[GTER] Mais uma da mikrotik
Marcelo Gondim
gondim at bsdinfo.com.br
Tue Oct 9 09:09:29 -03 2018
Bom dia,
O conntrack só deveria afetar módulos que usem ele como NAT e regras de
filtro stateful no Firewall. Quando você desabilita o conntrack o
sistema vira stateless. O conntrack faz o controle de estado das conexões.
Em 08/10/2018 23:27, Thiago Rheinheimer Costa escreveu:
> *Alguem sabe por que o check de ip em access list do mikrotik não funciona
> com o conntrack desabilitado?*
> Não cheguei a notar que não funciona, vou fazer testes pra validar. Na
> lista de features que a documentação lista ser prejudicada ao desativar o
> conntrack não está informando isso. Que bom que avisou, caso eu precise
> desativar o conntrack já fico de olho nisso.
>
> *Essa sua solução de entrar via ssh podia ser feita diferente, com port
> knock *
> Sim, certamente. Pensei até em analisar o log se determinado usuário logou
> por ssh então libera o serviço winbox também pra evitar o trabalho de ficar
> usando /system script run openWinbox. Más há muitas formas de implementar
> segurança. Poderia usar o port knocking pra primeiro liberar o ssh para um
> ip qualquer, aí uma autenticação segura via ssh com aquele usuário faria
> com que o winbox fosse automaticamente habilitado e que quando o usuário
> fizesse logoff o serviço fosse desabilitado, e o serviço ssh também
> desabilitado. Poderia restringir o port knocking de um conjunto de ips
> confiáveis pra garantir ainda mais. No final eu fico paranóico.
>
> Att.
> *Thiago Rheinheimer Costa*
>
> <http://www.tryideas.com.br/>
>
> 41 4063-7293 Curitiba
> 44 3112-0603 Maringá
> 45 3112-0224 Cascavel
> 45 3055-7688 Toledo
> 45 3055-7688 Marechal Cândido Rondon
>
> www.tryideas.com.br
> www.4aw.com.br
> www.mageshop.com.br
>
>
> Em seg, 8 de out de 2018 às 22:54, Bruno Cabral <bruno at openline.com.br>
> escreveu:
>
>> Alguem sabe por que o check de ip em access list do mikrotik não funciona
>> com o conntrack desabilitado?
>>
>> Essa sua solução de entrar via ssh podia ser feita diferente, com port
>> knock
>> ________________________________
>> De: gter <gter-bounces at eng.registro.br> em nome de Thiago Rheinheimer
>> Costa <thiago at tryideas.com.br>
>> Enviado: segunda-feira, 8 de outubro de 2018 14:49:30
>> Para: gter at eng.registro.br
>> Assunto: Re: [GTER] Mais uma da mikrotik
>>
>> Pois é, recentemente fiz uma série de scripts que atualizam meus ips
>> administrativos, setam tanto no /ip firewall filter como no /ip service
>> winbox e /ip service ssh e no /user os ips autorizados. Também alterei os
>> usuários removendo o padrão, e pra liberar acesso para o winbox eu entro
>> via ssh e rodo um script que habilita a regra de firewall que permite o
>> acesso e que habilita o serviço, que só utilizo quando refazendo uma série
>> de configurações que tem sua visualização facilitada pela interface
>> gráfica. O serviço do ssh também alterei a porta padrão, além dessa
>> configuração de ips autorizados.
>> Os demais serviços tenho todos desativados.
>>
>> Att.
>> *Thiago Rheinheimer Costa*
>>
>>
>> Em seg, 8 de out de 2018 às 14:27, Eduardo Schoedler <listas at esds.com.br>
>> escreveu:
>>
>>> Mikrotik sempre contribuindo para uma internet melhor para todos:
>>>
>>> https://thehackernews.com/2018/10/router-hacking-exploit.html
>>>
>>>
>>> --
>>> Eduardo Schoedler
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list