Я б посмотрел в сторону sstp на микроте. Метароутер кажется немношк сдох, можно использовать контейнеры (на некоторых микротах на 7 ros), но мне не очень понравилось как они шуршат. Ну или прошить микрот в openwrt и там уже чудить как следует:)
Rbl фу. Имхо их можно использовать только для увеличения скора в байесовской системе. Ну и как условно-коробочное решение неплох proxmox mail gateway - желательно к нему только движок антивируса повеселее прикрутить
Мне вот нравится подход zulip. Бесплатный в облаке мессенджер - ограничен, а-ля слак, но онпрем - полнофункционален, без этой вот фигни где лдап-самл идут как тыртырпрайз фичи за множество деняк. И есть решения изкаропки облегчающие переезд мне кажется со всех популярных мессенджеров
можно переключать, логику придётся описывать самостоятельно (или взять готовые скрипты, емнип были у микрота на вики), и будет автоматически переключаться:)
вопрос ещё критичности передаваемых данных и защиты от перехвата..
в целом промышленные микроты (типа ltap mini) когда-то стоили разумно, аналогичное мы на них строили. в базе там один модем но 2 слота под симки (в старших моделях 3), можно переключать тудым-сюдым
Да не очень он для роадворриоров. Для них лучше ssl vpn, вроде any(open)connect - желательно без необходимости локального конфига. Работает лучше через разных стрёмных провайдеров, блочить сложнее, можно выдавать адреса из пула и пушить наборы маршрутов-резолверов
по-хорошему такие штуки в впн заворачивать, но конечно главное поступать разумно - и осознанно:)
ну, как минимум разумно банить на какое-то время, а не навсегда (да и фолс-позитив срабатывания могут быть).
разбанивание по порт-нокингу - ну например скриптом можно сделать. условно, сделали определённый нокинг, удалённый адрес попал в нужный адрес-лист, а скрипт что регулярно дёргается шедулером - смотрит этот адрес-лист и удаляет из блеклиста.
Его не надо закрывать, надо закрывать всё кроме нужного:) а набросились, потому что опубликовано некорректное решение проблемы + претензия к микротам))
Я б сформулировал чуть иначе - закрываем весь входящий трафик (ессно разрешив established и related). От прямых пробросов портов желательно отказаться, если бизнес/процессы требуют - реализовать f2b с проверкой на сервисе.
Портнокинг я бы заменил впн-ом с мфа, ханипоты - по вкусу, необходимости острой не вижу. Лучше ids/ips:)
Ну и да, феншуйно выводить управляющие интерфейсы в отдельный vlan с ограниченным доступом. И не забывать обновляться:)
А ещё микротики бывает рутуют и подключают к ботнету, если прошивки не обновлять и открытые порты снаружи оставлять.
Как выше написали - проблема в некорректной настройке фаервола, превратившей ваш микрот в открытый днс-сервер. Проведите аудит настроек, возможно там еще что-то есть открытое.
Если глянуть дело, там не столько по использование открытого ПО, сколько про втихаря воткнутый микротик с проксёй, торренты-развлекательные сайты..
Я б посмотрел в сторону sstp на микроте. Метароутер кажется немношк сдох, можно использовать контейнеры (на некоторых микротах на 7 ros), но мне не очень понравилось как они шуршат. Ну или прошить микрот в openwrt и там уже чудить как следует:)
Ага, и у нас в основном товарняки пропускаются пассажирскими, отсюда и долгие дороги :(
Жалко судя по всему стриж мурманск-спб - шутка первоапрельская (читаем источник по ссылке до конца, проверяем дату, плачем)
Rbl фу. Имхо их можно использовать только для увеличения скора в байесовской системе. Ну и как условно-коробочное решение неплох proxmox mail gateway - желательно к нему только движок антивируса повеселее прикрутить
Иногда всё ж бывает срочный перевод и относительно крупных сумм (например, родственник у зубного, с деньгами не рассчитал)
Он другой, клоном не назвать:) обязательно стоит сначала глянуть в облаке, UX не всем заходит. Мигрировать может быть больно
Мне вот нравится подход zulip. Бесплатный в облаке мессенджер - ограничен, а-ля слак, но онпрем - полнофункционален, без этой вот фигни где лдап-самл идут как тыртырпрайз фичи за множество деняк. И есть решения изкаропки облегчающие переезд мне кажется со всех популярных мессенджеров
Знаю пару контор, что до сих пор пользуют, как корп мессенджер
Если будет не лень - я проверю, но даже в ембеддед я встречал уже только vim (опять же проверяется запросом версии) :)
Ed это конечно Ъ, это по нашему:)
Если включать зануду - vi уже не ставится кажется ни один десяток лет как, только vim. Можете убедиться сделав vi --version
можно переключать, логику придётся описывать самостоятельно (или взять готовые скрипты, емнип были у микрота на вики), и будет автоматически переключаться:)
PS да, есть - https://wiki.mikrotik.com/wiki/Dual_SIM_Application#Failover_script_example
вопрос ещё критичности передаваемых данных и защиты от перехвата..
в целом промышленные микроты (типа ltap mini) когда-то стоили разумно, аналогичное мы на них строили. в базе там один модем но 2 слота под симки (в старших моделях 3), можно переключать тудым-сюдым
Да не очень он для роадворриоров. Для них лучше ssl vpn, вроде any(open)connect - желательно без необходимости локального конфига. Работает лучше через разных стрёмных провайдеров, блочить сложнее, можно выдавать адреса из пула и пушить наборы маршрутов-резолверов
по-хорошему такие штуки в впн заворачивать, но конечно главное поступать разумно - и осознанно:)
ну, как минимум разумно банить на какое-то время, а не навсегда (да и фолс-позитив срабатывания могут быть).
разбанивание по порт-нокингу - ну например скриптом можно сделать. условно, сделали определённый нокинг, удалённый адрес попал в нужный адрес-лист, а скрипт что регулярно дёргается шедулером - смотрит этот адрес-лист и удаляет из блеклиста.
Его не надо закрывать, надо закрывать всё кроме нужного:) а набросились, потому что опубликовано некорректное решение проблемы + претензия к микротам))
Я б сформулировал чуть иначе - закрываем весь входящий трафик (ессно разрешив established и related). От прямых пробросов портов желательно отказаться, если бизнес/процессы требуют - реализовать f2b с проверкой на сервисе.
Портнокинг я бы заменил впн-ом с мфа, ханипоты - по вкусу, необходимости острой не вижу. Лучше ids/ips:)
Ну и да, феншуйно выводить управляющие интерфейсы в отдельный vlan с ограниченным доступом. И не забывать обновляться:)
Автор решил что трафик генерит микрот, видимо исходя из роста счётчиков на аутпут, вот и сделал странное..
Да, раньше заводской конфиг был дыряв у микротов, сейчас более-менее вменяемый
А ещё микротики бывает рутуют и подключают к ботнету, если прошивки не обновлять и открытые порты снаружи оставлять.
Как выше написали - проблема в некорректной настройке фаервола, превратившей ваш микрот в открытый днс-сервер. Проведите аудит настроек, возможно там еще что-то есть открытое.
В современных микротах в дефолтных настройках он снаружи не открыт:)