Comments 37
а он был? Микротик то заявил, что это все еще уязвимость 2018 года. https://forum.mikrotik.com/viewtopic.php?f=21&t=178417
Пока нет технической информации, что это за уязвимость вообще.
Очень ждал родительский контроль. Все руки не доходят, а детки растут.
Firewall filter или соответствующий раздел RouterOS вам в помощь. Могу сделать отдельную статью.
Если у Вас детки есть :-). Польза и для себя. 2 Пк 2Телефона и что бы соцсети работали, вай фай не отключался (препятствие для мобильного интернета), и игры не грузились онлайновые. Если такое возможно. И удалёнка у родителей не отваливалась.
Я всё недоумеваю, а почему в штыки воспринимается вариант с линуксом типа openwrt?
Почему 'в штыки' ? Отличная операционка
Просто у openwrt нет производителя, нет техподдержки, тысячи вариантов сборок, множество вариантов/форков версий одних и тех же пакетов.
Тот же Микротик можно тупо купить и включить в розетку.
А OpenWRT, нужны какие-то железки из таблицы совместимости, которые нужно кастомно перепрошивать, которые теряют лицензию\гарантию при перепрошивке, которые шьётся не чем попало, а определённой сборкой под определённое железо, перечитай горы мануалов (мануал по установке буквально говорит - перед установкой прочтите все страницы документации, форумы и всё же будьте готовы ходить по минному полю) и прочая прочая прочая.
И это всё чтобы просто получить железку с ОС, которую потом ещё настраивать.
Если есть возможность пропустить весь этот пласт, почему бы и нет? Даже по деньгам не особо экономнее выходит.
Лично мне нравится работать с RouterOS. Причин много, в том числе личная предрасположенностью к нему.
Если купить норм роутер, то прошивка OpenWRT ничем не отличается от обновления прошивки самого роутера. А дальше оно работает сразу после включения, как и до этого. Но возможно у меня искаженное восприятие, т.к. все эти операции для меня рутина как зубы почистить, или масло в машине сменить.
По поводу спамхауса и тп, зачем качать с непонятного сайта ?! На офф форуме есть хорошая тема - Address lists downloader (DShield, Spamhaus DROP/EDROP, etc) ~1240 куч ipv4
Ниже мой скрипт с ежедневным обновлением спамлистов с оффф сайтов. Этот скрипт штатно работает даже на слабом железе, тестировал на hAP ac lite.
Не "зайти" и не "выйти" через WAN на адреса в блоклистах реализована через RAW
/interface list add name=WAN
/ip firewall raw add action=drop chain=prerouting in-interface-list=WAN src-address-list=
blacklist add action=drop chain=output dst-address-list=blacklist out-interface-list=
WAN
/system scheduler add interval=1d name=blacklists on-event="/system script run blacklists;"
policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon
start-date=feb/14/2021 start-time=06:50:00
/system script
add dont-require-permissions=no name=blacklists owner=admin policy=
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="i
p firewall address-list\r
\n:local update do={\r
\n:do {\r
\n:local data ([:tool fetch url=$url output=user as-value]->"data")\r
\n:local array [find dynamic list=blacklist]\r
\n:foreach value in=$array do={:set array (array,[get $value address])}
\r
\n:while ([:len $data]!=0) do={\r
\n:if ([:pick $data 0 [:find $data "\n"]]~"^[0-9]{1,3}\\.[0-9]{1,3
}\\.[0-9]{1,3}\\.[0-9]{1,3}") do={\r
\n:local ip ([:pick $data 0 [:find $data $delimiter]].$cidr)\r
\n:do {add list=blacklist address=$ip comment=$description timeout=1d} o
n-error={\r
\n:do {set ($array->([:find $array $ip]-[:len $array]/2)) timeout=1d}
on-error={}\r
\n}\r
\n}\r
\n:set data [:pick $data ([:find $data "\n"]+1) [:len $data]]\r
\n}\r
\n} on-error={:log warning "Address list <$description> update failed"}
\r
\n}\r
\n$update url=https://www.dshield.org/block.txt description=DShield delim
iter=("\t") cidr=/24\r
\n$update url=https://www.spamhaus.org/drop/drop.txt description="Spamha
us DROP" delimiter=("\_")\r
\n$update url=https://www.spamhaus.org/drop/edrop.txt description="Spamh
aus EDROP" delimiter=("\_")\r
\n$update url=https://sslbl.abuse.ch/blacklist/sslipblacklist.txt descrip
tion="Abuse.ch SSLBL" delimiter=("\r")"
Мне не нравится подход со спам листом. Грубо, не контролируем кто туда попадает, от нулевого дня не защищает и т.д.
имхо спамлисты это поверх всего, как основа защищенного периметра
Имхо - бессмысленная нагрузка. Нормально закрытый фаерволл + политика белых списков для соединений с устройством со стороны wan. Как формировать белый список - вопрос отдельный. Это может быть port knocking (или даже spa для Linux устройств, что даже лучше), это может быть значение со стороннего ddns сервера, в конце концов это может быть явно задано настройками фаервола (менее предпочтительно).
Или, в качестве альтернативы, доступ за периметр через ВПН, и уже управление только изнутри периметра.
Оба подхода не закроют от зеродеев, но нет зависимости от непонятно как модерируемых спамлистов
имхо drop на output спамхаус не даст ботнету функционировать на зараженном пк в моей сети, проверено, работает
таким вот способом отловил два "личных" ноута в гостевой (изолированной) сети
весь интернет хомякам в белый лист не загнать.
Белый список на соединения "из вне". А отлавливать ботов уже внутри сети - это другая задача, в конце концов этого бот не только шлюз по умолчанию может атаковать
Я согласен, ваш способ позволяет прикрывать сеть от угроз. Мера рабочая . В статьях много о чем рассказывается, каждый выбирает собственную конфигурацию, адаптирует ее и поддерживает.
Тут Docker в RouterOS 7.1 rc3 приехал. Теперь можно засунуть pihole на routeros, но как я понял, поддержка только на arm.
Мой MikroTik – моя цифровая крепость (часть 2)