امنیت تقریبا کامل برای میکروتیک و (winbox and ssh) با بستن کدام پورت ها با استفاده از فایروال قوی میکروتیک به

[alfa5xx]

با سلام

برای اینکه امنیت میکروتیک رو چه بر روی ssh و چه برروی winbox و بسته شدن و کاهش استفاده از پروتکل تورنت و userman بالا ببریم چه کار هایی باید انجام داد ؟؟؟؟ و کلا مسایل امنیتی و بسته پورتهای مهم از قبیل ftp و telnet ,..... چگونه هست ؟؟

مسایل مربوط به رول های فایر وال رو هم اگه کسی کامل بگه ممنون میشم .. اگه بتونه فیلم یا تصویری باشه که کلا ازش یک دنیا ممنون میشم

نسخه های بالای 5.7 و بالاتر مد نطر من میباشد ... با تشکر

[taghi.karimi]

برای تورنت که اسکریپتش در انجمن هست و به طور کامل تورنت قوروارد میشود!!
برای ssh هم میتوانید از قسمت IP>service دسترسی را به یک آیپی خاص محدود کنید یا پورت را تغییر بدید!
سرویسهای FTP و TELnet هم از همان قسمت به همین شکل هستند!

[alfa5xx]

دوست عزیز منظورم این هست که چگونه جلوی این رو بگیرم که از طریق ssh به میکروتیک حمله ای صورت میگیره متلا الان هر چند وق یکبار از 10-20 ای پی خاص از طریق ssh میخوان بع میکروتیک وارد شن چطوری یک رول تعریف کنم که بطور اتوماتیک این ای پی هایی که گفتم رو بندازه تو بلک لیست و دسترسی شون رو بلاک کنه

؟؟؟؟؟

[RapB0y]

دوست عزیز منظورم این هست که چگونه جلوی این رو بگیرم که از طریق ssh به میکروتیک حمله ای صورت میگیره متلا الان هر چند وق یکبار از 10-20 ای پی خاص از طریق ssh میخوان بع میکروتیک وارد شن چطوری یک رول تعریف کنم که بطور اتوماتیک این ای پی هایی که گفتم رو بندازه تو بلک لیست و دسترسی شون رو بلاک کنه

؟؟؟؟؟

این مورد رو نمیدونم ولی واسه بستن کلیه پورت ها وار new terminal بشید این رو paste کنید:

کد PHP:

# By Reza yavari
#
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes
add action=accept chain=input disabled=no protocol=udp
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
    disabled=no protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="SYN/FIN scan" disabled=no \
    protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="SYN/RST scan" disabled=no \
    protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" disabled=\
    no protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="ALL/ALL scan" disabled=no \
    protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="NMAP NULL scan" disabled=no \
    protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="dropping port scanners" disabled=no \
    src-address=58.69.57.86 src-address-list="port scanners"
add action=jump chain=forward comment="SYN Flood protect" connection-state=\
    new disabled=no jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=accept chain=SYN-Protect connection-state=new disabled=no limit=\
    400,5 protocol=tcp tcp-flags=syn
add action=drop chain=forward disabled=no dst-port=135 protocol=tcp
add action=drop chain=forward disabled=no dst-port=137 protocol=tcp
add action=drop chain=forward disabled=no dst-port=138 protocol=tcp
add action=drop chain=forward disabled=no dst-port=139 protocol=tcp
add action=drop chain=forward disabled=no dst-port=445 protocol=tcp
add action=drop chain=virus comment="Drop Blaster Worm" disabled=no dst-port=\
    135-139 protocol=tcp
add action=drop chain=virus comment="Drop Messenger Worm" disabled=no \
    dst-port=135-139 protocol=udp
add action=drop chain=virus comment="Drop Blaster Worm" disabled=no dst-port=\
    445 protocol=tcp
add action=drop chain=virus comment="Drop Blaster Worm" disabled=no dst-port=\
    445 protocol=udp
add action=drop chain=virus comment=________ disabled=no dst-port=593 \
    protocol=tcp
add action=drop chain=virus comment=________ disabled=no dst-port=1024-1030 \
    protocol=tcp
add action=drop chain=virus comment="Drop MyDoom" disabled=no dst-port=1080 \
    protocol=tcp
add action=drop chain=virus comment=________ disabled=no dst-port=1214 \
    protocol=tcp
add action=drop chain=virus comment="ndm requester" disabled=no dst-port=1363 \
    protocol=tcp
add action=drop chain=virus comment="ndm server" disabled=no dst-port=1364 \
    protocol=tcp
add action=drop chain=virus comment="screen cast" disabled=no dst-port=1368 \
    protocol=tcp
add action=drop chain=virus comment=hromgrafx disabled=no dst-port=1373 \
    protocol=tcp
add action=drop chain=virus comment=cichlid disabled=no dst-port=1377 \
    protocol=tcp
add action=drop chain=virus comment=Worm disabled=no dst-port=1433-1434 \
    protocol=tcp
add action=drop chain=virus comment="Bagle Virus" disabled=no dst-port=2745 \
    protocol=tcp
add action=drop chain=virus comment="Drop Dumaru.Y" disabled=no dst-port=2283 \
    protocol=tcp
add action=drop chain=virus comment="Drop Beagle" disabled=no dst-port=2535 \
    protocol=tcp
add action=drop chain=virus comment="Drop Beagle.C-K" disabled=no dst-port=\
    2745 protocol=tcp
add action=drop chain=virus comment="Drop MyDoom" disabled=no dst-port=\
    3127-3128 protocol=tcp
add action=drop chain=virus comment="Drop Sasser" disabled=no dst-port=5554 \
    protocol=tcp
add action=drop chain=virus comment="Drop Backdoor OptixPro" disabled=no \
    dst-port=3410 protocol=tcp
add action=drop chain=virus comment=Worm disabled=no dst-port=4444 protocol=\
    tcp
add action=drop chain=virus comment=Worm disabled=no dst-port=4444 protocol=\
    udp
add action=drop chain=virus comment="Drop Beagle.B" disabled=no dst-port=8866 \
    protocol=tcp
add action=drop chain=virus comment="Drop Dabber.A-B" disabled=no dst-port=\
    9898 protocol=tcp
add action=drop chain=virus comment="Drop Dumaru.Y" disabled=no dst-port=\
    10000 protocol=tcp
add action=drop chain=virus comment="Drop MyDoom.B" disabled=no dst-port=\
    10080 protocol=tcp
add action=drop chain=virus comment="Drop NetBus" disabled=no dst-port=12345 \
    protocol=tcp
add action=drop chain=virus comment="Drop Kuang2" disabled=no dst-port=17300 \
    protocol=tcp
add action=drop chain=virus comment="Drop SubSeven" disabled=no dst-port=\
    27374 protocol=tcp
add action=drop chain=virus comment="Drop PhatBot, Agobot, Gaobot" disabled=\
    no dst-port=65506 protocol=tcp
add action=drop chain=forward comment=NetBIOS disabled=no dst-port=135-139 \
    protocol=udp
add action=drop chain=forward comment=NetBIOS disabled=no dst-port=135-139 \
    protocol=tcp
add action=drop chain=forward disabled=no dst-port=5933 protocol=tcp
add action=accept chain=forward comment="allow related connections" \
    connection-state=related disabled=yes
add action=accept chain=forward comment="allow established connections" \
    connection-state=established disabled=yes
add action=drop chain=forward comment="drop invalid connections" \
    connection-state=invalid disabled=yes
add action=tarpit chain=input connection-limit=3,32 disabled=no protocol=tcp \
    src-address-list=blocked-addr
add action=drop chain=SYN-Protect connection-state=new disabled=no protocol=\
    tcp tcp-flags=syn
add action=accept chain=input comment="Ping limitation  50Kbps/5S/B2" \
    disabled=no limit=50/5s,2 protocol=icmp
add action=reject chain=input comment="Disable Ping ( Protocol Unreachable)" \
    disabled=yes limit=50/5s,2 protocol=icmp reject-with=\
    icmp-protocol-unreachable 


[alis2004]

از دوستان
خواهش می کنم کسی از امنیت میکروتیک
شناخت کامی داره بگه
حال که این os تو ایران زیاد مورد استفاده قرار گرفته
اموزش هاشم باید کامل کنیم

[loveload]

همه پورت ها رو ببندیم مشکل برای کاربران پیش نمیاد ؟

[arc1o0]

همه پورت ها رو ببندیم مشکل برای کاربران پیش نمیاد ؟

پورت هایی که لازم ندارید و استفاده نمی شه، ضرورتی نداره باز بمونه

کدام پورت ها رو استفاده می کنید، اون ها رو باز بزارید، الباقی همه رو ببندید.

موفق باشیدو.