суббота, 27 октября 2018 г.
четверг, 25 октября 2018 г.
среда, 24 октября 2018 г.
“Умная хрущевка” своими руками
“Умная хрущевка” своими руками
https://nag.ru/articles/article/102380/-umnaya-hruschevka-svoimi-rukami.html
https://nag.ru/articles/article/102380/-umnaya-hruschevka-svoimi-rukami.html
вторник, 23 октября 2018 г.
понедельник, 22 октября 2018 г.
можно в Hyper-V виртуальный свич сделать с хостовой wireless-картой, тогда для виртуалки она будет обычными адаптером,
Ну можно в Hyper-V виртуальный свич сделать с хостовой wireless-картой, тогда для виртуалки она будет обычными адаптером,
wi-fi
wi-fi
пятница, 19 октября 2018 г.
среда, 17 октября 2018 г.
через бридж фильтр фильтрую мусор от провайдера, пропускаю только PPPoE
через бридж фильтр фильтрую мусор от провайдера, пропускаю только PPPoE
Сертификаты:Создание сертификатов средствами маршрутизатора. Роутер сертификат
Сертификаты:Создание сертификатов средствами маршрутизатора. Роутер сертификат
Сертификаты:Создание сертификатов средствами маршрутизатора — MikroTik WiKi rus
Введение
Описанное здесь решение проверялось для технологий: SSTP, OpenVPN и IPsec.
Настройка
Предупреждение: Ввиду специфики работы RouterOS (актуально, как минимум для RouterOS 6.39.2).
Подготовить шаблоны сертификатов:
Предупреждение: Если сертификаты будут использоваться для SSTP, то в качестве параметра “common-name” сертификата сервера обязательно должен быть указан либо его IP-адрес, либо привязанное к его адресу доменное имя. При этом подключение от Windows-клиента пройдет только от того, что указано в параметре “common-name”. Т. е. если в параметре указано доменное имя, а при подключении указывается адрес, то подключение не произойдет.
/certificateadd name=ca country=RU state="Moscow Region" locality=Moscow organization=N/A unit=N/A common-name=ca key-size=2048 days-valid=4000 key-usage=key-cert-sign,crl-signadd name=server common-name=10.1.100.1 country=RU days-valid=4000 state="Moscow Region" locality=Moscow organization=N/A unit=N/Aadd name=client1 common-name=client1 country=RU days-valid=4000 state="Moscow Region" locality=Moscow organization=N/A unit=N/Aadd name=client2 common-name=client2 country=RU days-valid=4000 state="Moscow Region" locality=Moscow organization=N/A unit=N/A
В свойствах сертификатов server, client1 и client2 на вкладке “Key Usage” снять все галки:
Подписать сертификат центра авторизации. Из контекстного меню сертификата "ca" выбрать "sign". В качестве опции "CA CRL Host" указать адрес VPN-сервера:
Предупреждение: В RouterOS до 6.37.4 сертификат центра авторизации надо подписывать только через графический интерфейс, т. к. только в этом случае, статус сертификата становился KAT. Если подписывать через консоль, то статус становился KLAT. В итоге вся последующая работа с сертификатами становилась нерабочей.
Или через консоль:/certificatesign name=ca ca-crl-host=10.1.100.1 number=ca
Подписать сертификаты сервера и клиентов:
/certificatesign ca=ca server name=server ca-crl-host=10.1.100.1sign ca=ca client1 name=client1 ca-crl-host=10.1.100.1sign ca=ca client2 name=client2 ca-crl-host=10.1.100.1
Подписать можно так же и через графический интерфейс:
Проверка
Проверка заключается в проверке флагов сертификатов. Выдача должна выглядеть следующим образом: сертификат удостоверяющего центра должен иметь ключи: KLAT, остальные сертификаты: KI.
Предупреждение: На скриншоте изображено KAT, но должно быть KLAT
вторник, 16 октября 2018 г.
понедельник, 15 октября 2018 г.
ISA ISA_Fill_Computer_Set_Subnets.vbs
https://github.com/EnclaveConsulting/ISA-Server-TMG/blob/master/ISA_Fill_Computer_Set_Subnets.vbs
EnclaveConsulting/ISA-Server-TMG
Scripts for managing Microsoft ISA Server or Threat Management Gateway (TMG) - EnclaveConsulting/ISA-Server-TMG
/dayrdp rdp
Удалённое включение скриптов Mikrotik из Telegram / Хабр
https://habr.com/post/314108/
===========================
/dayrdp rdp
https://pastebin.com/yQpv4Gf4
:local result [/tool fetch url="http://10.0.0.3/randomizer.php" output=user as-value];
/tool fetch url=("https://api.telegram.org/bot$botID/sendMessage\?chat_id=$myChatID&text=%D0%9F%D1%80%D0%B8%D0%B2%D0%B5%D1%82%21%20%D0%9F%D0%B5%D1%80%D0%B5%D0%B9%D0%B4%D0%B8%D1%82%D0%B5%20%D0%BF%D0%BE%20%D1%81%D1%81%D1%8B%D0%BB%D0%BA%D0%B5%20%D0%B4%D0%BB%D1%8F%20%D0%BF%D0%BE%D0%BB%D1%83%D1%87%D0%B5%D0%BD%D0%B8%D1%8F%20RDP%20%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0%21"." http://home.OOOOOOOO.ru:".($result->"data")) keep-result=no;
#/ip firewall filter edit number=2 action=add-src-to-address-list in-interface=gateway protocol=tcp address-list-timeout=1m chain=input address-list=allow_rdp comment="adding from telega link" dst-port=($result->"data");
/ip firewall filter set numbers=2 disabled=no dst-port=($result->"data");
/system scheduler add interval=60s name=fromtelega on-event="/ip firewall filter set disabled=yes numbers=2;\r\n/system scheduler remove fromtelega;"
randomized.php
https://habr.com/post/314108/
===========================
/dayrdp rdp
https://pastebin.com/yQpv4Gf4
- :local result [/tool fetch url="http://10.0.0.3/randomizer.php" output=user as-value];
- /tool fetch url=("https://api.telegram.org/bot$botID/sendMessage\?chat_id=$myChatID&text=%D0%9F%D1%80%D0%B8%D0%B2%D0%B5%D1%82%21%20%D0%9F%D0%B5%D1%80%D0%B5%D0%B9%D0%B4%D0%B8%D1%82%D0%B5%20%D0%BF%D0%BE%20%D1%81%D1%81%D1%8B%D0%BB%D0%BA%D0%B5%20%D0%B4%D0%BB%D1%8F%20%D0%BF%D0%BE%D0%BB%D1%83%D1%87%D0%B5%D0%BD%D0%B8%D1%8F%20RDP%20%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0%21"." http://home.OOOOOOOO.ru:".($result->"data")) keep-result=no;
- #/ip firewall filter edit number=2 action=add-src-to-address-list in-interface=gateway protocol=tcp address-list-timeout=1m chain=input address-list=allow_rdp comment="adding from telega link" dst-port=($result->"data");
- /ip firewall filter set numbers=2 disabled=no dst-port=($result->"data");
- /system scheduler add interval=60s name=fromtelega on-event="/ip firewall filter set disabled=yes numbers=2;\r\n/system scheduler remove fromtelega;"
RAW Paste Data
/tool fetch url=("https://api.telegram.org/bot$botID/sendMessage\?chat_id=$myChatID&text=%D0%9F%D1%80%D0%B8%D0%B2%D0%B5%D1%82%21%20%D0%9F%D0%B5%D1%80%D0%B5%D0%B9%D0%B4%D0%B8%D1%82%D0%B5%20%D0%BF%D0%BE%20%D1%81%D1%81%D1%8B%D0%BB%D0%BA%D0%B5%20%D0%B4%D0%BB%D1%8F%20%D0%BF%D0%BE%D0%BB%D1%83%D1%87%D0%B5%D0%BD%D0%B8%D1%8F%20RDP%20%D0%B4%D0%BE%D1%81%D1%82%D1%83%D0%BF%D0%B0%21"." http://home.OOOOOOOO.ru:".($result->"data")) keep-result=no;
#/ip firewall filter edit number=2 action=add-src-to-address-list in-interface=gateway protocol=tcp address-list-timeout=1m chain=input address-list=allow_rdp comment="adding from telega link" dst-port=($result->"data");
/ip firewall filter set numbers=2 disabled=no dst-port=($result->"data");
/system scheduler add interval=60s name=fromtelega on-event="/ip firewall filter set disabled=yes numbers=2;\r\n/system scheduler remove fromtelega;"
randomized.php
- echo rand (rand(16000,17000),rand(17500,18000));
- ?>
воскресенье, 14 октября 2018 г.
л2тп l2tp от Билайна
Короче как настроить л2тп от билайна.
На интерфейсе который смотрит в провайдера (пусть будет ether1) вешаешь dhcp-client и галку дефаулт роут не забудь. У тебя будет ip что-то типа 100.х.х.х, дефолт роут типа 100.х.х.1 и два днc сервера типа 217.х.х.218 217.х.х.222
После этого поднимаешься l2tp в качестве точки подключения указываешь tp.internet.beeline.ru, логин и пасс тебе должны были дать и тоже ставишь галку дефаулт роутер.
Как тоннель поднимется интернет должен заработать по айпишникам, типа 8.8.8.8 должен пинговаться.
Но микротик начнет ломиться к днс серверам через л2тп, а там они не доступны. Нужно добавить два роута к адресам днс серверов через гетевай который получил не ether1 или куда ты там цеплялся шнурок.
На интерфейсе который смотрит в провайдера (пусть будет ether1) вешаешь dhcp-client и галку дефаулт роут не забудь. У тебя будет ip что-то типа 100.х.х.х, дефолт роут типа 100.х.х.1 и два днc сервера типа 217.х.х.218 217.х.х.222
После этого поднимаешься l2tp в качестве точки подключения указываешь tp.internet.beeline.ru, логин и пасс тебе должны были дать и тоже ставишь галку дефаулт роутер.
Как тоннель поднимется интернет должен заработать по айпишникам, типа 8.8.8.8 должен пинговаться.
Но микротик начнет ломиться к днс серверам через л2тп, а там они не доступны. Нужно добавить два роута к адресам днс серверов через гетевай который получил не ether1 или куда ты там цеплялся шнурок.
psd extra firewall
psd extra firewall
Weight Treshold - это счетчик
Low PW - это сканирование по портам до 1024
High - выше 1024.
Если между соседними попытками сканирования меньше 3 сек
- счетчик сбрасывается.
суббота, 13 октября 2018 г.
четверг, 11 октября 2018 г.
change-mss
/ip firewall mangle
add action=change-mss chain=postrouting disabled=yes new-mss=clamp-to-pmtu out-interface=internet1 passthrough=yes protocol=tcp tcp-flags=syn
add action=change-mss chain=postrouting disabled=yes new-mss=clamp-to-pmtu out-interface=internet1 passthrough=yes protocol=tcp tcp-flags=syn
mikrotik_firewall_filter [homewiki]
mikrotik_firewall_filter [homewiki]
mikrotik_firewall_filter
mikrotik_firewall_filter
/ip firewall filter
add action=reject chain=forward comment="block addr-list_block" disabled=yes \
dst-address-list=addr-list_block reject-with=icmp-network-unreachable
add action=jump chain=input comment="catch new UDP connections" \
connection-state=new dst-port=500,4500,1701,53 in-interface-list=WAN \
jump-target=anti-bruteforce protocol=udp src-address-list=!hosts.allow
ipcountry
http://www.iwik.org/ipcountry/mikrotik/RU
/tool fetch url=http://www.iwik.org/ipcountry/mikrotik/RU
/import file-name=RU
/tool fetch url=http://www.iwik.org/ipcountry/mikrotik/RU
/import file-name=RU
среда, 10 октября 2018 г.
вторник, 9 октября 2018 г.
понедельник, 8 октября 2018 г.
пятница, 5 октября 2018 г.
Spamhaus + Dshield + Malc0de + OpenBL Malicious Ip Blacklists! - MikroTik
Spamhaus + Dshield + Malc0de + OpenBL Malicious Ip Blacklists! - MikroTik
For some this is nothing new, but for others it might prove to be quite a valued resource, so we decided to make it available gratis for the public as a way of giving back and saying thank you to all those who have supported us, besides, we cant really charge for it, it isnt our work!
Spamhaus and DShield malicious ips combined into a single import script.
Blog post about it http://blog.squidblacklist.org/?p=297
Can be downloaded at the following url.
http://www.squidblacklist.org/downloads ... icious.rsc
http://www.squidblacklist.org/downloads/drop.malicious.rsc
And heres a couple of bonus free blacklists.
Tor Nodes IP Firewall Blacklist
http://www.squidblacklist.org/downloads ... rnodes.rsc
http://www.squidblacklist.org/downloads/sbl-tornodes.rsc
An ads blacklist for RouterOS DNS:
http://www.squidblacklist.org/downloads/tik-dns-ads.rsc
http://www.squidblacklist.org/downloads/tik-dns-ads.rsc
For some this is nothing new, but for others it might prove to be quite a valued resource, so we decided to make it available gratis for the public as a way of giving back and saying thank you to all those who have supported us, besides, we cant really charge for it, it isnt our work!
Spamhaus and DShield malicious ips combined into a single import script.
Blog post about it http://blog.squidblacklist.org/?p=297
Can be downloaded at the following url.
http://www.squidblacklist.org/downloads ... icious.rsc
http://www.squidblacklist.org/downloads/drop.malicious.rsc
And heres a couple of bonus free blacklists.
Tor Nodes IP Firewall Blacklist
http://www.squidblacklist.org/downloads ... rnodes.rsc
http://www.squidblacklist.org/downloads/sbl-tornodes.rsc
An ads blacklist for RouterOS DNS:
http://www.squidblacklist.org/downloads/tik-dns-ads.rsc
http://www.squidblacklist.org/downloads/tik-dns-ads.rsc
четверг, 4 октября 2018 г.
среда, 3 октября 2018 г.
понедельник, 1 октября 2018 г.
Подписаться на:
Сообщения (Atom)