Firewall
Перелік адрес, яким дозволений доступ до мікротіка:
/ip firewall address-list
add address=192.168.1.0/24 list=allow-ip
add address=192.168.88.10/32 list=allow-ip
дозволимо з цих адрес будь-які дії:
/ip firewall filter
add action=accept chain=input comment="Allow Address List" \
src-address-list=allow-ip
фокус - якщо приходить icmp-пакет розміром 781 байт, то адреса жерела додається у перелік дозволених на 1 годину:
/ip firewall filter
add action=add-src-to-address-list address-list=allow-ip \
address-list-timeout=1h chain=input packet-size=781 protocol=icmp
пам'ятаємо, що вказуємо на 28 байт менше:
ping -l 753 myhostname.domain
все інше забороняємо
/ip firewall filter add action=drop chain=input
сервіси - якщо не використовуємо, то відмикаємо
/ip service
set api disabled=yes
set api-ssl disabled=yes
web-проксі й socks:
/ip proxy set enabled=no
/ip socks set enabled=no
перевірити:
/ip proxy access print
/ip socks access print
додаємо адмін-користувача з усіма правами, а admin-а видаляємо
radius
/radius print
/radius remove numbers=[/radius find ]
заборона використання радіусу:
/ppp aaa set use-radius=no use-circuit-id-in-nas-port-id=no
вимкнення радіусу для авторизації
/user aaa set use-radius=no
vpn - якщо не використовується, то вимкнемо
/interface l2tp-server server set enabled=no
/interface pptp-server server set enabled=no
/interface sstp-server server set enabled=no
dns-фішінг
/ip dns static
/ip dns static remove numbers=[/ip dns static find]
Packet Sniffer
/tool sniffer stop
/tool sniffer set streaming-enabled=no filter-ip-protocol="" \
filter-port="" filter-interface="" filter-stream=no
Немає коментарів:
Дописати коментар