|
29.09.2018., 18:29 | #1 |
Premium
Datum registracije: May 2014
Lokacija: istra
Postovi: 3,004
|
hakiran mi je mikrotik router, help firewall
noćas je nekome očito bilo dosadno, i hakirao mi je mikrotik glavni router, koji diže pppoe i općenito služi cijelu mrežu. bilo mi je čudno jer na nekim kompovima mi je net radio, na nekima ne, a onda sam skužio da mi winbox više ne pokazuje taj router, iako ga i dalje mogu pingat. kad sam došao fizički do njega , nisam se mogao spojit na njegov wifi, a kabelom me nije puštao unutra (promijenili su password). nakon šta sam popizdio i resetirao ga na default, probao sam vratiti config, ali i tu je mikrotik govno i javlja grešku "interface already exists" kad radim restore. ukratko, molim nekoga da mi kaže kako podesit firewall i kako onemogućit pristup routeru izvana. ne želim niti da odgovara na ping, niti da mu se može pristupiti preko niti jednog servisa (http, winbox, telnet, ssh). znači vi kojima je mikrotik "glavni" u mreži, molim lijepo, firewall rule-ove da je apsolutno sve iz wan -> lan zabranjeno. |
29.09.2018., 19:27 | #2 |
Moderator
Datum registracije: Sep 2006
Lokacija: St
Postovi: 22,479
|
Pa imaš na netu objašnjenja / rule - ova, ako me sjećanje služi poznato je "upadanje" preko DNS i/ili WinBox porta, u principu trebaš podavit "sumljive" konekcije izvana na portu koji ti je WAN tj. Dial-Up Prvo digni zadnju stabilnu verziju pameti i stavi dužu šifru pa onda sve po redu ... Materijal: http://wirelessconnect.eu/articles/s...outer_firewall https://wiki.mikrotik.com/wiki/Manua...ng_Your_Router Securing RouterOS router - MUM - MikroTik > https://mum.mikrotik.com/presentatio...1441096994.pdf poviri i ovdje za primjere QoS + zaštita > https://klseet.com/213-tm-unifi/unif...otik-rb750-qos ne zaboravi da trebaš "prilagoditi" tvojoj situaciji tj. interface name, a evo primjera zaštite > https://klseet.com/213-tm-unifi/unif...all-a-security Zadnje izmijenjeno od: Nikky. 29.09.2018. u 19:33. |
|
|
Oglas
|
|
29.09.2018., 20:39 | #4 |
Premium
Datum registracije: May 2014
Lokacija: istra
Postovi: 3,004
|
bio (i ostao) na 6.38.7 . je, dodao sam hrpetinu drop rule-ova, i ugasio sve servise osim www i winboxa. testirao, još uvijek je javlja na ping izvana, ali preko niti jednog servisa mu se ne može pristupit, telnet/ssh ne otvaraju konekciju tako da mislim da je sad OK (a log se crvenio dok nisam ubio ssh, očito sam nekom botu na piku, a username je varirao tp-link , ubnt, root, admin). sad se mučim sa ddns skriptom, gledam backup, gledam skriptu s neta, sve je ok, ali ne update-a ddns. sad se treba sjetit jos svih portova koje sam imao otvoreno -.- vezano za napad, tikovi imaju bug, nije hakiran password, nego se netko domogao backupa, dekriptirao backup pa iz njega izvukao password. ono šta me ljuti da se ne može vratit konfiguracija, sa iste verzije softvera. sve manje i manje mi se mikrotici sviđaju. jedino di su OK je kao vanjski AP, ove konfiguracije i miljardu stvari za podesit za najmanju glupost uzima jako puno vremena. kao kućni ap-ovi su preslabi, a kao routeri te ubije konfiguracija. tamo gdje svi ostali proizvođači imaju kvačicu, na ovome imaš pol sata drkanja. |
29.09.2018., 20:47 | #5 |
Premium
Datum registracije: Nov 2006
Lokacija: HR
Postovi: 4,514
|
upgrejdaj brate jer budu opet došli unutra preko winbox porta ti uđe .. odi malo na mikrotik stranicu i čitaj update log udri na zadnji stable nemaš se čega bojat, ili ? zašto ne updejtaš ? a bekap bi se morao vratit bez problema baci ga na tvornički setup uđeš unutra preko mac-a i restore bekap .. nadam se da imas bekap i na kompu ili imas samo taj koji je unutra ? jer taj je očito modificiran |
29.09.2018., 20:48 | #6 |
El Mattador
Datum registracije: Nov 2001
Lokacija: Ljubuški<->Metković
Postovi: 1,814
|
|
29.09.2018., 21:34 | #7 |
Premium
Datum registracije: May 2014
Lokacija: istra
Postovi: 3,004
|
jer ja zaista svaki dan visim na forumu od mikrotika. ne volim update-at jer me uvijek strah da će se nešto zajebat u postupku. čitao sam da bi se tik znao zaglavit ponekad uslijed update-a sa neke specifične verzije na neku drugu specifičnu verziju. bio sam se preznojio kad sam na repeateru lupio update, dok nije opet došao online. da se zablokirao mogao sam se pozdravit s netom do daljnjeg. na sxt-ovima koji su mi fizički nedostupni nisam nikad dirao, nego ostavio ono šta je tvornički došlo s njima (6.34). @dado - imam backup na kompu. ali kad ga vratim, javi gore navedeni error. sad sam već upogonio dosta toga, gledam u backup i dodajem stvari. jebe me prvenstveno ddns. neznam zašto neće update-at. koristim dynu i njihovu skriptu, ali ne radi. i ok, update-at ću ga. jednostavno nisam išao za tim da bi se ovako neka glupost mogla dogodit. |
29.09.2018., 21:39 | #8 |
Premium
Datum registracije: Nov 2006
Lokacija: HR
Postovi: 4,514
|
ja ti na našoj lokalnoj mreži cca 94 uređaja . lupam svako malo updejt jedino ekipa poludi jer se meni digne to radit u petak ili nedelju poslije 22/23h pa mi hebu sve po spisku kad net ode i dođe pa opet ode al za 30 min je sve gotovo al da, istina je .. zna ponekad zaglavit .. al bilo je to na starijim verzijama sad ne zaglavi, ali se preznojiš da digne se, ali neki njihov novi "feature" ne radi kak treba, a na stable kanalu sam .. pa onda pizidš i dorađuješ opet config ili se vračaš zato sam se naučio pričektat 2-3 dana ili tjedan dana pa onda udaram updejt ako ne središ dyndns .. imam ti ja skriptu ali ide preko dns-o-magic pa on roka na dyndns |
29.09.2018., 22:03 | #9 |
Premium
Datum registracije: Sep 2006
Lokacija: Hrvatistan
Postovi: 4,156
|
moguće da je u pitanju vpnfilter, good luck https://blog.talosintelligence.com/2...VPNFilter.html https://blog.talosintelligence.com/2...er-update.html također, ove godine je bio aktualan i neki mikrotik botnet https://security.radware.com/ddos-th...krotik-botnet/ |
29.09.2018., 22:13 | #10 |
Premium
Datum registracije: May 2014
Lokacija: istra
Postovi: 3,004
|
skinuo, i pukne mi upload na 6.7MB / 7.3MB. storage dođe do 0%. ako idem na autoupdate, javi da nema pristup netu, (can't resolve dns request). malo mi je idiotski da je to glavni router, a nema pristup netu sam za sebe. onda sam skinuo 6.40, i taman ostalo 1% free. rebootam, i ne desi se ništa. |
|
|
Oglas
|
|
30.09.2018., 09:59 | #12 |
Premium
Datum registracije: May 2014
Lokacija: istra
Postovi: 3,004
|
pod files nemam ništa , ima 5-6 malih fajlova i jedan od 500KB. je, hap lite, rb941. imam 7MB disk free, i cca 3.8MB ram free. |
30.09.2018., 21:04 | #14 | ||
Pauk mrežar
Datum registracije: Jul 2007
Lokacija: Zagreb (Bjelovar)
Postovi: 266
|
pretplatiš se na mail listu pa ti jave za kritične propuste i hitne nadogradnje onda ga drži na long-term verziji (bugfix po starom) koji se ne mijenja često, ne mijenjaju sintaksu, ne dodaju nove feature, ali krpaju rupe. Trenutni je 6.40.9 Citiraj:
Citiraj:
A što se tiče firewalla ako hoćeš zabraniti sve izvana, mislim da to imaš u defaultnom firewallu gdje kaže chain=input action=drop src-address=!192.168.0.0 ili kaj je već lokalna iz koje želiš pristup. input chain ti nema veze sa routingom tj forwardingom.
__________________
PCAP or it didn't happen |
||
01.10.2018., 16:16 | #15 |
Premium
Datum registracije: May 2014
Lokacija: istra
Postovi: 3,004
|
testirao danas s posla, sve zatvoreno, ne prolazi ni 80, ni 8291, ni ssh, telnet... tako da valjda sam sad na miru. i dado - ne radi mi skripta i dalje. pošalješ mi tvoju plz? |
01.10.2018., 16:52 | #16 |
Premium
Datum registracije: Nov 2006
Lokacija: HR
Postovi: 4,514
|
Code:
# DNSoMatic automatic DNS updates #--------------- Change Values in this section to match your setup ------------------ # User account info of DNSoMatic :local maticuser USER_OD_DNS_O_MATIC :local maticpass PASS_OD_DNS_O_MATIC # Set the hostname or label of network to be updated. This is the part after the double colon (::) on the DNSoMatic services page. # Hostnames with spaces are unsupported. Replace the value in the quotations below with your host names. # To specify multiple hosts, separate them with commas. # Use "all.dnsomatic.com" for the matichost to update all items in dnsomatic with this IP. :local matichost HOST.dyndns.XXX #NEW :global previousIP; :global currentIP [:resolve myip.opendns.com server=208.67.222.222]; :if ($currentIP != $previousIP) do={ :log info "DNSoMatic: Update needed" :set previousIP $currentIP # The update URL. Note the "\3F" is hex for question mark (?). Required since ? is a special character in commands. :local url "http://updates.dnsomatic.com/nic/update\3Fmyip=$currentIP&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG" :local matichostarray; :set matichostarray [:toarray $matichost]; :foreach host in=$matichostarray do={ :log info "DNSoMatic: Sending update for $host" /tool fetch url=($url . "&hostname=$host") user=$maticuser password=$maticpass mode=http dst-path=("dnsomaticupdate-" . $host . ".txt") :log info "DNSoMatic: Host $host updated on DNSoMatic with IP $currentIP" } } else={} evo ti skripte .. scheduler znaš valjda slozit ili ? Code:
/system scheduler add interval=5m name=dnsOmatic_run on-event="/system script run dnsOmatic" \ policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \ start-date=feb/01/2017 start-time=23:56:00 Dakle na dns-o-matic stranici imam acc tamo sam upisao dyndns podatke user i API key .. ne password i tako radi ok.. ako zapneš .. javi se |
01.10.2018., 23:05 | #17 |
Premium
Datum registracije: May 2014
Lokacija: istra
Postovi: 3,004
|
kako da ovo radi na dynu? moja je tu, i trebala bi raditi, ali ne radi. i nije do schedulera, jer ni kad lupim ručno run script, ne odradi update. može li bit da sam router nema pristup netu jer sam ubio sve živo u firewallu? Code:
############################################# # DYNU SCRIPT for Mikrotik , DSL Modem BRIDGE MODE, # Wan dialing is done by mikrotik so public ip is on mikrotik directly # CHANGE THE FOLLOWING ACCORDING TO YOUR CREDENTIALS # Syed Jahanzaib / aacable at hotmail dot com # #################################################### :global ddnsuser bblablauser :global ddnspass "blablapassword" :global theinterface "pppoe_out1" :global ddnshost "bablabla.org" #### Donot change below this line #### :global ipddns [:resolve $ddnshost]; :global ipfresh [ /ip address get [/ip address find interface=$theinterface ] address ] :if ([ :typeof $ipfresh ] = nil ) do={ :log info ("DynuDDNS: No IP address on $theinterface .") } else={ :for i from=( [:len $ipfresh] - 1) to=0 do={ :if ( [:pick $ipfresh $i] = "/") do={ :set ipfresh [:pick $ipfresh 0 $i]; } } :if ($ipddns != $ipfresh) do={ :log info ("DynuDDNS: IP-Dynu = $ipddns") :log info ("DynuDDNS: IP-Fresh = $ipfresh") :log info "DynuDDNS: Update IP needed, Sending UPDATE...!" :global str "/nic/update?hostname=$ddnshost&myip=$ipfresh" /tool fetch address=api.dynu.com src-path=$str mode=http user=$ddnsuser password=$ddnspass dst-path=("/Dynu.".$ddnshost) :delay 1 :global str [/file find name="Dynu.$ddnshost"]; /file remove $str :global ipddns $ipfresh :log info "DynuDDNS: IP updated to $ipfresh!" } else={ :log info "DynuDDNS: dont need changes"; } } #################################################### upravo je router umro bez da sam mu išta napravio. sve sporije i sporije otvarao net, na kraju umro skroz. mogu ga pingat, ali winbox ga ne vidi, i ne mogu mu pristupiti niti preko browsera. dok pišem post došao sebi, ali dobrih 5 minuta je bio mrtav. nemam ja živaca za ove pizdarije. evo firewall ss-a. Zadnje izmijenjeno od: jp_rv. 01.10.2018. u 23:30. |
02.10.2018., 05:38 | #18 | |
Laughing Man
Datum registracije: Sep 2005
Lokacija: Volim grah koji peče
Postovi: 3,015
|
Oće i Mikrotik krepucnut, eno moj RB2011 u smetju. Doduše triput ga je grom zvizno... Što se pristupa Internetu s routera tiče, imaš u winboxu new terminal, pa ping 8.8.8.8 i ping google.com. A za ovu skriptu, imao sam i ja slično za freedns.afraid.org. Ne vidim potrebe za time pored IP->Cloud, osim čitljivosti domene, ali zapišeš si negdje i bok.
__________________
Citiraj:
|
|
03.10.2018., 10:55 | #20 |
Premium
Datum registracije: May 2014
Lokacija: istra
Postovi: 3,004
|
da li ovo znači da je tik u fazi umiranja ipak? već vidim da se vraćam na openwrt za glavni router. |
03.10.2018., 11:29 | #21 |
Premium
Datum registracije: Nov 2006
Lokacija: HR
Postovi: 4,514
|
Koji sw? Koji ruter Neki modeli imaju problema sa out of memory na zadnjem sw-u koliko sam vidio prijave na forumu Rokni ga netinstall-om i format uz to neka napravi Nebude crklo... kod mikrotika krepava samo strujni adapter i stariji rb-i kondiči |
03.10.2018., 12:07 | #22 |
Premium
Datum registracije: May 2014
Lokacija: istra
Postovi: 3,004
|
paaa - hap lite. nije da sam kupio novi. ista verzija kao gore napisana, kad ga nisam uspio update-at. ne mogu netinstall, nemam fizički pristup do njega do kraja 10. mjeseca. |
03.10.2018., 12:13 | #23 |
Premium
Datum registracije: Nov 2006
Lokacija: HR
Postovi: 4,514
|
hap lite je da bude samo AP .. ne neki ruter .. a kaj sad .. bude došao i taj kraj 10-ti mj .. do onda vjezbaj how to netinstall jer ponekad ne ide iz prve .. ako imas krive korake ili pa te windowsi ne vole .. hint firewall |
17.10.2018., 21:47 | #24 |
Premium
Datum registracije: May 2014
Lokacija: istra
Postovi: 3,004
|
ok ide novi router. danas sam se igrao sa ubiquiti air routerom (ali gore je openwrt). da uzmem air router sa openwrt-om? air router sa originalnim firmverom? ili neki jači tp-link tipa 1043 (64mb ram, 16mb flash, gigabit) koji ima openwrt gore? treba mi za: normalan vdsl pppoe i cjelokupan ruting u mreži (to sad radi mikrotik hap lite). uključuje ddns i port forwarding. wifi normalan / nelimitiran (to trenutno isto radi mikrotik hap). wifi guest limitiran u drugom subnetu na 10/1 mbit (imam dedicirani AP za to trenutno). failover sa druge linije (to trenutno mi niti jedan ne radi, radim ručno po potrebi) wifi 3 sa druge linije (imam dedicirani AP za to trenutno). bi li za ijednu kombinaciju gore navedenih zahtjeva mogao koristiti tvornički OS sa ubiquiti routera, ili mora openwrt? |
18.10.2018., 16:55 | #25 |
Premium
Datum registracije: May 2014
Lokacija: istra
Postovi: 3,004
|
uzeo na kraju tp-link tl-wr1043 v5 (64mb ram). podesio gore svašta, 3 wireless-a, limit brzine na guest wifi-ju, 3 subneta. jedino nisam uspio riješiti multiwan niti dignuti neki jednostavan vpn server. po pitanju dometa, pretpostavljam da će pojesti mikrotika. uglavnom sa jednim routerom sam zamijenio trenutna 3. je da košta skoro 300kn... |
18.10.2018., 22:59 | #29 |
Premium
Datum registracije: May 2014
Lokacija: istra
Postovi: 3,004
|
hah, ako usporedim sa hap lite-om i hap lite mini-jem, ovo je skupo :P hap lite ću probat dignut na zadnju verziju ros-a preko netinstall, i bit će samo AP, umirovit ću rb433. odnosno prodat ga. ovaj tp-link izgleda ko avion... sad ću se opet trebat učit openwrt, svaku sitnicu posebno instalirati. |
19.10.2018., 08:08 | #30 |
El Mattador
Datum registracije: Nov 2001
Lokacija: Ljubuški<->Metković
Postovi: 1,814
|
|
|
|
Oglas
|
|
Uređivanje | |
|
|