[研究所] MikroTik RouterOS 學習 (持續更新)

153分

8201樓

個人積分：153分

文章編號：86813434

請教各位高手達人們:

本人的環境有使用Hotspot,目前想過濾某些特定IP 用戶,"只可INTERNER ,拒絕內網"該如何設定??

PS:Hotspot 是逶過其他外部主機做WEB +LDAP認證後回寫上傳hotspot-IP Bindings,這些特定的用戶都有在Comment中加注RE_XXXXX流水號

gfx

1603分

8202樓

gfx

個人積分：1603分

文章編號：86814229

Allenengo wrote:
請教各位高手達人們:...(恕刪)

Allenengo

大大您好:我有試用...但還是無法個別禁用"內網".....,目前內外網均可通

2023-02-06 16:43

gfx

1603分

8203樓

gfx

個人積分：1603分

文章編號：86815761

gfx wrote:
(恕刪)

假設您有兩個內網網段，
一個內網是透過dhcp-server網路，網段是192.168.88.0/24
另一個內網是透過hotspot網路，網段是192.168.89.0/24

如果是您用的是hotspot(192.168.89.0/24)網路，想封鎖192.168.88.0/24那依上面的設定即可；
但如果是hotspot用戶，想要禁連繫同為192.168.89.0/24的hotspot可能會沒辦法...

原因是要透過router禁連線，最基本的要讓連線經過router；
但同區網傳輸時，是不經過router的...不經過router您在上面做一堆防堵也是白搭

所以重要的server，您一定要避用hotspot網路，
這樣hotspot用戶想用存取server時才會經過router，router上的防護才會啟作用。

若遇惡意用戶端想掃描區網，server也能避開掃瞄全身而退。

RickyHsu77

1441分

8204樓

RickyHsu77

個人積分：1441分

文章編號：86829720

請教一下gfx大大。

之前有請教過因為pppoe斷線後就斷在那不會重新連線，您有協助用這條加在schedule中每一段時間可以測試pppoe是否仍正常連絡，透過ping 169.95.192.1(因為中華電信，ping 他家的DNS最準，且預設為Router DNS)，若連續ping 10次都不通基本上是斷線的狀況，自動重啟pppoe連線，看來是正常運作，但我發現一個問題，幾天會有一次一直連線，而且有時一直重連2-30分鐘後才停止，看來應該是這個schedule觸發的，因為重連的期間內固定在我預設測試的時間會重連網路且是admin啟動的。

因為使用中華電信，所以DNS設定168.95.192.1，建議改設成google DNS還是怎麼改這個script，可以麻煩幫忙嗎？因為router的指令我真的不太懂，架構概念則較沒問題，感謝～～

:if ([:ping 168.95.192.1 interface=pppoe-out1 count=10]=0) do={/interface enable pppoe-out1}

gfx

1603分

8205樓

gfx

個人積分：1603分

文章編號：86830592

RickyHsu77 wrote:
請教一下gfx大大。...(恕刪)

一般路由表pppoe-out1設定是這樣子：
點我看大圖

但請修改成這樣：

這樣路由表就會定時透過pppoe-out1去ping 168.95.98.254囉。

之前我知道將check gateway設ping，路由表會ping gateway檢查連線是否斷開。
但過去我設pppoe-out1，check gateway卻沒反應，所以才用腳本的方式；
如今知道需明確給gateway ip，chkeck gateway才會工作，
這樣透過腳本ping意義就不大了

您的網路若可以請多設個幾個pppoe-out，
其他的pppoe-out路由表設定也和上面的pppoe-out1雷同(重要)，差別只在pppoe名稱。
當您設定完pppoe-out2就會發現，同張圖右下會亮"ECMP"的字。
除了pppoe-out2外，pppoe-out1也會有，更多的pppoe-out也都會有。

pppoe-out上的ECMP即告知您的公網啟用備援，及負載平衡。
有更多的pppoe啟用就能做更多的備援支援，這對您時常pppoe-out無故斷網，會很有幫助。

yuusuke

但是這樣突然pppoe被hinet換gateway不就斷了

2023-02-12 10:22

RickyHsu77

1441分

8206樓

RickyHsu77

個人積分：1441分

文章編號：86835837

gfx wrote:
一般路由表pppoe...(恕刪)

感謝協助.
所以Route設定成這樣的話,在ping不到gateway(168.95.192.1)時會自動重啟PPPoE是嗎?
主要因PPPoE綁DDNS,所以若這條路不通的話,家中的service會無法從外部連回來,問題不大,就怕斷線或當掉很久我在外面會連不回來.
目前線路備援部份我還可以走社區網路,所以線路不會不通,只怕DDNS沒起來而己,所以暫時是不用多個PPPoE啦~

3239

27分

8207樓

3239

個人積分：27分

文章編號：86837609

請問有人嘗試過用MikroTik RouterOS 擋 sql injection之類的攻擊嗎?
如果開L7字串過濾然後加入黑名單ban ip會有效果嗎? 這個應該會有中都ban容易誤擋
還是有沒有甚麼方法可以動態檢測修改過濾字串來加入黑名單ban ip?
比如嘗試幾次錯誤連接方式就ban?

yuusuke

85分

8208樓

yuusuke

個人積分：85分

文章編號：86851583

最近開始嘗試光世代pppoe單線多撥給區網，
為了保留fasttrack的功能(等於也不能使用mangle-routing-mark)，
所以嘗試使用policy routing rule來指定特定lan ip走固定ip(routeros v7.6)，
主線浮動ip@main distance=1，
副線固定ip@main distance=2，
也自訂了一個table給指定主機，
然後......確實是各走各的路由出去，從外面也可以正常連線，
但是副線固定ip那一組卻無法nat loopback，
也就是網頁主機沒辦法從網頁主機上打網址(或wan ip)連上自己網頁，
是不是我有甚麼地方邏輯錯了卡關求解？

kuda0313

2分

8209樓

kuda0313

個人積分：2分

文章編號：86864756

yuusuke wrote:
最近開始嘗試光世代pppoe...(恕刪)

跟我目前的設定一樣，也是動態distance設1固定distance2，動態用pool.88區段，固定手動.1區段，查閱很多方式都無法NAT Loopback，所以目前都只能改host解決，但如果固定distance設1的就沒這問題，也是研究很久找不出問題，只能先擺著...希望有高手能幫解惑

gfx

與distance無關，是因為policy routing您做的不夠好，沒將本地區網內連接設為例外。

2023-02-15 1:02

gfx

1603分

8210樓

gfx

個人積分：1603分

文章編號：86869732

yuusuke wrote:
最近開始嘗試光世代pppoe...(恕刪)

mangle-routing-mark一樣可以做fasttrack啊，
搭policy routing rule再做一次就好了。

副線固定ip那一組卻無法nat loopback

新增address-list:RFC1918：

/ip firewall mangle
add action=accept chain=prerouting comment=local dst-address-list=RFC1918 src-address-list=RFC1918
add action=accept chain=prerouting dst-address-type=local src-address-list=RFC1918

將script貼到命令窗進行匯入，匯入後拉到mangle最上方進行置頂。

policy routing rule，RFC1918也是需要並置頂：

natloopback會失敗，原因即policy routing沒將目的端為本地的設為例外，送至網際網路了。

gfx

https://www.mobile01.com/topicdetail.php?f=110&t=3205444&p=822#86883965

2023-02-16 22:37

yuusuke

收到，感謝細節講解!!

2023-02-16 22:55

[研究所] MikroTik RouterOS 學習 (持續更新)

小惡魔新聞台

小惡魔廣編特輯

[研究所] MikroTik RouterOS 學習 (持續更新)

小惡魔新聞台

小惡魔廣編特輯

今日熱門文章 網友點擊推薦！

今日熱門文章　網友點擊推薦！