U DHCP podesi fiksne IP adrese racunarima na koje preusmeravas portove.

Ne, ne... Menjaju se adrese računara na Internetu *sa* kojih direktno pristupa Mikrotiku. I on onda mora da promeni u address listu tu novu ip adresu.

Rešenje broj 1: Podigni VPN server na tom Mikrotiku (OpenVPN ili SSTP na primer, za OpenVPN ti treba poseban klijent na računarima SA kojih pristupaš, dok SSTP dolazi ugrađen uz Windows 7 pa na više), pa se onda prvo VPNuješ na ruter, pa onda pristupaš lokalnoj (LAN) ip adresi rutera i tako administriraš. Ovu metodu ja preferiram, jer je više nego rizično držati otvoren pristup Mikrotiku preko Interneta.

Rešenje broj 2: Port knocking. Ovo nisam probao u praksi, ali kažu ljudi da radi. https://wiki.mikrotik.com/wiki/Port_Knocking


MAC listu ne možeš da praviš, jer WAN interfejs od rutera vidi samo MAC adrese uređaja koji su u istom broadcast domenu.


_{[Ovu poruku je menjao bachi dana 18.07.2019. u 08:03 GMT+1]}

Moj savjet ti je da iskljucis servise ftp, telnet...etx 21, 23 osim za Winbox.

Napravi rule da loguje tvoju IP adresu 10-ak sekundi kad pokusas da se telnetujes na PublicIPodMikrotik:33551
Tvoja IP adresa treba da se cuva u LISTA_ADRESA

Znaci, poslije Teleneta na PublicIPodMikrotik:33551 imas 10 sekundi da se logujes preko Winbox-a.

Aha, nisam pažljivo čitao.

Da, onda je VPN najlogičnije rešenje.

Dobro, naucio sam nesto, znaci lista MAC adresa ne moze da se napravi analogno listi IP adresa.

VPN umem da napravim.

U krajnjem slucaju mogu da stavim i po jedan mali Mikrotik na svakom racunaru pa da napravim IP tunel ili L2TP.


Ovo mi je interesantno resenje da orvorim na 10 sekundi prostor da se logujem u winbox, pa cu da poradim na tome.

Nema potrebe za više mikrotikova. Sa računara lako napraviš VPN i kad ti treba samo klikneš da se poveže.

Ipak sam se odlucio za VPN kao najjednostavnije resenje.

Hvala svima na pomoci.

Iza Mikrotika imam Unix server na kome se vrti aplikacija u karakter modu kojoj se sa Interneta pristupa preko
terminal emulatora i porta 23.

Kada se nekom od korisnika promeni dinamicka IP adresa na Windowsu ja moram rucno da azuriram listu
adresa kojima je otvoren port 23.

Ali kada se, kod kuce, meni samom promeni dinamicka adresa, onda ja moram preko VPN-a da prvo sebe ubacim
u listu pa onda i druge.

Ne desava se cesto ali bude jednom u nekoliko meseci ili kada neko od korisnika promeni lokaciju.

Što i korisnike ne staviš na VPN i isključiš uopšte potrebu da praviš taj filter po IP adresama.

Da vala, najeftiniji HaP lite će ti vršiti posao ili jednostavno da se klijenti direktno iz Windowsa kače na VPN.

Jeste VPN jednostavno resenje.

A listu adresa sam uveo kad sam prosle godine preziveo napad hakera:

https://www.elitesecurity.org/...krotik-hakovan-Obratite-paznju

Drzao sam 10 godina otvorene 8291, 23 i 21 i nista se nije desavalo do prosle godine.

Bas super portove koje redovno posecuju svi hakeri sveta si drzao 10 godina otvorene...

Jesam. U dve firme, promenio sam 10 routera I 5 statickih adresa i za 10 godina se nista nije desilo.
Uglavnom su po ceo dan pokusavali da provale password koristeci liste najcesce koriscenih passworda.
Neuspesno, naravno.

Ja bih drzim mnogo duze. STa cu, rebaju mi ti servisi da budu dostupni.

Naravno da postoje druge mere zaštite oism da se onemogući pristup.

U stvari za 10 godina preziveo sam dva napada.

2015 su mi zloupotrebili DNS, router je postao neupotrebljiv na dva sata, niko nije mogao da otvori nijednu
stranicu na Internetu, ali mi je pomoglo Pedjino uputstvo da pozatvaram port 53 tcp i udp i resio sam problem
vrlo brzo.


Prosle godine kada je zloupotrebljen bezbedonosni propust u samom Router OS-u, o cemu je pisano u jednoj
od tema ovde, nisam osetio nikakve smetnje u radu, a pregledom kroz winbox brzo sam otkrio da postoje
dva scripta koji nisu moji i da je promenjeno ime uredjaja. Vratio sam backup i zatvorio pristup winboxu osim
racunarima sa liste adresa.

Telnet? Ti mene zezas? Ukoliko ti to treba onda bolje digni na neki nestandardan port nego da ti 24/7 bruteforcuju
password a nisi se setio ni fail2ban da postavis :P

Molim za savet.

Da li je moguće proveriti "On Line" koji portovi su otvoreni kod mene ?

Ovo pitam, pošto se u te zatvorene-otvorene portove "ni ič" ne razumem.

Može odgovor od bilo koga, ne mora od Branimira (njegov post sam uzeo za primer).
Svaka pomoč je od koristi...

pOz

[quote]Living Light: Molim za savet.

Da li je moguće proveriti "On Line" koji portovi su otvoreni kod mene ?

/quote]

Na primer https://www.ipfingerprints.com/portscan.php

Ima tih port skenera sijaset.

Da, i telnet.

Interesantno mi je da ti bolje od mene znaš kako sam uradio zaštitu :)

Ako će da ti bude lakše, da često pokušavaju brute force, ali niti im uspeva niti ruteri trpe veliko opterećenje jer umeju da se nose sa tim.

Promena porta pomaže ali delimično jer ozbiljniji napadači skeniraju sve portove i traže šta ima na raspolaganju.

Nisam naisao ni na jednog ozbiljnog napadaca jos. Imam visoko ssh port i pazi ni jedan ali ni jedan pokusaj za godinu dana koliko pratim.
Ali zato dropovanih paketa na 23 i 22 kolko hoces. I nisam mislio na tebe nego na zastavu, tu sam trebao biti specifinciji na koga se odnosi:P