Спасибо за подобную серию роликов. С ними стало намного проще находить нужную информацию по сравнению с длинными роликами.

За улыбку в конце роликов, когда понимаешь что ролик коротки, лайкос. Ну требуем продолжения банкета!

как обычно - классный контент

Вам спасибо

Новый формат просто Огонь!

Спасибо

Инфа бомба!

Спасибо, полезно. А что лучше применять в качестве действия - Drop или другие методы? Планируется туториал на эту тему?

🥰

Трэшхолд - это сильно :)

Здравствуйте! Пишу практически от безнадеги. Возможно ли то, что я хотел сделать? Постараюсь кратко. Есть плоская сеть. Два сегмента удалены друг от друга. Связаны оптикой, с двух сторон стоят CRS317. Также на сети есть антенны, которые воткнуты НЕ в 317е микротики, в в другие свитчи, по одной антенне на участке, итого две. Как было раньше - упала оптика, отключаем оптический порт в том сегменте, что имеет доступ к антеннам и включаем лан-порт на антенне другого сегмента. Руками. И вот.. задумал я значит сделать все автоматом. Через антенны и свитчи протянул vlan между 317ми микротиками. Этакий виртуальный провод чтобы вышел. И затем сделал бондинг Active Backup, в котором слейвами указаны оптические порты и этот влан на каждой стороне. Добавил бондинг в бриджи с обеих сторон. В бридж-влан указал его в нужных вланах, чтобы управление ходило... В итоге.. что странно.. оно заработало, вот только не так, как нужно. В протянутом через свитчи и радио влане каждый 317й имеет адрес. Запускаю между ними пинги... Идут по оптике.. Гашу оптику - идут по влану. Латентность повышается, интерфейс переключается... Все хорошо, все отлично. Работает с виду бондинг. Вот только немаркированный трафик идет обходом, не по оптике, а через резервный канал. Не могу понять что я упустил... может HW Offload выключать на некоторых портах.. может делать вланы не бриджами, а как в старые времена. Бондинг-интерфейс все равно не работает с HW Offload.. в общем прямо шайтан-бондинг получился. Который нормально и выключить то сейчас проблема. Или петли, или связь теряется. Управление тоже пошло через него. Может у вас выйдет показать как сделать бондинг-бэкап физического интерфейса с вланом? Может быть прочтете.. и просветите по этому вопросу. Спасибо!

Спасибо. Реализовал у себя и PSD и HoneyPot. Хотелось бы еще добавить: в практическом плане удобно преобразовывать отловленные адреса в подсети хотя бы /24 и банить подсетями. Тогда количество записей в адрес-листах как правило растет медленнее. Раз в минуту выполняю скрипт анализа адрес листа "ddoser", куда отправляются src-address от "злоумышленника". Отрабатывает очень быстро: { :local a; :local n; :foreach i in=[/ip firewall address-list find list="ddoser"] do={ :set a [/ip firewall address-list get $i address]; :if ([:find $a "/24" 0]) do={ } else { :set n ([:pick $a 0 ([:find $a "." ([:find $a "." ([:find $a "." 0] + 1)] + 1)] + 1)]."0/24"); [/ip firewall address-list set $i address=$n]; } } }

И еще один момент. Некоторые секунд 20-30 долбятся в один порт, через паузу также в другой. И перебирают большие номера портов. Так что с учетом коэффициента 1 на 21 порт уйдет не меньше 10 минут. И установленные по умолчанию 3 сек. не вычислят таких сканеров.

Правила PSD нужно ставить сразу после запрещающих правил? Т.е., каким в списке правил оно должно идти? Например, у меня идут сначала правила drop-ов DNS Flood, проверки сканирования SSH-портов и только затем всякие разрешающие правила. Правила PSD нужно ставить сразу после окончания запрещающих правил и перед первым разрешающими?

Спасибо за данный материал, а есть ли способы определения кто сканирует локальную сеть изнутри?

давно ваших лекций не было

А если метод сканирования TCP SYN Scan да и сканят сразу на конкретный порт например на 3389

В вашем видео в 4:57 какое проникновение произошло, что за девушка прошла? Очень интересно. Дайте пожалуйста её контакт.))

Эх, когда же роутерось научится добавлять в адрес листы в6 сразу префиксами

"Правила PSD нужно использовать с большой осторожностью. Советуем Вам в список адресов источников для исключения добавить, как минимум, ip-адреса системного администратора, других площадок, ip-адреса шлюза вашего провайдера, DNS серверов и так далее" - а каким образом сделать такое исключение? Нужно создать отдельное правило?

Когда нормальный ролих про dot1x в AD?

У меня почему-то PSD совсем не редактируется. Просто список выпадает и все. Так и должно быть?

К сожалению, эта штука видит не все сканирования. В частности, у меня зарегистрировала за пару часов 11 из 24-х внешних сканирований.

Баловство всё это. Так в лобовую сканируют только китайцы и один всем известный Интернет-провайдер. Остальные "злыдни" давно хитро-попят, и на PSD их не купишь, а вот проц перегрузить - это запросто.

Wi Fi клиент создает 1000 запросов на аутентификацию менее чем за минуту на радиус сервер. MAC меняется. Хочется автоматически банить таких клиентов. Возможно это через PSD реализовать?

Port security когда завезут, а то как то несерьезно.

погонял в 4 филиалах - за 7 дней тысячи по три IP в бан лист влетело - смысла нет юзать - они меня перспамят -)

А не лучше засунуть это правило в прероутинг(Raw) для оптимизации нагрузки?!

я так понимаю и тут РФ под санкциями?

😂яб сказал нафиг микротик нам смертным он нафиг не нужэн завтро откажусь.мне порты открыть надо если нельзя прога гавно