Universal Plug And Play (UPnP): что это и где используется?

Раньше это была огромная боль, чтобы настроить что-то вроде принтера. Теперь, благодаря UPnP, как только ваш Wi-Fi-принтер включен, ваш ноутбук, планшет и смартфон могут его увидеть. Universal Plug and Play — это набор протоколов и связанных с ними технологий, которые позволяют устройствам автоматически обнаруживать друг друга.

Universal Plug and Play — не путать с Plug and Play (PnP) — считается расширением Plug and Play. Когда все работает правильно, оно автоматизирует все сложные шаги, необходимые для взаимодействия устройств друг с другом, будь то напрямую (одноранговый) или по сети.

Если вы хотите узнать немного больше деталей, читайте дальше. Но будьте осторожны, это немного круче.

Universal Plug and Play использует стандартные сетевые / интернет-протоколы (например, TCP / IP, HTTP, DHCP) для поддержки нулевой конфигурации (иногда называемой «невидимой»). Это означает, что когда устройство соединяется или создает сеть, Universal Plug and Play автоматически:

  • Назначает IP-адрес устройству и объявляет имя / присутствие устройства в сети.

  • Описывает возможности / службы устройства (например, принтер, сканер) и доступность сети.

  • Предоставляет имена и возможности всех других устройств, находящихся в настоящее время в сети.

  • Устанавливает контрольные точки, чтобы можно было запрашивать действия служб (например, запуск / отмена задания на печать).

  • Обновляет состояние служб устройства (если выполняется).

  • Предоставляет пользовательский интерфейс на основе HTML для управления и / или просмотра состояния устройства.

Универсальная технология Plug and Play позволяет подключать различные проводные (например, Ethernet, Firewire ) или беспроводные (например, WiFi, Bluetooth) соединения, не требуя дополнительных / специальных драйверов. Не только это, но и использование общих сетевых протоколов позволяет любому UPnP-совместимому устройству участвовать независимо от операционной системы (например, Windows, macOS, Android, iOS), языка программирования, типа продукта (например, ПК / ноутбук, мобильное устройство, смарт устройства, аудио / видео-развлечения) или производителя.

Universal Plug and Play также имеет расширение аудио / видео (UPnP AV), которое обычно используется в современных медиа-серверах / проигрывателях, интеллектуальных телевизорах, проигрывателях CD / DVD / Blu-ray, компьютерах / ноутбуках, смартфонах и планшетах и ​​т. Д. Подобно стандарту DLNA , UPnP AV поддерживает широкий спектр цифровых аудио / видео форматов и предназначен для облегчения потоковой передачи контента между устройствами. UPnP AV обычно не требует включения универсального параметра Plug and Play на маршрутизаторах.

Универсальные сценарии Plug and Play

Одним из распространенных сценариев является сетевой принтер. Без Universal Plug and Play пользователю сначала нужно будет пройти процесс подключения и установки принтера на компьютер. Затем пользователю придется вручную настроить этот принтер, чтобы сделать его доступным / общим в локальной сети. Наконец, пользователю придется переходить на другой компьютер в сети и подключаться к этому принтеру, так что принтер может быть распознан в сети каждым из этих компьютеров — это может быть очень трудоемкий процесс, особенно если неожиданно возникают проблемы.

Благодаря Universal Plug and Play установление связи между принтерами и другими сетевыми устройствами является простым и удобным. Все, что вам нужно сделать, — подключить принтер, совместимый с UPnP, в открытый Ethernet-порт маршрутизатора, а Universal Plug and Play позаботится обо всем остальном. Другие общие сценарии UPnP:

  • Совместное использование фотографий и потоковой передачи музыки / фильмов на медиа-сервере.

  • Потоковое видео с использованием интернет-ТВ-устройств.

  • Беспроводная домашняя автоматизация (например, Internet of Things ).

  • Удаленное домашнее наблюдение.

Ожидается, что производители будут продолжать создавать потребительские устройства, предназначенные для использования Universal Plug and Play для поддержки функций. Тенденция неуклонно расширилась, чтобы охватить популярные популярные домашние продукты:

  • Цифровые ассистенты (например, Amazon Echo).

  • Интеллектуальные системы освещения.

  • Термостаты, управляемые через Интернет.

  • Умные замки для дверей.

Риски безопасности UPnP

Несмотря на все преимущества, предлагаемые Universal Plug and Play, технология по-прежнему несет определенные риски для безопасности. Проблема в том, что Universal Plug and Play не аутентифицируется, предполагая, что все, подключенное к сети, является надежным и дружественным. Это означает, что если компьютер был взломан вредоносным ПО или хакер, использующий ошибки / дыры безопасности — по сути, бэкдоры, которые могут обойти защитные сетевые брандмауэры — все остальное в сети сразу же восприимчиво.

Тем не менее, эта проблема имеет меньше общего с Universal Plug and Play (подумайте об этом как о инструменте), а также о плохой реализации (т. Е. О неправильном использовании инструмента). Многие маршрутизаторы (особенно модели старшего поколения) уязвимы, не имеют надлежащей безопасности и проверок, чтобы определить, являются ли запросы, сделанные программным обеспечением / программами или услугами, хорошими или плохими.

Если ваш маршрутизатор поддерживает Universal Plug and Play, в настройках будет указан параметр (следуйте инструкциям, приведенным в руководстве по продукту), чтобы отключить функцию. Хотя потребуется некоторое время и усилия, можно повторно включить совместное использование / потоковое управление / управление устройствами в одной сети с помощью ручной настройки (иногда выполняемой программным обеспечением продукта) и переадресации портов.

https://www.youtube.com/watch?v=O0VbDvic2JU



2018-11-02T13:45:56
Вопросы читателей

Как настроить переадресацию портов?

Вы слышали о «переадресации портов» в качестве способа улучшить скорость загрузки и игры, но что такое перенаправление портов?

Переадресация портов — это перенаправление компьютерных сигналов для отслеживания определенных электронных путей на вашем компьютере. Если компьютерный сигнал может быстрее проникнуть в ваш компьютер на несколько миллисекунд, это будет означать резкое увеличение скорости для вашей игры или вашей загрузки.

65 536 путей на выбор: этот тонкий сетевой кабель (или беспроводной сетевой адаптер) на задней панели вашего компьютера содержит 65 536 микроскопических путей внутри него. Ваш сетевой кабель совпадает с основным шоссе, за исключением того, что ваш сетевой кабель имеет 65 536 полос, и на каждой полосе имеется tollboth. Мы называем каждую полосу «портом».

Ваш интернет-сигнал состоит из миллионов маленьких автомобилей, которые путешествуют на этих 65 536 дорожках. Мы называем эти маленькие автомобили «передающими пакетами». Пакеты передачи компьютера могут путешествовать очень быстро (до тысячи километров в секунду), но они соблюдают набор правил остановки, и они должны останавливаться на каждом крупном сетевом перекрестке, как если бы это было пересечение границы между страны. На каждом пересечении пакет должен выполнять три функции:

  1. Найдите открытый порт,

  2. Пройдите тест идентификации, который позволит ему через этот порт, а если нет,

  3. Перейдите к следующему порту и повторите попытку, пока не будет разрешено проходить через плату.

В некоторых случаях пакеты, отправленные хакерами, будут улавливаться и удерживаться на пересечении, где они затем будут растворены в случайных электронах. Когда это происходит, это называется «фильтрация пакетов» или «пакетный снайпер».

Какие порты компьютерные пакеты любят использовать?

Каждое программное обеспечение на вашем компьютере обычно запрограммировано на отправку своих пакетов через определенный порт. Эти варианты портов часто устанавливаются как стандарты программирования в компьютерной индустрии. Соответственно, вашему маршрутизатору должно быть предложено разрешить пакеты через эти порты, чтобы вы не замедляли скорость, с которой они переходят на ваш компьютер:

  • HTML-страницы: порт 80

  • Передача файлов FTP: порт 21

  • World of Warcraft: порт 3724

  • Электронная почта POP3: порт 110

  • MSN Messenger : порт 6901 и порты 6891-6900

  • Everquest: порт 1024

  • Бит Торренты: порт 6881

Итак, что делает «переадресация портов»?

Переадресация портов — это когда вы указываете своему сетевому маршрутизатору проактивно идентифицировать и перенаправлять каждый пакет на определенные электронные полосы. Вместо того, чтобы каждый пакет останавливался на каждом порту по очереди, пока не найдет открытый порт, маршрутизатор может быть запрограммирован для ускорения процесса путем идентификации и перенаправления пакетов без остановки на каждом порту. Затем ваш маршрутизатор действует как тип сверхбыстрого полицейского трафика, который направляет трафик перед телефонными звонками.

Хотя эта электронная идентификация и переадресация занимает всего миллисекунды, время, связанное с этим, быстро увеличивается, так как миллионы электронных пакетов входят и выходят из вашего интернет-компьютера. Если вы правильно запрограммируете переадресацию своего порта, вы можете ускорить работу через несколько секунд. В случае загрузки больших файлов, таких как обмен файлами P2P , вы можете сэкономить часы загрузки, программируя свой порт вперед. Песня, которая использовалась для загрузки через 3 часа, теперь может закончиться менее чем за 10 минут, если ваши переходы вперед установлены правильно.

Как я могу узнать, как программировать команды перенаправления портов моего маршрутизатора?

Хотя программирование переадресации портов может быть несколько пугающим, в Интернете есть учебные пособия, которые, безусловно, могут помочь новичкам. Самая распространенная причина для программирования переадресации портов — это повысить скорость загрузки BitTorrent, а затем улучшить производительность компьютерных игр и потоковых медиа. К этим целям есть великолепный ресурс для людей на www.portforward.com. Чтобы ускорить работу вашего конкретного клиента, игры или программного обеспечения, выполните следующие действия: найдите точное имя вашего маршрутизатора и вашего программного обеспечения, а затем перейдите на эту страницу для визуального руководства о том, как ваш маршрутизатор выполняет команды переадресации портов.

https://www.youtube.com/watch?v=2t-JUSj-HQ4



2018-11-02T10:56:16
Вопросы читателей

Опрос snmp. OID и MIB для Huawei OLT и ONU

Пример команды проверки MIB и OID из Linux:




1

snmpwalk -v 2c -c public 192.168.1.10 1.3.6.1.2.1.2.2.1.2

Собственно список с описанием OID:

Оптическая мощность ONU:




1

1.3.6.1.4.1.2011.6.128.1.1.2.51.1.4

Температура плат:




1

hwMusaBoardTemperature 1.3.6.1.4.1.2011.2.6.7.1.1.2.1.10

Температура слотов:




1

hwSlotTemprature 1.3.6.1.4.1.2011.6.3.3.2.1.13

Загрузка процессоров плат:




1

hwMusaBoardCpuRate 1.3.6.1.4.1.2011.2.6.7.1.1.2.1.5

Питание:




1

hwMusaFramePower  1.3.6.1.4.1.2011.2.6.7.1.1.1.1.11

Таблица слотов:




1

hwSlotTable 1.3.6.1.4.1.2011.6.3.3.2

Статус линка GPON портов (Online — 1, Offline — 2):




1

hwGponDeviceOltControlStatus 1.3.6.1.4.1.2011.6.128.1.1.2.21.1.10

Статус vlan (up/down):




1

hwVlanInterfaceAdminStatus 1.3.6.1.4.1.2011.5.6.1.2.1.5

Статус ONU (Online — 1, Offline — 2):




1

hwGponDeviceOntEthernetOnlineState 1.3.6.1.4.1.2011.6.128.1.1.2.62.1.22

Температура оптики ONU:




1

hwGponOntOpticalDdmTemperature 1.3.6.1.4.1.2011.6.128.1.1.2.51.1.1

Количество mac адресов подключенных к ONU:




1

hwGponDeviceOntControlMacCount 1.3.6.1.4.1.2011.6.128.1.1.2.46.1.21

Расстояние к ONU:




1

hwGponDeviceOntControlRanging 1.3.6.1.4.1.2011.6.128.1.1.2.46.1.20

Uptime OLT:




1

sysUpTime 1.3.6.1.2.1.1.3

Общее количество SNMP пакетов к OLT:




1

2

snmpInPkts 1.3.6.1.2.1.11.1

snmpOutPkts 1.3.6.1.2.1.11.2

Еще несколько OID:




1

2

3

4

5

6

7

8

9

10

hwMaxMacLearn 1.3.6.1.4.1.2011.5.14.1.4.1.6

hwMacExpire 1.3.6.1.4.1.2011.5.14.1.3

hwOpticsMDWaveLength 1.3.6.1.4.1.2011.5.14.6.1.1.15

hwOpticsMDVendorName 1.3.6.1.4.1.2011.5.14.6.1.1.11

hwRingCheckAdminStatus 1.3.6.1.4.1.2011.5.21.1.7

hwVlanInterfaceID 1.3.6.1.4.1.2011.5.6.1.2.1.1

hwVlanInterfaceTable 1.3.6.1.4.1.2011.5.6.1.2

hwVlanName 1.3.6.1.4.1.2011.5.6.1.1.1.2

icmpInEchos 1.3.6.1.2.1.5.8

ipAddrEntry 1.3.6.1.2.1.4.20.1



2018-11-02T10:04:37
Huawei

Обзор маршрутизатора TP-LINK Archer C59

Прогресс — это локомотив развития человечества. Совсем недавно, для того чтобы передать некую мысль на расстояние, люди пользовались почтой. Теперь же достаточно набрать несколько команд на клавиатуре или запустить специальную программу, и можно общаться с человеком на другой стороне планеты или даже в космосе. Всё это обеспечивают беспроводные технологии. Причём они внедряются даже внутри дома — это ваши маршрутизаторы и роутеры. TP-LINK Archer C59 является ярким представителем технологии скоростной и беспроводной передачи данных на небольшие расстояния.

Читать

Как остановить спам регистрации WordPress на Вашем сайте?

Интернет в настоящее время играет важную роль в каждом секторе, будь то социальная, профессиональная или любая другая цель. Но это может быть довольно опасно и хлопотно. Из-за растущей популярности CMS WordPress, она стала электронная мишень ASY для спамов. Спам — это, в основном, незапрошенные коммерческие сообщения. Они содержат много похожих сообщений и комментариев о нерелевантном содержании и могут быть весьма неприятными для решения. Однако это не единственная проблема! Спам может привести к нежелательным стычкам, а иногда и довольно опасным ситуациям, когда вы выдаете свою личную информацию.

Но как работает спам или спам? Спамеры создают много спам-ботов. Это система, которая может создавать тысячи спамов одновременно. Основная цель спама — получить дешевое продвижение дочерней компании или организации. Этот спам весьма полезен для получения некоторых доходов. Они также могут деформировать системы конкурентной организации за счет заражения вредоносными программами и вирусами. Некоторый спам также создаются разработчиками антиспама, чтобы получить установку для их антиспамового программного обеспечения.

Спам может появляться через источники, такие как регистрация электронной почты, сообщения электронной почты, комментарии к веб-сайту и многое другое в WordPress. Среди них самый утомительный спам, с которым приходится иметь дело — это спам-регистрация WordPress. С помощью спам-ботов тысячи регистрации могут выполняться с поддельными адресами электронной почты. Очень сложно пройти один за другим и выбрать регистрацию, которая является спамом. Итак, в этой статье мы покажем вам, как остановить спам регистрации WordPress на вашем веб-сайте WordPress. Но сначала давайте рассмотрим, как они могут повлиять на наш сайт.

Почему должен быть остановлен регистрационный спам в WordPress?

  • Они занимают много места:  много спама регистрации WordPress могут появляться сразу на вашем сайте. Спам также занимает большое место на ваших устройствах и серверах. Несмотря на то, что спам регистрации WordPress имеет очень маленький размер, они могут занять много нежелательного пространства, когда их много. Если вы прекратите спам и немедленно их удалите, вы можете использовать хранилище с пользой.

  •  Конкурентные рынки. Спам также может нарушить работу вашего веб-сайта или даже устройств с помощью вредоносных программ. Это может привести к прекращению работы веб-сайта, если надлежащие резервные копии не будут выполнены. Отправка спама регистрации WordPress со вредоносным ПО в основном осуществляется конкурентными агентствами для удобства бизнеса.

  • Автоматическая передача спама зарегистрированным пользователям:  с помощью вредоносного ПО спам также может быть автоматически перенаправлен зарегистрированным пользователям на вашем веб-сайте. Это может случиться, когда вы случайно нажмете на спам. Это может быть плохое воздействие на пользователя на вашем сайте.

  • Медленная производительность веб-сайта:  спам, как правило, использует много ресурсов вашего сервера и делает ваш сайт очень медленным и непригодным для использования. В конечном итоге вы также потеряете большую пропускную способность и снизите скорость и производительность вашего веб-сайта.

  • Другие угрозы безопасности:  вредоносное ПО в спамах также может изменять учетные данные редакторов, авторов или даже администраторов веб-сайта. В роли пользователей также может быть изменена с помощью этих сигнатур, которые могут привести ваш сайт к взлому.

Как заблокировать спам регистрации WordPress?

Теперь, когда вы знаете, насколько вреден и невыгоден спам, мы теперь перейдем к процессу предотвращения или прекращения процесса рассылки спама на вашем сайте WordPress! Самый эффективный способ сделать это — использовать плагин регистрации, который имеет возможности остановить его.

Для этой демонстрации мы можем порекомендовать плагин User Registration, разработанную WPEverest. Это бесплатный плагин, который имеет все основные функции, чтобы остановить спам от регистрации на вашем сайте. Есть четыре способа, с помощью которых вы можете остановить спам регистрации WordPress с помощью этого плагина. Но перед этим все, что вам нужно сделать, это установить плагин и следовать методам, указанным ниже:

1. Подтверждение электронной почты:

Один из лучших способов заблокировать спам регистрации WordPress — использовать одобрение с подтверждением электронной почты. Когда новый пользователь зарегистрирован на вашем сайте, вы можете отправить ссылку подтверждения на адрес электронной почты пользователя. Это будет гарантировать, является ли поддельным адресом электронной почты или нет. Если это поддельный адрес электронной почты, невозможно будет открыть ссылку подтверждения, поскольку ссылка никогда не будет доставлена. Если это реальная учетная запись, ссылка на подтверждение может быть нажата реальным пользователем. Затем пользователь может быть проверен.

Для этого перейдите в раздел «Регистрация пользователя>> Настройки вашей панели инструментов». Вам будет предоставлена опция «Вход в систему» в разделе «Общие». Затем выберите «Подтверждение электронной почты» для входа в систему..

Как остановить спам регистрации WordPress на Вашем сайте?

 

Вы также можете внести необходимые изменения в конфигурацию подтверждения электронной почты в разделе «Электронные письма».

Вы увидите подтвержденный статус на панели регистрации пользователей. Если статус находится в ожидании слишком долго, вы можете предположить, что это спам.

2. Подтверждение администраторами:

Вы также можете блокировать или останавливать спам, используя утверждение администратора при регистрации пользователя. В большинстве случаев мы можем знать, является ли это спамом регистрации WordPress или нет, просто взглянув на адрес электронной почты. Таким образом, если адрес электронной почты кажется спамом или поддельным пользователем, администратор может запретить регистрацию конкретного пользователя. Таким образом, блокировки регистрации пользователя WordPress могут быть заблокированы таким образом.

Чтобы активировать одобрение администратора, все, что вам нужно сделать, это открыть панель управления и перейти в «Регистрация пользователя >> Настройки». Затем в разделе «Вход пользователя» в разделе «Общие» выберите «Утверждение администратора после регистрации». Вы можете внести дальнейшие изменения в раздел электронной почты, чтобы ваше одобрение администратора функционировало по вашему желанию.

Как остановить спам регистрации WordPress на Вашем сайте?

 

После сохранения изменений, пользователи, зарегистрированные на вашем веб-сайте, появятся на панели управления. Затем вы можете подтвердить или отклонить их регистрацию в соответствии с их адресом электронной почты.

3. Google ReCAPTCHA:

Одним из самых простых и наиболее распространенных способов блокировки спам-ботов является использование reCAPTCHA Google. Это система, разработанная Google, чтобы отличить, является ли пользователь человеком или нет. Он использует множество методов для определения пользователя как человека. Самый распространенный метод — использовать флажок «Я не робот». После того, как пользователь проверит его, он или она должны будут выбрать некоторые изображения из заданного набора из 9 изображений. Эта задача может выполняться только людьми. Любая попытка бота, несомненно, приведет к его провалу. Итак, если спам регистрации WordPress создан со спам-ботами, они никогда не смогут пройти это препятствие.

Как остановить спам регистрации WordPress на Вашем сайте?

 

Чтобы включить его, вам нужно перейти в «Регистрация пользователя >> Настройки панели управления». Затем нажмите «Интеграция»» и введите ключ сайта и секретный ключ и сохраните изменения. Вы можете получить ключи с официального сайта reCaptcha под кнопкой My reCAPTCHA.

Затем откройте регистрационную форму в разделе «Регистрация пользователя вашей панели управления» и перейдите в «Настройки формы» и выберите «Да» для включения поддержки reCAPTCHA и нажмите «Обновить форму».

4. Перенаправление регистрации по умолчанию на некоторые другие страницы:

Некоторые из спама регистрации WordPress отправляются на страницу входа на ваш веб-сайт WordPress, например «http://yourwebsite.com/wp-login». Чтобы этого не произошло, вы можете перенаправить страницу wp-login непосредственно на страницу регистрации вашего веб-сайта. Вы можете использовать плагин перенаправления страницы для этого, как плагин Redirection.

Все, что вам нужно сделать, это установить плагин и открыть «Инструменты >> Перенаправление»  на панели управления. Затем нажмите «Добавить новое»  и введите URL-адрес страницы входа WordPress в  URL-адрес источника. Поместите ссылку на страницу регистрации пользователя вашего сайта в  целевом URL. Затем нажмите «Добавить перенаправление».

Как остановить спам регистрации WordPress на Вашем сайте?

 

Спамеры, которые ищут страницу входа по умолчанию WordPress, будут автоматически перенаправлены на страницу регистрации. Таким образом, они не могут напрямую отправлять спам администратору. Страница регистрации также может быть защищена от спама с использованием любого из вышеупомянутых методов.

Альтернативные плагины для остановки регистрации спама в WordPress:

Существуют альтернативные плагины, которые могут останавливать спам на вашем веб-сайте WordPress посредством регистрации с разными подходами. Все, что вам нужно сделать, это установить плагин. Мы выделили особенности этих плагинов и упомянули некоторые из них ниже:

1. Stop Spammers:

Как остановить спам регистрации WordPress на Вашем сайте?

 

Это плагин, который помогает вам блокировать спам, поступающий на ваш сайт. Stop Spammers использует множество методов для мониторинга вашего сайта за любые подозрительные действия со спамом. Он также блокирует плохие хосты, которые позволяют активности спама на вашем сайте. Список всех этих хостов также поддерживается для будущих ссылок. Это также поможет вам заблокировать спам регистрации WordPress в ближайшем будущем. он также будет полезен для ваших других веб-сайтов, если вы владеете или управляете несколькими веб-сайтами.

2. Akismet:

Как остановить спам регистрации WordPress на Вашем сайте?

 

Разработанный разработчиками из самого WordPress,  Askimet считается одним из лучших плагинов для предотвращения спама. Он автоматически анализирует комментарии на веб-сайте и фильтрует те, которые выглядят как спам. Несмотря на то, что он специально ориентирован на спам из комментариев и контактов, он также может помочь вам в спам-регистрации WordPress. Вы можете остановить их, установив плагин и сняв  флажок: Любой может зарегистрировать. Этот флажок можно найти в  разделе Настройки >> Общие  для вашей панели.

 

Итого

Это разные способы, с помощью которых вы можете остановить спам на своем веб-сайте путем регистрации с помощью плагина. Мы надеемся, что у вас не будет проблем со спамом регистрации WordPress на вашем сайте. Вам не нужно применять все эти методы, чтобы остановить спам при регистрации. Внедрить любой из этих или нескольких из этих методов будет достаточно, чтобы остановить спам в зависимости от вашей необходимости.

Если у вас есть какие-либо советы или отзывы по плагинам, не стесняйтесь упоминать их в комментариях.



2018-11-01T11:36:26
Лучшие учебники по Wodpress

Настройка firewall на mikrotik

Firewall на микротик состоит из следующих составляющих, это цепочки (chain) и действия в этих цепочках (Action), а также различные фильтры к трафику который обрабатывается в цепочках.

Firewall Chain

В Mikrotik существуют следующие цепочки

Input – цепочка для обработки пакетов поступающих на маршрутизатор, имеющих в качестве адреса назначение ip  самого маршрутизатора.

Forward – в этой цепочки обрабатываются пакеты проходящие через маршрутизатор

Output – цепочка для обработки пакетов созданных маршрутизатором, например когда мы с маршрутизатора пингуем или подключаемся по telnet

Из описания понятно, что для защиты маршрутизатора нужно использовать цепочку input. А для обработки трафика от пользователей и к пользователям использовать chain forward. Использование Output мне не приходилось.

Firewall Action

В цепочках можно осуществлять следующие действия















ПараметрДействие
AcceptРазрешить
add-dst-to-address-listДобавить ip назначение в список адресов указанный в Address List
add-src-to-address-listДобавить ip источника  в список адресов указанный в Address List
Dropзапретить
fasttrack-connectionОбрабатывать пакеты включив FastTrack т.е пакеты будут проходить по самому быстрому маршруту, минуя остальные правила firewall и обработку в очередях
JumpПрыжок, переход на другую цепочку заданную в Jump target
logЗапись в лог
passthroughПерейти к следующему правилу не делая никаких действий(полезно для сбора статистики)
RejectОтбить пакет с причиной указанной в Reject with
ReturnВернуть пакет в цепочку из который он пришел
tarpitзахватывает и поддерживает TCP-соединения (отвечает с SYN / ACK на входящий пакет TCP SYN)

 

Фильтрация в firewall

Фильтрация пакетов которые могут попасть в цепочки может осуществляться по

Src.Address – адрес источника

Dst.Address – адрес назначения

Protocol – Протокол(TCP, UDP и т.д)

Src.Port – порт источника

Dst.Port –порт назначения

In.Interface –входящий интерфейс

Out.Interface – исходящий интерфейс

Packet.Mark – метка  пакета

Connection.Mark –метка  соединения

Routing Mark – метка  маршрута

Roting table — адрес получателя которых разрешен в конкретной таблице маршрутизации

Connection Type – тип соединения

Connection State — состояние соединения (установлено, новое и т.д)

Connection NAT State – цепочка NAT (srcnat, dstnat)

Примеры настройки firewall

Рассмотрим некоторые примеры по настройки firewall на маршрутизаторе микротик.

Настройка безопасности Микротик

Для начала настроим безопасность на наше маршрутизаторе, Для этого сделаем следующие

1.Запретим пинговать наше устройство

2.Запретим доступ к микротику всем  кроме локальной сети и разрешенных ip адресов

Для настройки подключаемся к роутеру с помощью утилиты winbox и  идем в меню IP-Firewall. Вкладка Filter Rules и нажимаем добавить.

Запрещаем пинги на наше устройство, для этого,  на вкладке general,   chain выбираем input protocol icmp

На вкладке Action выбираем drop

Запрещаем доступ к управлению маршрутизатора. Для начала создаем лист с нашими разрешенными адресами, переходим в IP-Firewall, вкладка Address Lists, добавляем новый лист

Name – название нашего листа

Address – адреса относящиеся к этому листу, можно указывать как отдельные адреса так и сети.

Дальше создаем новое правило, снова переходим в Filter rules и добавляем его

Затем переходим на вкладку Advanced и в качестве Src. List выбираем созданный лист

В действии Action выбираем разрешить accept.

Можно было не создавать лист, а на вкладке General в параметре Src. Address прописать нашу сеть, просто мне удобнее работать со списками адресов, в будущем для добавления нового адреса нужно его просто добавить в лист allow_ip.

Следующим шагом запрещаем все входящие соединения. Добавляем правило на chain  input, и в действии ставим drop.  Должно получится следующие

Здесь следует отметить что обработка правил идет сверху вниз, т.е правило запрещающее все подключения должно находится внизу, иначе разрешающие правила не сработают.

Для того что бы поменять местами правило, нужно кликнуть по строке и с зажатой левой кнопкой мыши перетащить его на нужное место.

На самом деле, правило по запрете ping  можно было не создавать, т.к последнее правило блокирует все попытки доступа к роутеру, в том числе и пинг.

Доступ пользователей в интернет

Допустим нам нужно дать доступ в интернет только для определенной сети. Для этого создаем два разрешающих  правила в chain  forward. Первое правило разрешает исходящий трафик из нашей сети

Action ставим accept. Можно как указать Src. Address, так и использовать Address Lists, как мы это делали выше.  Следующим правилом разрешаем прохождение пакетов в нашу сеть.

B следующим правилом запрещаем все остальные сети,

Action выбираем drop. В результате получится следующее

Запрет доступа пользователя в интернет

Если нам нужно запретить доступ в интернет определенным пользователям, давайте сделаем это через Address Lists, что бы в дальнейшем проще было добавлять или удалять правила, переходим на вкладку address Lists и создаем список block в который добавим адреса для блокировки.

Создаем запрещающее правило firewall в chain forward, в котором на вкладке Advanced в Src. Address  List выбираем наш список для блокировки

В Action выбираем Drop. Теперь, наше правило нужно поставить выше разрешающего правила,  иначе оно не сработает, как это сделать я писал выше, в результате получится следующая картина

Аналогично можно запретить доступ к внешним ресурсам, так же создаем список для блокировки, но в настройка firewall уже указываем его в качестве Dst. Address List. Кроме ip адреса в список можно вносить и доменные имена, например если мы хотим запретить доступ пользователей в соцсети, одноклассники или вконтакте.

Доступ только к сайтам

В следующим примере рассмотрим как разрешить пользователям выход в интернет только по 80 и 443 порту и запретить все остальные, для этого создадим разрешающее правило в chain  forward, Protocol выбираем tcp и в параметре Dst.Prort указываем разрешенные порты

Тоже самое можно сделать с помощью запрещающего правила, используя оператор отрицания «!», а Action установить drop

Это означает,  запретит все порты кроме 80 и 443.

Конечно,  все возможности firewall на микротик я показать не смогу, но основные параметры думаю понятны.

Внимание! при настройке  firewall  на MikroTIK, настоятельно рекомендую проводить их в «Safe Mode» как ее включить описано здесь, в противном случае вы рискуете потерять доступ к маршрутизатору.

Обучающий курс по настройке MikroTik

Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.



2018-11-01T11:32:57
Микротик