oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

niikn: Finland VPS 78.17.4.225 лёг 2026-06-29 — весь обход (Claude/TG/WA) down, VM остановлена на Spaceweb; обновлён статус в памяти

Browse Source
This commit is contained in:
dttb
2026-06-29 16:11:13 +03:00
parent 568fdbeb3a
commit 1204f56d9f
42 changed files with 1269 additions and 5 deletions
Download Patch File Download Diff File Expand all files Collapse all files

17
projects/mmfb/mikrotik.md
View File

@@ -20,3 +20,20 @@ tags: [mmfb, lionart, network]
## WireGuard
Активных туннелей нет. 2026-04-20 поднимался временный `wg-niikn` (NSPD bypass для НИИКН) — откачено вечером того же дня из-за замедления общего трафика на стороне НИИКН. Описание схемы, ключи и причины отката — [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](../../decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md).
## Локдаун периметра (2026-06-29, инцидент с атакой на 1С)
После brute-force на 1С-порты ([decisions/2026-06-28-mmfb-1c-cluster-ports-exposed-bruteforce](../../decisions/2026-06-28-mmfb-1c-cluster-ports-exposed-bruteforce.md)) закрыт весь лишний доступ из интернета. Всё помечено `incident-20260629`, `disabled` (обратимо одной командой).
**Что было выставлено наружу (`195.26.30.163`) и хост:**
- `.10` `KOMPUTER` (Gigabyte ПК) — 3389 RDP; `.240` 1С — 1540/1541/1560-1591; `.25` `NPM` — 80/443/**81**(админка); `.40` `agentdvr`**1723 PPTP**; `.49` `WG` — 22/**40235udp**(WireGuard); `.205` `ovpn` — 2222/**1174udp**(OpenVPN); `.200` Proxmox — 8006; `.245` — 8007.
**Закрыто (NAT dstnat `disabled`):** 3389, 22→.49, 2222→.205, 8006, **81 (было ДВА правила-дубля — гасить `disable [find chain=dstnat dst-port=81]`)**, 1723, 8007.
**Оставлено:** 80/443 (сайты NPM), 40235udp (WG), 1174udp (OpenVPN), 1С-порты (за forward-whitelist только frame.ru `92.53.96.188`).
**Сам роутер закрыт от WAN:**
- `/ip service` ssh(22)/winbox(7777)/www(80) → `address=10.253.1.0/24,100.70.0.0/16` (только LAN+NetBird).
- input drop winbox: `chain=input drop protocol=tcp dst-address=195.26.30.163 dst-port=7777,8291`.
- ⚠️ **Грабля:** filter-правила по `in-interface=ether1-gw-telekom` (без порта) молча становятся **`invalid`** на этом роутере. Рабочий матч — по **`dst-address=<публичный IP>`** + порт (как NAT-правила).
- Проверять закрытие **с чистого внешнего хоста** (Антошка `pct exec 137`), НЕ с Mac — Mac через NetBird/split-DNS даёт ложные «открыто» (ходит на домашний NPM).
Управление всем (роутер/Proxmox/ПК/серверы MMFB) теперь — **только через NetBird-VPN**.