Auteur Sujet: Configuration RouterOS (Mikrotik) pour livebox (Lu 340747 fois)

Florian · « **Réponse #180 le:** 12 mars 2016 à 22:00:02 »

Merci, c'est bien ce que j'avais compris alors.

Le port 8 est également utilisable non ?

grapplerbaki · « **Réponse #181 le:** 12 mars 2016 à 22:02:47 »

Oui mais le port 8, je le garde pour alimentation de secours via POE.

Baki

BM92 · « **Réponse #182 le:** 12 mars 2016 à 23:03:05 »

Citation de: grapplerbaki le 12 mars 2016 à 22:02:47

Oui mais le port 8, je le garde pour alimentation de secours via POE.

Baki

Bonjour Baki,
Comment tu le connecte pour l'alimenter via PoE ?
Claude

grapplerbaki · « **Réponse #183 le:** 13 mars 2016 à 10:53:12 »

Soit via un injecteur POE passif ou un switch POE.
Il faut au moins du 48v, même si 24v devrait suffire.

Moi je vais le brancher via un switch qui va aussi alimenter mon AP ubiquity.

Baki

BM92 · « **Réponse #184 le:** 13 mars 2016 à 12:06:56 »

Citation de: grapplerbaki le 13 mars 2016 à 10:53:12

Soit via un injecteur POE passif ou un switch POE.
Il faut au moins du 48v, même si 24v devrait suffire.

Se que la Livebox ne fait pas ?
Je crois que Ubiquiti vend des injecteurs 24v et 48v pour alimenter le routeur et le wifi

Florian · « **Réponse #185 le:** 14 mars 2016 à 09:43:35 »

Bonjour,

Ai-je lu trop rapidement, ou à aucun moment dans le DHCP (coté wan) on envoi l'adresse mac de la livebox (modem, pas de la tv) ? Ce n'était pas nécessaire à une époque ?

Merci.

grapplerbaki · « **Réponse #186 le:** 14 mars 2016 à 21:29:00 »

Bonsoir,
Non, il n est pas nécessaire d envoyer la mac address de la livebox pour avoir le net, seulement to identifiant fibre.

Baki

BM92 · « **Réponse #187 le:** 15 mars 2016 à 14:22:41 »

Citation de: MikeTheFreeman le 01 mars 2016 à 00:04:06

Oui, quelqu'un est en train de taper à ta porte.
Tu ferais bien de le bloquer depuis le wan (et/ou changer le numéro de port).

Bon sur ce coup c'est l'IP : 101.254.141.27 qui frappe a ma porte

Comment peut-on bloquer depuis le wan ce genre de chose ?
Pour le SSH on peu lui donner quel port ?
Par avance merci
Claude

Florian · « **Réponse #188 le:** 15 mars 2016 à 15:13:25 »

Je n'ai pas encore l'appareil, donc a prendre avec des pincettes.

Mais je pense que si tu veux empecher toutes prises en main depuis l'extérieur, tu peux tenter ça :

/ip firewall filter
add chain=input action=accept src-address=192.168.1.0/24 in-interface=!ether8 comment="autorise prise en main que depuis le lan"

(dans le cas ou l'interface 8 est ton WAN) Cette ligne devrais uniquement autoriser les packets à destination du routeur que depuis des adresses en 192.168.1.0 venant de toutes les interfaces SAUF la 8.)

EDIT : Ensuite inclure un drop evidemment genre : add chain=input action=drop comment="drop le reste vers le router"

Paul · « **Réponse #189 le:** 15 mars 2016 à 15:21:50 »

Y a pas un truc qui s'appelle fail2ban pour ça ? Qui bannit une IP qui toque trop souvent

MikeTheFreeman · « **Réponse #190 le:** 15 mars 2016 à 19:40:54 »

Citation de: BM92 le 15 mars 2016 à 14:22:41

Bon sur ce coup c'est l'IP : 101.254.141.27 qui frappe a ma porte
Comment peut-on bloquer depuis le wan ce genre de chose ?
Pour le SSH on peu lui donner quel port ?
Par avance merci
Claude

Je n'ai pas cet équipement, je ne peux donc pas te donner la commande.

Mais il y a deux propositions :

tu n'as pas mis en place de règles pour bloquer les connexions entrantes depuis l'extérieur : il faut y parer au plus vite et créer une règle pour cela (similaire à celle de la config de l'ERL : bloquer toutes les connections entrantes en new et invalid ce qui va bloquer toutes les nouvelles connexions non initiées de ton côté).
tu as les règles pour bloquer depuis l'extérieur mais simplement laissé volontairement ouvert le ssh pour x raison depuis l'extérieur : la suggestion de Paul est à suivre. fail2ban te permet de mettre en place des stratégies de ban en fonction d'un nombre de tentatives de connexion ratées sur un lap de temps et sur un port donné

Dans les deux cas, je ne peux pas t'aider n'ayant pas ton équipement et ne m'étant jamais servi de fail2ban.

grapplerbaki · « **Réponse #191 le:** 15 mars 2016 à 19:54:04 »

Salut Claude,

Je pense que tu es passé à coter de mon lien vers les règles de base firewall Mikrotik.

Je te fais un extrait des commandes. En mettant en place ces règles tu seras tranquille.

Il est possible de mettre en place un équivalent au fail2ban.

Baki.