滅雪* wrote:
成功了,問題都解決了...(恕刪)
好奇的問一下,為何需要P874也撥接呢?
是因為電腦分兩邊的關係嗎?
個人積分:1068分
文章編號:48705723
個人積分:0分
文章編號:48707232
個人積分:0分
文章編號:48707334
個人積分:0分
文章編號:48709410
個人積分:4881分
文章編號:48710972
個人積分:1068分
文章編號:48712108
pctine wrote:
說實話, 我也看的霧...(恕刪)
最近幫同事處理了好幾個類似的case,問題都是出在數據機與分享器的Double NAT上。
現在中華電信的數據機大都有wifi功能,也有分享器功能。
一般用戶大都會選擇用免費的wifi功能,中華的裝機人員似乎就會連帶的開啟數據機的PPPoE與NAT。
但弔詭的是,數據機的帳密好像又沒有給用戶,所以用戶也不能自己login去設定。
而且就算知道帳密(google的到),進去以後那介面又顯然不是家用取向的...很難設定。
大家的帳密都一樣,所以說不定現在只要花點時間不斷的去試http://中華IP。
就可以連到一堆數據機去,然後就可以進去參觀參觀....這樣安全性也令人質疑。
後來搞到數據機的功能要設定一下都要打0800請裝機來家裡弄,還要請假配合人家的時間。
後來都是小弟自己隨手改掉了....所以每次看到類似的問題,就覺得:又來了~~~
想請問一下,中華電信的數據機NAT效能有多少呢?
如果是雙向100M的,用中華電信數據機的分享器功能上網,數據可以跑到雙向90M以上嗎?
因為小弟用的是FTTH,數據機沒有分享器功能,無法測試。
所以想拜託有用數據機的網友們,能否用Dr.speed幫忙測一下。
irsjx2vxo3ne3k84dr1dz4,r4pe8bez3/4ne3bq4bew2j92gea jx4hq me-2d8 e3hy4hi2ty k84!
個人積分:1558分
文章編號:48739530
我參考了 囧&囧の網路筆記 的防止 FTP SSH Telnet Winbox 被猜密碼
(超連結)
我掛載了裡面的語法測試後,發現連ftp故意打錯密碼超過5次還是沒鎖定外網 ip
而且在 firewall 的 Address List 也沒看到下面註解的每次連線都會新增名單到 Address List
不曉得哪邊還有需要設定的,煩請各位大大幫忙下
另外我防火牆 Filter Rules 之前都是空白未設定的
-----------------------------------------
我也有參考另一篇 N_度的博客 的 RouteOS 防止密碼暴力破解
(點我連結)
防FTP猜密碼登錄 腳本原理: 通過ROS響應FTP請求. 返回530登錄錯誤.以下腳本為 在一分鐘內允許10次登錄失敗,超過10次將阻止源IP訪問三小時. 注意rule應用順序及chain
/ip firewall filter
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers"
add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m
add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h
這個我也加入測試過也是不行>"<~~,救命啊.....,請各位大大指教一下
個人積分:1376分
文章編號:48743450
top100011 wrote:
請教各位大大防火牆相...(恕刪)
一分鐘內3次登入PPTP/OpenVPN/L2TP失敗後,第4次登入直接封鎖.
/ip firewall
add action=drop chain=input comment="PPTP\\A1\\FEOpenVPN\\A1\\FEL2TP \\A8\\BE\\A4\\F5\\
\\C0\\F0(\\B5n\\A4J3\\A6\\B8\\BF\\F9\\BB~\\A7Y\\AB\\CA\\C2\\EA)" src-address-list=\
login_blacklist
add action=add-src-to-address-list address-list=login_blacklist \
address-list-timeout=2w chain=input connection-state=new \
dst-address-type=local dst-port=1723,1195 protocol=tcp src-address-list=\
login_stage3
add action=add-src-to-address-list address-list=login_stage3 \
address-list-timeout=1m chain=input connection-state=new \
dst-address-type=local dst-port=1723,1195 protocol=tcp src-address-list=\
login_stage2
add action=add-src-to-address-list address-list=login_stage2 \
address-list-timeout=1m chain=input connection-state=new \
dst-address-type=local dst-port=1723,1195 protocol=tcp src-address-list=\
login_stage1
add action=add-src-to-address-list address-list=login_stage1 \
address-list-timeout=1m chain=input connection-state=new \
dst-address-type=local dst-port=1723,1195 protocol=tcp
add action=add-src-to-address-list address-list=login_blacklist \
address-list-timeout=2w chain=input connection-state=new \
dst-address-type=local dst-port=1701 protocol=udp src-address-list=\
login_stage3
add action=add-src-to-address-list address-list=login_stage3 \
address-list-timeout=1m chain=input connection-state=new \
dst-address-type=local dst-port=1701 protocol=udp src-address-list=\
login_stage2
add action=add-src-to-address-list address-list=login_stage2 \
address-list-timeout=1m chain=input connection-state=new \
dst-address-type=local dst-port=1701 protocol=udp src-address-list=\
login_stage1
add action=add-src-to-address-list address-list=login_stage1 \
address-list-timeout=1m chain=input connection-state=new \
dst-address-type=local dst-port=1701 protocol=udp
其中有個要注意的這防火牆規則只針對RouterOS本身,
假如您是針對區網的Server ,請將chain=input 改成chain=forward
另外將dst-address-type=local ,用dst-address=Server-IP來取代
個人積分:1376分
文章編號:48743921
目前RB450G更新6.10後經測試可讓Android手機透過IPSec Xauth PSK連線.
但是是個無法翻網,與ROS的區網沒任何交集的連線,一切都和原來一樣沒變
可以請pctine大幫忙找原因嗎,謝謝
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
個人積分:5分
文章編號:48746007
關閉廣告