Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Фотоприколы (часть 486).

Про вирус и самоизоляцию: Мы продолжаем ждать ответов из соответствующих инстанций по поводу моих необоснованных штрафов на 12000р. Пока тишина. Ответов нет.

Про работу: Работа кипит, много дел, которые накопились за 3 месяца изоляции. Постепенно раскидываем.

Про спорт: На текущей неделе вернулся к тренировкам. Две недели без них и возвращение оказалось достаточно тяжелым. Бег для меня отдельная тема и совсем не моя, не люблю бегать еще с армии. На неделе бежал три раза, первые два, думал оставлю легкие на обочине, но сегодня бежалось уже несколько лучше. Но результаты, которые были до перерыва, пока мне недоступны. Силовые тренировки тоже не так радужны. К среде у меня болела буквально каждая мышца, как будто меня били два дня. Среда оказалась выходным днем, удалось пробежать на роликах к сожалению не 5 км, как планировал, а только 3, дождь… Надеюсь постепенно войду в ритм и наберу нужную форму.

По прежнему Всем здоровья.

Как обычно по пятницам, подборка понравившихся мне картинок, на безграничных просторах интернета, для поднятия настроения.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Всем хороших выходных!!!

 

03.07.2020 Posted by | фотоприколы... | Оставьте комментарий

LAB1_Mikrotik_ACL_NAT. NAT and Firewall (часть 3).

LAB1_Mikrotik_ACL_NAT. Switching L2 (часть 1).

LAB1_Mikrotik_ACL_NAT. Switching L2. Bridge VLAN Filtering (часть 2).

Первая половина адресов диапазона 172.16.10.0/24 должна быть представлена адресом 128.1.1.1. Вторая половина — адресом 128.1.1.2

Для общего понимания будет полезен вот этот пост:

https://itproffi.ru/nastrojka-nat-na-marshrutizatorah-mikrotik/

Для выполнения этого пункта мне потребуется создать два дополнительных правила NAT

И второе

Получилась вот такая картинка

Видим, что ранее у нас уже был настроен маскарад для остальных vlan-ов, поэтому исключим из него, vlan 10 (172.16.10.0/24), чтоб корректно отработали следующие правила.

Теперь проверяем, что происходит с компов 172.16.10.1 (пингуя роутер в интернете), и в логах роутера смотрим, как представляется наш роутер R1.

И с компа  172.16.10.200

Знающие люди согласились с моим вариантом решения, но посоветовали сделать все же чуть по-другому: вместо netmap все же использовать srcnat и правила расположить в следующем порядке:

В этом случае, в правиле masquerade можно не исключать подсеть 172.17.10.0/24

Видно, что все, как надо. А это говорит о том, что можно перейти к следующему заданию.

Следующие 3 задания напрямую связаны с настройкой Firewall в целом, поэтому первоначально имеет смысл произвести его базовую настройку.

А пока он чист, как слеза младенца. А это не есть хорошо.

На эту тему, полезно будет посмотреть следующие посты, с фаерволом можно сильно загнаться (я уже почти забыл, как это было):

https://serveradmin.ru/bazovaya-nastrojka-firewall-v-mikrotik/

https://buywifi.ru/blog/mikrotik/nastroyka-firewall-mikrotik/

https://gregory-gost.ru/sozdanie-domashney-seti-na-baze-ustroystv-mikrotik-chast-6-firewall-zashhita-dostupa/

https://xn—-7sba7aachdbqfnhtigrl.xn--j1amh/nastrojka-firewall-v-mikrotik-zashhita-ot-ddos-ataki/

https://mikrotiklab.ru/nastrojka/artga-firewall.html

Вот тут очень наглядно изображены цепочки прохождения трафика:

https://wiki.rtzra.ru/software/mikrotik/mikrotik-firewall

https://mstream.com.ua/mikrotik-tipichnie-problemi-i-ih-resheniay.html

https://habr.com/ru/post/435070/

Итак, сначала создадим пару разрешающих правил, разрешим хождение трафика по установленным соединениям:

Или тут в цепочке Forward можно указать fasttrack connection, а лучше создам отдельное правило (но в лабе нам это не нужно).

Таким образом мы пустим через Fasstrack все пакеты уже установленных транзитных соединений, и скажем честно, особой потребности как-то сложно обрабатывать такой трафик на роутере нет.

Разрешу подключение из внутренней сетки подключаться к роутеру по следующим портам (8291, 22, 80, 443):

Снаружи icmp на внешнем интерфейсе ether1 надо бы запретить (drop), но у меня тестовый стенд поэтому он принудительно разрешен.

А далее делаем два запрещающих правила, где все дропим (drop). ПРАВИЛА ПРИМЕНЯЮТСЯ СВЕРХУ ВНИЗ В ПОРЯДКЕ ОЧЕРЕДИ, поэтому они должны быть в самом низу.

И для логирования

Не помешает добавить аналогичное правило и для forward, чтобы понимать, что происходит непосредственно на роутере:

Запретим invalid (ошибочные соединения).

Пока получилось не много правил

Проверим, что я ничего пока не забыл.

Сразу видно, что в инет больше никто не ходит. Исправим это.

Интернет теперь появился:

В лабе у нас ничего не сказано про DNS, но можно его чуть поднастроить:

Нажимаем на + и создаём ещё одно правило, запрещающее входящий трафик (Chain: input) по протоколу UDP (Protocol: udp) на 53й порт (Dst. Port: 53) интерфейса провайдера (In. Interface: ether1).

Тоже самое не мешает сделать и для протокола tcp

На этом пока все. Продолжение следует…

Всем хорошей работы!!!

02.07.2020 Posted by | Network and Wi-fi: cisco, mikrotik, huawei, tp-link, d-link, zyxel и другое... | Оставьте комментарий

Фильм «Текст».

Посмотрел фильм «Текст». Почему его назвали «Текст», я так и не понял, но фильм мне понравился. Он во многом отражает нашу Российскую действительность.

27-летний Илья Горюнов семь лет отсидел в тюрьме по ложному обвинению в распространении наркотиков. Теперь он выходит на свободу движимый лишь одним желанием — отомстить тому мажору Петру, который подбросил ему наркотики и поломал жизнь. Встретившись лицом к лицу со своим обидчиком, Илья совершает импульсивный поступок и получает доступ к смартфону Петра, а с ним и к жизни молодого человека — его фотографиям и видео, перепискам с родителями и девушкой Ниной, к странным, полным недомолвок и угроз переговорам с коллегами. На время Илья становится для всех Петром — через текст на экране телефона.

Подробно о фильме читаем здесь: https://www.kinopoisk.ru/film/1234848/

Всем хорошего просмотра!!!

01.07.2020 Posted by | синематограф | Оставьте комментарий