Золотой конфиг для малого и среднего офиса

Подписаться 115 тыс.

Просмотров 42 тыс.

50% 1

Золотой конфиг для малого и среднего офиса, Anton Moroz (LLC Real, Russia). Наша компания является ИТ аутсорсером. У нас клиенты из разных областей малого и среднего бизнеса. Со временем мы разработали для себя универсальный конфиг для наших клиентов, который легко разворачивать и использовать инженерам. Хотели бы рассказать чем он отличается от стандартного конфига, какие есть функции автоматизации, и расширенная безопасность, которая подходит практически для любой компании до 100 человек.. PDF: mum.mikrotik.com/presentation....

Наука

Опубликовано:

27 мар 2019

Ссылка:

Скачать:

Готовим ссылку...

Добавить в:

Мой плейлист

Посмотреть позже

Комментарии : 46

@SWS-LINK 3 года назад

Очень полезная презентация. Спасибо, что выложили.

@jayksman 4 года назад

Очень, очень дельно!

@rzstas 4 года назад

Огонь

@user-kk1gl5fm1i 5 лет назад

Топчик!

@ShSh-rc6xn Год назад

Чтобы поднять приоритет RDP трафика, достаточно: промаркировать соединение, по соединению маркировать пакеты, создать правило повышающее приоритет (по маркировке пакета). Нужно ли маркировать весь оставшийся трафик ?

@oz7837 7 месяцев назад

С открытими портами и попытками подбора... Вспомнил анекдот как китайцы ломали сервер пентагона с паролем "Мао Дзедун"

@trnglm-music 3 года назад

input отрезается 5ю правилами... если что инпут это цепочка защиты только роутера.

@earledge 4 года назад

23:58 - в RAW нет цепочки "Forward"

@mcdba41 4 года назад

16:04 а для блокировки UPD трафика разве не надо указывать protocol=udp ?

@drwatson2309 2 года назад

А зачем делать ежедневные бэкапы с Микротика? Обычно достаточно одного бэкапа, до каких-либо изменений конфигурации. И одного бэкапа после изменений в конфигурации. Исходя из практики, очень редко что-то приходится перенастраивать или дополнять правила и т.д. И обычно в эти моменты бэкап и делается.

@romanroman9818 4 года назад

Что удалось выяснить есть два варианта запуска скрипта: первый с ответа Sam Boldner - /system reset-configuration no-defaults=yes run-after-reset=.rsc второй - /import file-name=.... нашел в скрипте некие нерабочие моменты: (проверял на прошивке - 6.45.6 (Stable)) в самом скрипте ошибка - раздел #Configuring backup строка - /tool e-mail send file=\"email_backup.backup\" to=\"\$BackupToEmail\" from=\"\$SMTPUser\" body=\"See attached file\" subject=\"\$[/system identity get name] \$[/system clock get time] \$[/system clock get date] Backup\"; \ должно быть - /tool e-mail send file=\"email_backup.backup\" to=\"$BackupToEmail\" from=\"$SMTPUser\" body=\"See attached file\" subject=\"\$[/system identity get name] \$[/system clock get time] \$[/system clock get date] Backup\"; \ иначе переменные $BackupToEmail и "$SMTPUser не берутся из шапки если в скрипте в шапке в разделе #CAPsMAN #CAPsMAN guest service customize? (1 yes, 0 no) :local CAPsMANGuestNetInstall 1; поставить - 0 - скрипт не запускается для запуска CAPsMAN на роутере где запущен скрипт в правила фаервола нужно добавить строку ;;; RealDefConf: allove CAP from LAN chain=input action=accept src-address-type=local dst-address-type=local log=no log-prefix="" перед ;;; RealDefConf: drop all not coming from LAN chain=input action=drop in-interface-list=!LAN log=no log-prefix="" иначе не зупустится CAPsMAN в Wirelles Спасибо автору, скрипт очень понравился, попробую добавлять в него по мере нахождения что то интересное маленькое добавление для проверки работоспособности интернета #Configuring Netwatch :log info "Start Netwatch configured"; :do { /tool netwatch add down-script="log warning \"internet propal\"" host=8.8.8.8 interval=30s up-script="log warning \"internet zarabotal\"" :log info "Netwatch settings created"; } on-error={:log error "Error Netwatch settings configured"};

@andreytorzhenov6511 5 лет назад

На 49ой минуте говорится, что Микротик не может создавать папки и приводится сложный пример, как это можно обойти. Но ведь можно, используя Winbox перетащить мышкой из Windows заранее созданную папку, также как мы это делаем с файлами. Или я не правильно понял проблему?

@andreiburak9397 5 лет назад

А если нужно из скрипта чтобы папка автоматом создавалась? Смысл скрипта - уменьшить количество ручных операций, чтобы снизить влияние человеческого фактора.

@user-ee2xc8ze8p 5 лет назад

Спасибо!Много интересного услышал. Есть замечание: слайд 24 : src-address-list="!NotTrapsIP" Кавычка не там, нужно: src-address-list=!NotTrapsIP В том же примере не понял как/где установить address-list-timeout=3d Команду как есть микротик не принял

@Welk555 5 лет назад

У Вас прошивка свежая? Синтаксис менялся где-то в районе 6.4 версии. У меня синтаксис address-list-timeout=12h на рабочих конфигах прекрасно загружается.

@user-mo5rg3me1f 5 лет назад

src-address-list="!NotTrapsIP" именно так делает экспорт сам микротик, поэтому и придерживаемся именно такого синтаксиса. address-list-timeout параметр замечательно принимается в правилах файрвола. Возможно как заметили выше у вас старая прошивка

@user-cd6wk1ec9i 5 лет назад

13:54 Выступающий говорит, что отключаем опцию "echo reply" , а в примере на слайде опция 8:0 это "echo request". На слайде правильно, а озвучили не верно.

@kuzdmyu 4 года назад

ну оговорился человек, с каждым бывает

@user-yc2rj3du8f 4 года назад

Тогда лучше вообще дроп олл, чтобы не светиться)

@starikoff72 3 года назад

BOGON лучше блэкхолить в роутинге, а не резать файрволлом.

@user-sc9du5by2s 5 лет назад

О каком установщике для винды на 37 минуте идет речь?

@user-mo5rg3me1f 5 лет назад

CMAK

@romanroman9818 4 года назад

Если есть возможность опишите как запустить этот скрипт

@YummyRed 4 года назад

Положить файл на роутер, сбросить конфигурацию с параметром запуска этого скрипта: /system reset-configuration no-defaults=yes run-after-reset=.rsc

@GiorgiZurashvili 3 года назад

23 слайд не принимает код выдает ошибку версия прошивки последняя 6.47.1, ошибка ( syntax error (line 1 column 140) ) можете подсказать что не так код в в вожу через терминал

@AtmelMk51 3 года назад

23:13 Мы блокируем входящие новые соединения, а не установленные. Значит chain=input connection-state=new

@alexanderkozlikhin 2 года назад

Вот нафига лектор в очередной раз рассказал, что надо делать маскарад в srcnat, имея при этом статический внешний адрес, который он предлагает даже добавить в addres-list? А зачем запрещать echo reply ICMP в цепочке INPUT? Чтобы пинги с роутера уходили, но нам ответить не могли?

@some1killme 4 года назад

не проще на input разрешить доступ только с нужных адресов, чем отлавливать ушлых, сохранять их ip и потом проверять список?

@user-js1ny7lf6y 4 года назад

Тоже об этом подумал...

@user-gu1vo9hm9x 3 года назад

Не всегда это возможно.

@user-mo5rg3me1f 3 года назад

Ну а как вы эти адреса известные соберете? Например человек с VPN катает по стране и подключается из гостиниц. Даже не у всех сотрудников дома есть статический IP, я бы даже сказал почти ни у кого. Доступ с мобильного интернета, там вообще статический IP большая редкость. Так что если это не узкоспециализированный сверх закрытый сервис, то это не реально.

@some1killme 3 года назад

@@user-mo5rg3me1f можно поомежуточный сервер в облаке на статике

@user-yc2rj3du8f 4 года назад

А если некоторые любознательные просканировали ваш роутер из-за ната, то вы залочите и всех остальных хороших людей с того же ип. А нат сейчас много где.

@user-gu1vo9hm9x 3 года назад

Именно так. Проблемы негров шерифа не волнуют. Это ж не публичный ресурс. Но если в вашем случае это недопустимо - не используйте этот метод.