понедельник, 31 декабря 2018 г.

2018 Лучшее

Собрали для вас итоги 2018 года всех сортов, наслаждайтесь!

ЛУЧШИЕ ПОСТЫ РЕДДИТА

 (https://www.reddit.com/top/?t=year)ЛУЧШИЕ ФОТОГРАФИИ

По версии National Geographic

 (https://www.nationalgeographic.com/photography/best-of-2018/best-pictures-2018/)По версии Time

 (http://time.com/2018-photos/)По версии Reuters

 (https://www.reuters.com/news/picture/pictures-of-the-year-2018-idUSRTS27NNG)ПОИСКОВЫЕ ЗАПРОСЫ ГОДА

В Яндексе

 (https://yandex.ru/company/researches/2018/year-themes)В Google — Россия (https://www.youtube.com/watch?v=Npq7YxDGPTs) и Мир

 (https://www.youtube.com/watch?v=6aFdEhEZQjE)На Алиэкспрессе

 (https://www.rbc.ru/business/07/12/2018/5c0923ab9a79476d9272c003?from=newsfeed)На Pornhub

 (https://www.pornhub.com/insights/2018-year-in-review)ЛУЧШИЕ ФИЛЬМЫ

По версии Американского института киноискусства

 (http://www.afi.com/afiawards/AFI-Awards-2018.aspx)По версии IndieWire

 (https://cinemaholics.ru/best-movies-2018-indiewire/)Худшие фильмы по версии The Hollywood Reporter

 (https://cinemaholics.ru/the-hollywood-reporter-top-2018/)ПОПУЛЯРНАЯ МУЗЫКА

Топ-30 самых популярных треков в Яндекс.Музыке

 (https://music.yandex.ru/users/yamusic-research/playlists/1044)Лучшие песни по версии Esquire

 (https://www.esquire.com/entertainment/music/g15948963/best-songs-2018/)Топ-50 песен по мнению Эдгара Райта

 (https://cinemaholics.ru/edgar-wright-top-50-songs-of-2018/)ГЛАВНЫЕ ВИДЕОИГРЫ 2018

Лучшее в Steam

 (https://store.steampowered.com/best_of_2018)50 лучших игр по версии Polygon

 (https://www.polygon.com/2018/5/29/17386324/best-games-2018-ps4-pc-xbox-one)Победители The Game Awards 2018

 (https://t.me/retranslyator/4091)НАУЧНЫЕ ИТОГИ

Главные прорывы и провалы 2018 по версии журнала Science (https://nplus1.ru/news/2018/12/20/SciTop)

Лауреаты Нобелевской премии 2018 (http://www.aif.ru/society/gallery/laureaty_nobelevskoy_premii_2018)

воскресенье, 30 декабря 2018 г.

Описание настроек DHCP сервера MikroTik.

Описание настроек DHCP сервера MikroTik.

https://netflow.by/blog/item/110-dhcp-on-mikrotik
Начнём с того что попробуем пользователям раздать статические маршруты вместе с IP адресами, чтобы например локальный трафик проходил не через соединение с интернетом (PPPoE, L2TP, PPtP) а через основной шлюз записаный в настройках сетевого адаптера:
Настраиваем DHCP сервер вручную на вкладках DHCP, Networks или с помощью мастера настройки. В DHCP server/Options создим опцию с кодом 249 в поле Name записав например Static Route. В поле Value запишем в шестнадчатиричном представлении следующую строку:

0x{суффикс}{сеть без нулей на конце*}{шлюз}{суффикс}{сеть без нулей на конце*}{шлюз} и т.д.
Пример 1:
  • 0x18AC100BAC100BFE18AC1009AC1009FE
  • 18 - суффикс (/24)
  • AC100B - сеть 172.16.11.0
  • AC100BFE - основной шлюз 172.16.11.254
Пример 2:
  • 0x19AC100400AC10040001
  • 19 - суффикс (/25)
  • AC100400 - сеть 172.16.4.0
  • AC10040001 - основной шлюз 172.16.4.1
 * - исключение, нули нельзя отбрасывать
Пример 3:
  •  0x18AC2000AC20000001
  • 18 - суффикс (/24)
  • AC2000 - сеть 172.32.0.0
  • AC20000001 - основной шлюз 172.32.0.1
 * - исключение, отбрасывается только два последних нуля
 Пример 4:
  •  0x0AAC20AC20000001
  • 0A - суффикс (/16)
  • AC20 - сеть 172.32.0.0
  • AC20000001 - основной шлюз 172.32.0.1
 После этого для нужной Network указываем созданные в Options записи.
Хочу отметить, что в Router OS 2.9.27 Option старше 127 не работают из-за ошибки.
Для тех кто владеет англиским языком можно дополнительно почитать это

пятница, 14 декабря 2018 г.

The Dude - отправка извещений в Telegram [RTzRa's hive]

The Dude - отправка извещений в Telegram [RTzRa's hive]

Mikrotik: базовая настройка firewall [RTzRa's hive]

Mikrotik: базовая настройка firewall [RTzRa's hive]

MikroTik DNS Stop AD

Виртуальная АТС на базе Virtual-PBX [RTzRa's hive]

Виртуальная АТС на базе Virtual-PBX [RTzRa's hive]

XVB - VirtualPBX

XVB - VirtualPBX

четверг, 13 декабря 2018 г.

DNS Spy: public domain scans

Двухфакторная аутентификация на Windows Server 2012 [RTzRa's hive]

Двухфакторная аутентификация на Windows Server 2012 [RTzRa's hive]

Mikrotik: настраиваем IPSEC тоннель [RTzRa's hive]

Mikrotik: настраиваем IPSEC тоннель [RTzRa's hive]


Germany proposes router security guidelines | ZDNet

Germany proposes router security guidelines | ZDNet

Freenom - Домен для каждого DNS

Freenom - Домен для каждого DNS

суббота, 8 декабря 2018 г.

«Рынка не существует, есть только люди» :: Бизнес :: Газета РБК

«Рынка не существует, есть только люди» :: Бизнес :: Газета РБК



«Рынка не существует, есть только люди»
Джозеф Пайн — о переходе к экономике впечатлений, недоверии к рекламе и жертвенности потребителей
Автор бестселлеров по маркетингу рассказал, как компании превращают продажу товаров в шоу, предрек закат массового производства и объяснил, почему потребители превратятся в акционеров своих любимых брендов

Джозеф Пайн (Фото: из личного архива)
Кто такой Джозеф Пайн

Американский исследователь в области маркетинга, автор бестселлеров «Массовая кастомизация» и «Экономика впечатлений». В 1980-е годы занимал руководящие должности в IBM, затем был преподавателем Андерсеновской школы менеджмента при Калифорнийском университете в Лос-Анджелесе. Сооснователь консалтингового агентства Strategic Horizons, консультирующего компании из списка Fortune 500 о стратегии продвижения продуктов.

«Покупая впечатления, человек чувствует себя более счастливым»

пятница, 23 ноября 2018 г.

Тепло, еще теплее :: NoNaMe

Тепло, еще теплее :: NoNaMe

netmap Настройка NAT: Часть 4 — asp24.ru

Настройка NAT: Часть 4 — asp24.ru

netmap

Введение

В этой части статьи мы рассмотрим зачем нужен Netmap. Рассмотрим на примере реальной задачи.
Итак, Netmap или 1:1 NAT позволяет преобразовывать адреса одной сети в адреса другой сети 1:1.
Т.е. вы можете преобразовать сеть 10.168.0.0/24 в 192.168.0.0/24
При этом, у Вас каждый адрес одной сети, будет соответствовать адресу другой сети. Иными словами будет выполнятся условие:
10.168.0.1=192.168.0.1 … 10.168.0.254=192.168.0.254
Конфигурация такого типа является достаточно редкой, но иногда без нее не обойтись.
Условия задачи
У клиента есть два офиса в разных частях города.В каждом офисе локальная сеть имеет локальную сеть 192.168.0.0/24. В каждом офисе часть адресов дублируется. Например, файловый сервер в обоих офисах имеет адрес 192.168.0.2
Очень много устройств подключено непосредственно по IP-адресам.
Задача:
Объединить обе сети посредством VPN не меняя внутреннюю адресацию. Общая схема cети:
cхема сети VPN

Что имеем:
  • одинаковая адресация обоих сетей не дает нам использовать маршрутизацию 
  • дублирующиеся адреса не дают нам возможность использовать L2 VPN (EoIP или BCP). И это как раз тот случай, когда требуется 1:1 NAT
Основная идея решения этой задачи состояла в том, чтобы преобразовать адреса сети офиса 1 к подсети 192.168.1.0/24, а адреса офиса 2 к подсети 192.168.2.0/24
Тогда офис 1 мог обращаться к ресурсам офиса 2 по адресам 192.168.2.x, а офис 2 мог бы обращаться к ресурсам офиса 1 по адресам 192.168.1.х. При этом адреса ресурсов внутри офиса остались бы без изменений.
Схема работы
схема работы nat

Итак рассмотрим эту схему.
Зеленая часть схемы преобразований.
1. Пакет из офиса 1, с адреса 192.168.0.x, отправляется в офис 2 по адресу 192.168.2.x
2. При обработке на маршрутизаторе 1, адрес отправителя пакета меняется на 192.168.1.x (src-nat)
3. При поступлении пакета на маршрутизатор 2, адрес назначения пакета меняется на 192.168.0.х (dst-nat)
Синяя часть схемы преобразований является зеркальным отображением зеленой.
1. Пакет из офиса 2, с адреса 192.168.0.х, оправляется в офис 1 по адресу 192.168.1.х
2. При обработке на маршрутизаторе 2, адрес отправителя пакета меняется на 192.168.2.х (src-nat)
3. При поступлении пакета на маршрутизатор 2, адрес назначения пакета меняется на 192.168.0.х (dst-nat)
Таким образом:
1. Все хосты офиса 1, считают что локальная сеть офиса 2 имеет адреса из подсети 192.168.2.0/24, а их собственная локальная сеть имеет адреса в подсети 192.168.0.0/24
2. Все хосты офиса 2, считают что локальная сеть офиса 1 имеет адреса из подсети 192.168.1.0/24, а их собственная локальная сеть имеет адреса в подсети 192.168.0.0/24
Настраиваем.
Маршрутизатор офиса 1
/ip firewall nat add action=netmap chain=srcnat dst-address=192.168.2.0/24 src-address=192.168.0.0/24\ to-addresses=192.168.1.0/24 add action=netmap chain=dstnat dst-address=192.168.1.0/24 src-address=192.168.2.0/24\ to-addresses=192.168.0.0/24
Маршрутизатор офиса 2 имеет зеркальную конфигурацию
/ip firewall nat add action=netmap chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.0.0/24\ to-addresses=192.168.2.0/24 add action=netmap chain=dstnat dst-address=192.168.2.0/24 src-address=192.168.1.0/24\ to-addresses=192.168.0.0/24
Для окончательной шлифовки добавим маршруты (само построение VPN в тему статьи не входит.
Маршрутизатор офиса 1
/ip route add distance=1 dst-address=192.168.2.0/24 gateway=10.10.10.2
Маршрутизатор офиса 2
/ip route add distance=1 dst-address=192.168.1.0/24 gateway=10.10.10.1
В этой части статьи мы узнали зачем нужен 1:1 NAT и в каких случаях использовать эту конфигурацию.

В России появился японский кнопочный телефон для бабушек - Mail Hi-Tech

В России появился японский кнопочный телефон для бабушек - Mail Hi-Tech

netmap

netmap | Форум SPW




Например у тебя 2 офиса. У обоих офисов подсеть 192.168.0.0/24
Ты ее не можешь поменять (много сложностей) и у тебя адреса пересекаются.
Тогда ты поднимаешь VPN и делаешь netmap так, чтобы:
С офиса 1 офис 2 выглядел как 192.168.2.0/24
С офиса 2 офис 1 выглядел как 192.168.1.0/24
А внутренняя адресация осталось той же.
Тогда
Офис 1
Код:
/ip firewall nat
add action=netmap chain=srcnat dst-address=192.168.2.0/24 src-address=192.168.0.0/24\
to-addresses=192.168.1.0/24
add action=netmap chain=dstnat dst-address=192.168.1.0/24 src-address=192.168.2.0/24\
to-addresses=192.168.0.0/24 
Офис 2
Код:
/ip firewall nat
add action=netmap chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.0.0/24\
to-addresses=192.168.2.0/24
add action=netmap chain=dstnat dst-address=192.168.2.0/24 src-address=192.168.1.0/24\
to-addresses=192.168.0.0/24  
Теперь из офиса-1 в офис-2 мы идем по адресам 192.168.2.х, а из офиса-2 в офис-1 по адресам 192.168.1.х
Схема: NAT4-2.png

суббота, 17 ноября 2018 г.

четверг, 15 ноября 2018 г.

Каким должен быть современный бэкап

Каким должен быть современный бэкап

5 YouTube-каналов, которые порадуют глаз - PCNEWS.RU

5 YouTube-каналов, которые порадуют глаз - PCNEWS.RU

Блокировка почтовых спамеров (SMTP) средствами RouterOS в локальной сети на Mikrotik

Блокировка почтовых спамеров (SMTP) средствами RouterOS в локальной сети на Mikrotik

Поверхностное чтение стало нормой, и это угрожает нашему мозгу - Лайфхакер

Поверхностное чтение стало нормой, и это угрожает нашему мозгу - Лайфхакер

вторник, 13 ноября 2018 г.

MIKROTIK: SETUP SQUIDBLACKLIST FIREWALL – Telegraph

Чему стоит обучить сотрудников, чтобы обеспечить кибербезопасность

Чему стоит обучить сотрудников, чтобы обеспечить кибербезопасность

Почему сегодня компании не могут игнорировать SaaS

Почему сегодня компании не могут игнорировать SaaS

Новый IoT-ботнет заражает роутеры и массово рассылает спам - «Хакер»

Новый IoT-ботнет заражает роутеры и массово рассылает спам - «Хакер»

BCMPUPnP_Hunter: A 100k Botnet Turns Home Routers to Email Spammers

BCMPUPnP_Hunter: A 100k Botnet Turns Home Routers to Email Spammers

пятница, 9 ноября 2018 г.

Zulip Server 1.9: Open source, on-prem team chat

Zulip Server 1.9: Open source, on-prem team chat

Подборка свежих курсов для айтишников от известных университетов

Подборка свежих курсов для айтишников от известных университетов

Искусственный интеллект поможет хакерам усовершенствовать кибератаки

Искусственный интеллект поможет хакерам усовершенствовать кибератаки

Переосмысление роли ИТ-службы при переходе в облако

Переосмысление роли ИТ-службы при переходе в облако

Z-Wave.Me » Новинка! Умный замок Danalock V3 поступил в продажу

Z-Wave.Me » Новинка! Умный замок Danalock V3 поступил в продажу

вторник, 23 октября 2018 г.

Построение MESH сети на устройствах Mikrotik Routerboard :: Настройка оборудования Mikrotik :: Настройка оборудования | Блог ASP 24

Построение MESH сети на устройствах Mikrotik Routerboard :: Настройка оборудования Mikrotik :: Настройка оборудования | Блог ASP 24

Значения MTU и MSS для PPTP, L2TP, IPSEC VPN-тоннелей поверх IP/Ethernet - Конференция iXBT.com

Значения MTU и MSS для PPTP, L2TP, IPSEC VPN-тоннелей поверх IP/Ethernet - Конференция iXBT.com

12 самых красивых фотографий дикой природы 2018 года | Журнал Популярная Механика

12 самых красивых фотографий дикой природы 2018 года | Журнал Популярная Механика

понедельник, 22 октября 2018 г.

можно в Hyper-V виртуальный свич сделать с хостовой wireless-картой, тогда для виртуалки она будет обычными адаптером,

Ну можно в Hyper-V виртуальный свич сделать с хостовой wireless-картой, тогда для виртуалки она будет обычными адаптером,

wi-fi

DHCP ARP Inspection - MikroTik Wiki

DHCP ARP Inspection - MikroTik Wiki

зацит от установки руками ипи адреса

Проброс всего трафика через VPN | Cloud4You

Проброс всего трафика через VPN | Cloud4You

Динамическая блокировка IP адресов через mikrotik с помощью fail2ban — San3ko

Динамическая блокировка IP адресов через mikrotik с помощью fail2ban — San3ko

среда, 17 октября 2018 г.

Удалённое включение скриптов Mikrotik из Telegram / Хабр

MikroTik & OpenWRT & DNSCrypt / Хабр

MikroTik & OpenWRT & DNSCrypt / Хабр

через бридж фильтр фильтрую мусор от провайдера, пропускаю только PPPoE



через бридж фильтр фильтрую мусор от провайдера, пропускаю только PPPoE

Полезные скрипты для mikrotik RouterOS | unix.ck.ua

Полезные скрипты для mikrotik RouterOS | unix.ck.ua







Сертификаты: Создание сертификатов средствами маршрутизатора

Сертификаты:Создание сертификатов средствами маршрутизатора. Роутер сертификат

Сертификаты:Создание сертификатов средствами маршрутизатора. Роутер сертификат



Сертификаты:Создание сертификатов средствами маршрутизатора — MikroTik WiKi rus

Введение

Описанное здесь решение проверялось для технологий: SSTP, OpenVPN и IPsec.

Настройка

Предупреждение: Ввиду специфики работы RouterOS (актуально, как минимум для RouterOS 6.39.2).
Подготовить шаблоны сертификатов:
Предупреждение: Если сертификаты будут использоваться для SSTP, то в качестве параметра “common-name” сертификата сервера обязательно должен быть указан либо его IP-адрес, либо привязанное к его адресу доменное имя. При этом подключение от Windows-клиента пройдет только от того, что указано в параметре “common-name”. Т. е. если в параметре указано доменное имя, а при подключении указывается адрес, то подключение не произойдет.
/certificateadd name=ca country=RU state="Moscow Region" locality=Moscow organization=N/A unit=N/A common-name=ca key-size=2048 days-valid=4000 key-usage=key-cert-sign,crl-signadd name=server common-name=10.1.100.1 country=RU days-valid=4000 state="Moscow Region" locality=Moscow organization=N/A unit=N/Aadd name=client1 common-name=client1 country=RU days-valid=4000 state="Moscow Region" locality=Moscow organization=N/A unit=N/Aadd name=client2 common-name=client2 country=RU days-valid=4000 state="Moscow Region" locality=Moscow organization=N/A unit=N/A
В свойствах сертификатов server, client1 и client2 на вкладке “Key Usage” снять все галки:
Подписать сертификат центра авторизации. Из контекстного меню сертификата "ca" выбрать "sign". В качестве опции "CA CRL Host" указать адрес VPN-сервера:
Предупреждение: В RouterOS до 6.37.4 сертификат центра авторизации надо подписывать только через графический интерфейс, т. к. только в этом случае, статус сертификата становился KAT. Если подписывать через консоль, то статус становился KLAT. В итоге вся последующая работа с сертификатами становилась нерабочей.
Или через консоль:/certificatesign name=ca ca-crl-host=10.1.100.1 number=ca
Подписать сертификаты сервера и клиентов:
/certificatesign ca=ca server name=server ca-crl-host=10.1.100.1sign ca=ca client1 name=client1 ca-crl-host=10.1.100.1sign ca=ca client2 name=client2 ca-crl-host=10.1.100.1
Подписать можно так же и через графический интерфейс:

Проверка

Проверка заключается в проверке флагов сертификатов. Выдача должна выглядеть следующим образом: сертификат удостоверяющего центра должен иметь ключи: KLAT, остальные сертификаты: KI.
Предупреждение: На скриншоте изображено KAT, но должно быть KLAT

Сертификаты:Создание сертификатов средствами маршрутизатора. Роутер сертификат

Сертификаты:Создание сертификатов средствами маршрутизатора. Роутер сертификат

VPN:IPsec (аутентификация с помощью сертификата) — MikroTik WiKi rus

Gamut Log Viewer

GamutLogViewer



#log log

понедельник, 15 октября 2018 г.

ISA ISA_Fill_Computer_Set_Subnets.vbs


https://github.com/EnclaveConsulting/ISA-Server-TMG/blob/master/ISA_Fill_Computer_Set_Subnets.vbs

EnclaveConsulting/ISA-Server-TMG
Scripts for managing Microsoft ISA Server or Threat Management Gateway (TMG) - EnclaveConsulting/ISA-Server-TMG

/dayrdp rdp

Удалённое включение скриптов Mikrotik из Telegram / Хабр
https://habr.com/post/314108/
===========================
/dayrdp rdp

https://pastebin.com/yQpv4Gf4



  1. :local result [/tool fetch url="http://10.0.0.3/randomizer.php" output=user as-value];
  2. /tool fetch url=("https://api.telegram.org/bot$botID/sendMessage\?chat_id=$myChatID&text=%D0%9F%D1%80%D0%B8%D0%B2%D0%B5%D1%82%21%20%D0%9F%D0%B5%D1%80%D0%B5%D0%B9%D0%B4%D0%B8%D1%82%D0%B5%20%D0%BF%D0%BE%20%D1%81%D1%81%D1%8B%D0%BB%D0%BA%D0%B5%20%D0%B4%D0%BB%D1%8F%20%D0%BF%D0%BE%D0%BB%D1%83%D1%87%D0%B5%D0%BD%D0%B8%D1%8F%20RDP%20%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0%21"." http://home.OOOOOOOO.ru:".($result->"data")) keep-result=no;
  3. #/ip firewall filter edit number=2 action=add-src-to-address-list in-interface=gateway  protocol=tcp address-list-timeout=1m chain=input address-list=allow_rdp comment="adding from telega link" dst-port=($result->"data");
  4. /ip firewall filter set  numbers=2 disabled=no dst-port=($result->"data");
  5. /system scheduler add interval=60s name=fromtelega on-event="/ip firewall filter set disabled=yes numbers=2;\r\n/system scheduler remove fromtelega;"


RAW Paste Data

:local result [/tool fetch url="http://10.0.0.3/randomizer.php" output=user as-value];
/tool fetch url=("https://api.telegram.org/bot$botID/sendMessage\?chat_id=$myChatID&text=%D0%9F%D1%80%D0%B8%D0%B2%D0%B5%D1%82%21%20%D0%9F%D0%B5%D1%80%D0%B5%D0%B9%D0%B4%D0%B8%D1%82%D0%B5%20%D0%BF%D0%BE%20%D1%81%D1%81%D1%8B%D0%BB%D0%BA%D0%B5%20%D0%B4%D0%BB%D1%8F%20%D0%BF%D0%BE%D0%BB%D1%83%D1%87%D0%B5%D0%BD%D0%B8%D1%8F%20RDP%20%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0%21"." http://home.OOOOOOOO.ru:".($result->"data")) keep-result=no;
#/ip firewall filter edit number=2 action=add-src-to-address-list in-interface=gateway  protocol=tcp address-list-timeout=1m chain=input address-list=allow_rdp comment="adding from telega link" dst-port=($result->"data");
/ip firewall filter set  numbers=2 disabled=no dst-port=($result->"data");
/system scheduler add interval=60s name=fromtelega on-event="/ip firewall filter set disabled=yes numbers=2;\r\n/system scheduler remove fromtelega;"



randomized.php
  1. echo rand (rand(16000,17000),rand(17500,18000));
  2. ?>



воскресенье, 14 октября 2018 г.

л2тп l2tp от Билайна

Короче как настроить л2тп от билайна.
На интерфейсе который смотрит в провайдера (пусть будет ether1) вешаешь dhcp-client и галку дефаулт роут не забудь. У тебя будет ip что-то типа 100.х.х.х, дефолт роут типа 100.х.х.1 и два днc сервера типа 217.х.х.218 217.х.х.222
После этого поднимаешься l2tp в качестве точки подключения указываешь tp.internet.beeline.ru, логин и пасс тебе должны были дать и тоже ставишь галку дефаулт роутер.
Как тоннель поднимется интернет должен заработать по айпишникам, типа 8.8.8.8 должен пинговаться.
Но микротик начнет ломиться к днс серверам через л2тп, а там они не доступны. Нужно добавить два роута к адресам днс серверов через гетевай который получил не ether1 или куда ты там цеплялся шнурок.

Urban Dictionary, October 13: Polycule

Urban Dictionary, October 13: Polycule

psd extra firewall




















psd extra firewall

Weight Treshold - это счетчик
Low PW - это сканирование по портам до 1024
High - выше 1024.
Если между соседними попытками сканирования меньше 3 сек
- счетчик сбрасывается.

Решения Vertiv для основного ЦОД и для центров восстановления после аварий

Решения Vertiv для основного ЦОД и для центров восстановления после аварий

четверг, 11 октября 2018 г.

GitHub - teckerpro/MikroTik-pptpBan: This script parses log and add to blacklist IP which established PPTP connection without login

Как перевести точку доступа UniFi на другой контроллер :: Настройка оборудования | Блог ASP 24

Как перевести точку доступа UniFi на другой контроллер :: Настройка оборудования | Блог ASP 24

change-mss

/ip firewall mangle
add action=change-mss chain=postrouting disabled=yes new-mss=clamp-to-pmtu out-interface=internet1 passthrough=yes protocol=tcp tcp-flags=syn

mikrotik_firewall_filter [homewiki]

mikrotik_firewall_filter [homewiki]



mikrotik_firewall_filter

/ip firewall filter
add action=reject chain=forward comment="block addr-list_block" disabled=yes \
    dst-address-list=addr-list_block reject-with=icmp-network-unreachable

add action=jump chain=input comment="catch new UDP connections" \
    connection-state=new dst-port=500,4500,1701,53 in-interface-list=WAN \
    jump-target=anti-bruteforce protocol=udp src-address-list=!hosts.allow


mikrotik_anti_ddos [homewiki]

mikrotik_anti_ddos [homewiki]

https://wiki.vt100.ru/doku.php?id=mikrotik_anti_ddos





mikrotik_anti_ddos
/ip firewall filter
Все новые входящие подключения отправляются в цепочку anti-bruteforce
add action=jump chain=input comment="catch new UDP connections"\
 connection-state=new dst-port=500,4500,1701,53 in-interface-list=WAN\
 jump-target=anti-bruteforce protocol=udp src-address-list=\
!hosts.allow

add action=jump chain=input comment="catch TCP connections"\
 connection-state=new dst-port=1723,22,3389,8291,53\
 in-interface-list=WAN jump-target=anti-bruteforce\
 protocol=tcp

add action=jump chain=input comment="all input jump to anti-bruteforce chain"\
 connection-nat-state=!srcnat,dstnat connection-state=invalid,new\
 in-interface-list=WAN jump-target=anti-bruteforce \
 src-address-list=!hosts.allow
Возвращаем из этой цепочки обратно в input первые 2(3) пакета в минуту:
add action=return chain=anti-bruteforce dst-limit=2/1m,1,src-address/1m40s\
comment="return (allow) some catched connections back to main firewall flow"
Всё остальное не dstnat/srcnat, что превысило, на 1 день добавляется в address-list block-bruteforce
add action=add-src-to-address-list address-list=block-bruteforce\
 address-list-timeout=1d chain=anti-bruteforce
/ip firewall raw
Дроп пакетов, превысивших лимит
add action=drop chain=prerouting in-interface-list=WAN\
 src-address-list=block-bruteforce

ipcountry

http://www.iwik.org/ipcountry/mikrotik/RU

/tool fetch url=http://www.iwik.org/ipcountry/mikrotik/RU
/import file-name=RU

DNS Amplification DDoS: Анатомия атаки и защиты. Часть 1

DNS Amplification DDoS: Анатомия атаки и защиты. Часть 1

пятница, 5 октября 2018 г.

Удалённое включение скриптов Mikrotik из Telegram / Хабр

Удалённое включение скриптов Mikrotik из Telegram / Хабр

Spamhaus + Dshield + Malc0de + OpenBL Malicious Ip Blacklists! - MikroTik

Spamhaus + Dshield + Malc0de + OpenBL Malicious Ip Blacklists! - MikroTik

For some this is nothing new, but for others it might prove to be quite a valued resource, so we decided to make it available gratis for the public as a way of giving back and saying thank you to all those who have supported us, besides, we cant really charge for it, it isnt our work!

Spamhaus and DShield malicious ips combined into a single import script. 

Blog post about it http://blog.squidblacklist.org/?p=297

Can be downloaded at the following url.
http://www.squidblacklist.org/downloads ... icious.rsc

http://www.squidblacklist.org/downloads/drop.malicious.rsc

And heres a couple of bonus free blacklists.

Tor Nodes IP Firewall Blacklist 
http://www.squidblacklist.org/downloads ... rnodes.rsc

http://www.squidblacklist.org/downloads/sbl-tornodes.rsc

An ads blacklist for RouterOS DNS:
http://www.squidblacklist.org/downloads/tik-dns-ads.rsc

http://www.squidblacklist.org/downloads/tik-dns-ads.rsc


Экосистема Xiaomi Mi Ecosystem - Google Таблицы

Экосистема Xiaomi Mi Ecosystem - Google Таблицы



smart_home

#smart_home

(3) Home Assistant - работа с освещением, сценарии, конфиги - YouTube

Сетевая модель OSI — Википедия

Сетевая модель OSI — Википедия

Proqrator | Free Listening on SoundCloud

Proqrator | Free Listening on SoundCloud

Сети для самых маленьких. Часть нулевая. Планирование / LinkMeUp

Сети для самых маленьких. Часть нулевая. Планирование / LinkMeUp




Сети для самых маленьких. Части - все - Step-by-step. Пошаговые инструкции

Сети для самых маленьких. Части - все - Step-by-step. Пошаговые инструкции

воскресенье, 30 сентября 2018 г.

MikroTik: L2TP/IPsec VPN Firewall Rules - jcutrer.com

MikroTik: L2TP/IPsec VPN Firewall Rules - jcutrer.com

MikroTik Tutorial: Firewall ruleset for IPsec whitelisting - jcutrer.com

MikroTik Tutorial: Firewall ruleset for IPsec whitelisting - jcutrer.com

Mikrotik — настройка IPTV (igmp-proxy) | Небольшой Блог Системного Администратора

Mikrotik — настройка IPTV (igmp-proxy) | Небольшой Блог Системного Администратора


Mikrotik — настройка IPTV (igmp-proxy)


Для возможности просмотра IP-TV на столь хорошем роутере Mikrotik, необходимо, чтобы был установлен и включен пакет multicast. Если пакет уже установлен, то в консоли роутера, Winbox и Web-интерфейсе в разделе
Routing, будет доступен пункт
Igmp-Proxy.
Настройка через консоль:
— устанавливаем quick-leave в yes, что позволит ускорить переключение между каналами
— добавляем интерфейсы: bridge — в моем случае локальная сеть, ether1 — интерфейс подключения к провайдеру
routing igmp-proxy set quick-leave=yes
routing igmp-proxy interface add interface=bridge
routing igmp-proxy interface add interface=ether1 alternative-subnets=0.0.0.0/0 upstream=yes
— правила firewall необходимо переместить в верх списка, выше правила drop всех пакетов в цепочках incput и forward
— в правиле цепочки forward, необходимо указывать dst-port номер порта на который провайдер присылает IP-TV трафик. Нужный порт обычно можно подсмотреть в плей-листе провайдера.
ip firewall filter add chain=forward dst-port=1234 protocol=udp
— дополнительные настройки, для работы multicast трафика в WiFi сети, с учетом 0 (нулевого) номера wlan интерфеса
interface wireless set 0 multicast-helper=full
interface wireless set 0 wmm-support=enabled