljucis samo ftp? odi u IP Services, klikni na ftp pa crveni "x"

Uradio sam tako. Iskljucio sam ftp... Hvala

Mada bih voleo da znam i skriptu... Hvala

To nije skripta vec firewall, prije bilo kakvih operacija na mrezi trebao bi da naucis cemu sluzi firewall i kako on radi.
U dokumentaciji ces naci da postoje tri osnovna lanca: input,forward i output.
Ugrubo:
Na inputu podesavas sta se desava kad neko zahtjeva nesto sa tvog mikrotika.
Na forwardu podesavas sta se desava sa saobracajem koji prolazi kroz tvoj mikrotik (u oba smjera, ka tvojoj mrezi i sa tvoje mreze prema van).
Na outputu podesavas sta se desava kad saobracaj izlazi sa mikrotika.

Dakle, ti trebas da zabranis da na tvoj port 21 (ftp) dodje neko ko nije ti.



U prvoj liniji si dozvolio sebi da se konektujes na port 21.
U drugoj liniji si zabranio svima da se konektuju na port 21.

Dakle, kad dodje konekcija na port 21 mikrotik ce provjeriti prvi uslov, a to je da je dolazna ip adresa tvoja, ako taj uslov ne bude zadovoljen, nastavice dalje i naici ce na sledeci uslov, a to je da odbije sve konekcije koje dolaze na port 21. Firewall ce se uvijek izvrsavati od vrha prema dole, zato moras paziti sta definises da ne bi dozvolio nesto sto kasnije zelis da sprijecis. Osnovna praksa je da recimo dozvolis sve sto zelis u prvim linijama, a onda kasnije stavis da odbija sav saobracaj.

Cak i da stavis agresivan firewall, uvjek mozes prici mikrotiku preko mac telneta ili serijskog porta, dakle, reinstalacija nije potrebna.

Hvala

Da ne otvaram novu temu, imam jedno pitanje u vezi ovoga.
Posto i mene ovo interesuje, ja imam ADSL kuci sa dinamickom adresom, sto znaci da u ovom podesavanju:



za src-address ne mogu staviti moju adresu jel sledeci put necu moci da pridjem mikrotiku. Jel moguce tu staviti MAC adresu?

kako to mislis da neces moci prici mikrotiku ako stavis svoju IP adresu? Sta podrazumijevas pod "moju adresu"?

Ako sam dobro razumeo za src-address treba da stavim moju adresu? Jel tu treba da upisem moju javnu ip adresu, ako sam dobro razumeo. A ja kuci imam ADSL kome se kod svakog novog konektovanja menja adresa, pa ako sda upisem jednu , sledeci put kad se konektujemi zelim da pridjem ftp-u necu moci jer se adresa promenila?

A ova pravila se odnose na prilazu mikrotiku sa interneta?

Ako pristupas serveru iz lokala ona dopustis sa tvoje lokalne adrese, ako sa neta onda adresu koju imas javnu.

Ovako:

Tvoj komp 192.168.0.2 ---> 192.168.0.1 Mikrotik FTP ---> Internet

Onda stavis da moze da se pristupi sa adrese 192.168.0.2



Ako pristupas sa neta onda vidi koja ti je javna sa:

what is my ip - kucaj u google i vidi koja ti je javna ili vidi koje adrese su registrovane za tvog provajdera pa ubaci ceo njihov pool ako ih nemaju vise.

Ovo sve ako je konfiguracija ovakva:

Tvoj komp "Javna" ---> Internet ---> "Javna" Mikrotik

E pa to iz lokala znam, ali me muci to sto se moja javna adresa menja kad god se konektujem na net. Zato sam pitao da li mogu da umesto te javne adrese stavim moju mac adresu kad pristupam sa interneta?
E sada sto se tice pool-a, kod telekoma je to malo zeznuto, jel oni imaju 77.xxx.xxx.xxx pa mislim 99.xxx.xxx.xxx i 212.200.xxx.xxx tako da mi je to problem. Nadam se da me razumete?

Pa pazi u firewallu imas da podesis i mac adresu pa probaj da uneses tu svoju mac pa vidi da li radi i javi. Nemam sad vremena da ja probam.

Vazi Biker, probacu pa cu javiti.

Ti sto kao pokusavaju da se loguju preko ftp, ssh itd... to su programcici koji pojma nemaju da se na toj adresi bas nalazi mikrotik, tako da sve i da upadnu, nema tu za njih niceg interesantnog. A za one koji znaju sta traze i pokusavaju da upadnu, stavis brate dobru sifru i mogu da ti ga ...... :) Mada naravno moze i sve ovo gore navedeno.

Da u pravu si. Hvala Blackbomberu :)