分享
希望是坚韧的拐杖,忍耐是旅行袋...
在RouterOS里如果要拦截一个基于UDP/TCP 53端口明文的DNS解析域名的请求,可以选择 L7 过滤或 DNS 缓存的 static L7 过滤 DNS 请求 是在防火墙里看 DNS 查询报文内容,发现查询域名命中就直接丢包。 DNS static 是让 RouterOS 自己作为 DNS 服务器,通过A记录,对指定域名解析返回指定结果,比...
iplists.firehol.org 是一个由安全项目 FireHOL 维护的、专注于 IP 信誉情报聚合 的公开网站。它的核心价值在于将全球数百个安全机构、研究团队公开的恶意 IP 列表(黑名单)进行了自动化整合与分析。 核心定位:IP 黑名单的“元数据”与分析平台 这个网站本身 不直接提供一个新的黑名单 ,而是作为一个 聚合器与...
Hairpin发夹式NAT,即国内常说的NAT回程/返程路由(本质是向局域网的src-nat伪装策略),即局域网内的主机通过路由器的公网IP地址通过NAT映射访问到被映射的主机或服务器端口。 这样解决局域网主机请求路由器公网IP地址的端口映射也能访问内网被映射端口,但缺点是,正常的公网请求到被映射主机是可以看到实际的请求IP地址,当使用Hairpin发夹式N
MikroTik官方的制作了一个如何防御暴力破解SSH登录的视频(视频是蛮力,避免和谐) 防火墙规则如下: 一共是6条策略组成,必须按照顺序添加排列 /ip firewall filter add action=add-src-to-address-list address-list=blacklist address-list-timeout=1d cha
提示:从RouterOS 7.5版本开始DNS statice的静态策略支持解析结果添加到地址列表(address-list),7.6加入到winbox配置中,就无需在使用脚本去获取DNS cache的域名和IP对应关系,直接将解析结果加入到指定的address-list中。 如下的配置,将www.github.com解析的IP放入out地址列表 下面的dn
网络要求192.168.10.0/24能访问192.168.90.0/24,但192.168.90.0/24不能访问192.168.10.0/24,这样的设置涉及到TCP/IP的连接状态控制 首先允许已经建立连接和相关连接通过,即connection-state=established,related /ip firewall filter add acti
返程路由问题,对于RouterOS多线接入情况下,遇到的问题最多,而且在不同的环境下,解决方案也有不同,这篇文章探讨遇到问题最多的一种多线端口映射(不涉及PCC负载均衡情况,PCC的情况在配置了input和output策略后,大部分多线映射是可以解决的) 网络结构情况是,默认路由还是在WAN1上,我们需要映射TCP/3389到内网服务器192.168.1.8