Mikrotik — различия между версиями
Admin (обсуждение | вклад) (→Fail2Ban для Mikrotik) |
Admin (обсуждение | вклад) (→The DUDE) |
||
(не показано 16 промежуточных версии этого же участника) | |||
Строка 5: | Строка 5: | ||
Сохранить конфигурацию в файл | Сохранить конфигурацию в файл | ||
− | /export compact file= | + | /export compact file=[filename] |
+ | |||
+ | Импорт конфигурации роутера из файла | ||
+ | /import file-name=[filename] | ||
==Fail2Ban для Mikrotik== | ==Fail2Ban для Mikrotik== | ||
− | SSH подключение. При | + | SSH подключение. При 3-х повторах попыток блокировка на 1 мин, после 3-й - блокировка на 1 сутки. |
− | + | Возможно проще читать снизу вверх | |
− | + | ||
− | + | ||
− | + | ||
− | + | ||
− | + | Добавляет в black_list если клиент 3 раза заморочился попыткой | |
− | add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout= | + | add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1d \ |
− | protocol=tcp src-address-list=ssh_stage3 | + | chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3 disabled=no |
− | add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 | + | Если 2 раза была попытка - переносим в список кандидатов на блокировку |
− | protocol=tcp src-address-list=ssh_stage2 | + | add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m \ |
− | add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 | + | chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2 disabled=no |
− | protocol=tcp src-address-list= | + | Вторая попытка - |
− | add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp | + | add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m \ |
− | add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist | + | chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2 disabled=no |
+ | Самая первая попытка соединения - №1 | ||
+ | add action=add-src-to-address-list address-list=ssh_stage1 \ | ||
+ | address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp disabled=no | ||
+ | Итого само правило блокировки: | ||
+ | add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \ | ||
+ | protocol=tcp src-address-list=ssh_blacklist disabled=no | ||
Строка 31: | Строка 36: | ||
[https://www.ekzorchik.ru/2018/03/i-disassemble-the-fail2ban-configuration-for-mikrotik-itself/ Источник] | [https://www.ekzorchik.ru/2018/03/i-disassemble-the-fail2ban-configuration-for-mikrotik-itself/ Источник] | ||
− | == | + | ==CAPsMAN== |
+ | [https://2keep.net/mikrotik-capsman-v2-hap-ac-lite Читать тут] | ||
+ | |||
+ | ==The DUDE== | ||
+ | === Выгрузка базы из Дудки: === | ||
+ | /dude export-db backup-file=(путь_к_новому_файлу_базы) | ||
+ | === Загрузка базы в Дудку: === | ||
+ | /dude import-db backup-file=(путь_к_файлу_базы) | ||
+ | [https://disnetern.ru/mikrotik-the-dude-install-import-export-database-backup/ Источник] | ||
+ | === Выгрузка текстового конфига: === | ||
+ | export file=27_11_2020.rsc | ||
+ | === Загрузка текстового конфика === | ||
+ | import file=27_11_2020.rsc | ||
+ | === Частичный перенос настроек === | ||
+ | Бывают ситуации, когда нужно сохранить часть настроек, например, правила фаервола, скрипты, NAT, правила маркировки пакетов и т.п. Для этого помогут следующие команды: | ||
+ | ip address export file=ip.rsc | ||
+ | ip firewall mangle export file=mangle.rsc | ||
+ | ip firewall nat export file=nat.rsc | ||
+ | ip firewall filter export file=filter.rsc | ||
+ | queue simple export file=simple.rsc | ||
+ | ip dns export file=dns.rsc | ||
+ | system script export file=script.rsc | ||
+ | system scheduler export file=scheduler.rsc | ||
+ | tool e-mail export file=email.rsc | ||
+ | ip firewall address-list export file=address-list.rsc | ||
+ | ip route export file=route.rsc | ||
+ | ip dhcp-server network export file=network.rsc | ||
+ | queue type export file=type.rsc | ||
+ | queue tree export file=tree.rsc | ||
+ | queue simple export file=simple.rsc | ||
+ | interface ethernet export file=ethernet.rsc | ||
+ | ip pool export file=pool.rsc | ||
+ | ppp profile export file=profile.rsc | ||
+ | system logging export file=log.rsc | ||
+ | === Пример настройки не стандартных функций и датчиков устройств === | ||
+ | [https://forum.nag.ru/index.php?/topic/81697-davayte-zhit-druzhno-ili-prevraschaem-the-dude-v-aircontrol-chast-1/ WiFi UBNT]<br /> | ||
+ | |||
+ | [https://forum.nag.ru/index.php?/topic/81861-the-dude-eto-ne-tolko-mikrotik-no-i/ Разные примеры от того же автора]<br /> | ||
+ | |||
+ | [https://spw.ru/educate/articles/sistema-monitoringa-dude-ustanovka-i-nastrojki/ Подробный мануал по настройки Дудки]<br /> | ||
+ | |||
+ | [https://proglib.io/p/learn-regex/ Что такое регулярные выражения]<br /> | ||
+ | [https://regex101.com/r/1paXsy/1 Онлайн помощник по регулярным выражениям]<br /> | ||
==next== | ==next== |
Текущая версия на 07:26, 8 декабря 2020
Содержание
Выгрузка конфигурации
Показать конфиг в терминале
/export compact
Сохранить конфигурацию в файл
/export compact file=[filename]
Импорт конфигурации роутера из файла
/import file-name=[filename]
Fail2Ban для Mikrotik
SSH подключение. При 3-х повторах попыток блокировка на 1 мин, после 3-й - блокировка на 1 сутки.
Возможно проще читать снизу вверх
Добавляет в black_list если клиент 3 раза заморочился попыткой
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1d \ chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3 disabled=no
Если 2 раза была попытка - переносим в список кандидатов на блокировку
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m \ chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2 disabled=no
Вторая попытка -
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m \ chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2 disabled=no
Самая первая попытка соединения - №1
add action=add-src-to-address-list address-list=ssh_stage1 \ address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp disabled=no
Итого само правило блокировки:
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \ protocol=tcp src-address-list=ssh_blacklist disabled=no
CAPsMAN
The DUDE
Выгрузка базы из Дудки:
/dude export-db backup-file=(путь_к_новому_файлу_базы)
Загрузка базы в Дудку:
/dude import-db backup-file=(путь_к_файлу_базы)
Выгрузка текстового конфига:
export file=27_11_2020.rsc
Загрузка текстового конфика
import file=27_11_2020.rsc
Частичный перенос настроек
Бывают ситуации, когда нужно сохранить часть настроек, например, правила фаервола, скрипты, NAT, правила маркировки пакетов и т.п. Для этого помогут следующие команды:
ip address export file=ip.rsc ip firewall mangle export file=mangle.rsc ip firewall nat export file=nat.rsc ip firewall filter export file=filter.rsc queue simple export file=simple.rsc ip dns export file=dns.rsc system script export file=script.rsc system scheduler export file=scheduler.rsc tool e-mail export file=email.rsc ip firewall address-list export file=address-list.rsc ip route export file=route.rsc ip dhcp-server network export file=network.rsc queue type export file=type.rsc queue tree export file=tree.rsc queue simple export file=simple.rsc interface ethernet export file=ethernet.rsc ip pool export file=pool.rsc ppp profile export file=profile.rsc system logging export file=log.rsc
Пример настройки не стандартных функций и датчиков устройств
Разные примеры от того же автора
Подробный мануал по настройки Дудки
Что такое регулярные выражения
Онлайн помощник по регулярным выражениям