تنظیم یک Mac Address جهت ورود به Winbox در میکروتیک ؟

درود

با سپاس از دوستان گرامی.

به نظرتون چی کار کنم بهترین راه چیه؟

امنیت دسترسی به میکروتیک بالاتر ببرم.

سلام. همونطور که جناب شمس گفتن این روش با لایه سوم کار میکنه و اگر بخوایم دقیقا از لایه دو برای فیلتر کردن استفاده کنیم باتوجه به ماهیت لایه دو این کار ممکن نیست

برای بالابردن امنیت دسترسی

- پورت های پیشفرض winbox ، ssh ، telnet و http رو به پورت های دلخواه خودتون تغییر بدید

- در فایروال رولی تعریف کنید که غیر از ip شما (یا مک آدرس همونطور که در بالا گفته شد) کسی نتونه به میکروتیک دسترسی داشته باشه. توجه کنید که ip شما استاتیک باشه تا در دسترسی های آتی دچار مشکل نشید.

- چنانچه فقط از شبکه private خودتون میخواید به میکروتیک وصل بشید تمامی بسته های ورودی به میکروتیک رو که از سمت wan میاد دراپ کنید( اگر از پورت فورواردینگ استفاده میکنین این مورد رو در نظر داشته باشین تا دسترسی ها قطع نشه)

- معمولا هکرها برای شناسایی پورت های باز از پورت اسکنر ها استفاده میکنن، میتونید با تنظیم چند رول این نوع اسکن ها رو شناسایی و ip مبداش رو بلاک کنید

- همیشه از اخرین نسخه winbox و RouterOS استفاده کنید.

- اسکریپت هایی بنویسید که در صورت هر گونه دسترسی برای شما ایمیل بفرسته یا با استفاده از تلگرام براتون پیام بفرسته

در قسمت IP-Firewall یک رول برای فایروال تنظیم کنید

chain رو روی input بذارید

اگر میخواهید دسترسی مثلا وینباکس ر محدود کنید قسمت protocol گزینه tcp و در قسمت dst port پورت وینباکس را وارد کنید

در تب advance در قسمت Src. MAC address مک آدرس دیوایسی که میخواهید دسترسی داشته باشد را وارد کنید و تیک مقابل آن را بزنید(مربع کوچک)

در تب action در لیست action گزینه reject را انتخاب کنید و در نهایت ok را بزنید

این رول همه درخواست هایی که از پورت مورد نظر وارد شده به روتر میاد رو بلاک میکنه . تنها دیوایسی که مک آدرس اون رو وارد کردید از این رول تبعیت نمیکنه

اگر میخواهید پورت های ssh و telnet و http رو هم ببندید برای هرکدوم رول جداگانه تعریف کرده و در قسمت شماره پورت، پورت متناظر با هرکدوم رو وارد کنید

شماره پورت های مورد نظر رو میتونید در قسمت IP-Services پیدا کنید

سپاسگذارم مهندس.

ببخشید این کار PSD متوجه نشدم . میشه کوتاه و مفید درباره اش توضیح بدین برای چی هستش و کاربردش چیه ؟

بطور کلی این رول تمامی درخواست های ورودی به روتر رو که آدرس مبداشون توی لیست باشه رو دراپ میکنه

آدرسی توی لیست میره که بطور متوالی اقدام به اسکن کردن پورت های روتر کنه

ابتدا از قسمت ip-firewall یک رول از زنجیره input میسازیم

سپس از تب Extra گزینه PSD را فعال میکنیم

در قسمت Action گزینه add src. to address list را انتخاب می کنیم

نامی برای لیست انتخاب می کنیم که در اینجا نام blacklist رو انتخاب کردیم

برای باقی ماندن این ip در لیست TTL تعریف میکنیم که در اینجا 2روز انتخاب شده و در نهایت Ok می کنیم

مجددا رولی از زنجیره input میسازیم

در تب advance در قسمت Src. address list نام لیست ساخته شده که blacklist بود رو انتخاب میکنیم

در تب action گزینه Drop را انتخاب و ok را می زنیم

راه اصولی برای اینکار وجود ندارد.

فقط از قسمت mac server میتوانید مشخص کنید از یک اینترفیس قابل اتصال باشد.

درود

سپاسگذارم دوست گرامی.

لطف می کنید به صورت تصویر، بنده راهنمایی کنید برای شناسایی پورت اسکنرها .

بتونم رولی تعریف کنم تو میکروتیک که IP مبدا کسانی که اقدام به پورت اسکن می کنند شناسایی و بلاکشون کنم.

منظورم همون این خطی هستش که شما بهش اشاره کردین :

" معمولا هکرها برای شناسایی پورت های باز از پورت اسکنر ها استفاده میکنن، میتونید با تنظیم چند رول این نوع اسکن ها رو شناسایی و ip مبداش رو بلاک کنید "

با سپاس از شما.