oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
1204f56d9f9fc10c7eb90da50a70fd8b9d6b2afe
knowledge-base/projects/mmfb/mikrotik.md

3.1 KiB
Raw Blame History

date, type, tags
date type tags
2026-04-20 project
mmfb
lionart
network

MikroTik LionART (10.253.1.1, hydropark)

Доступ

  • LAN IP: 10.253.1.1/24 (bridge1)
  • Login: AI / OL260380eg
  • Identity: hydropark
  • Модель: hAP ac³, RouterOS 7.16.2 stable

Сеть

  • WAN: ether1-gw-telekom, публичный IP 195.26.30.163/27, gateway 195.26.30.161 (Telekom)
  • LAN: bridge1, 10.253.1.0/24
  • NAT: masquerade на out-interface=ether1-gw-telekom (WAN)

WireGuard

Активных туннелей нет. 2026-04-20 поднимался временный wg-niikn (NSPD bypass для НИИКН) — откачено вечером того же дня из-за замедления общего трафика на стороне НИИКН. Описание схемы, ключи и причины отката — decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md.

Локдаун периметра (2026-06-29, инцидент с атакой на 1С)

После brute-force на 1С-порты (decisions/2026-06-28-mmfb-1c-cluster-ports-exposed-bruteforce) закрыт весь лишний доступ из интернета. Всё помечено incident-20260629, disabled (обратимо одной командой).

Что было выставлено наружу (195.26.30.163) и хост:

  • .10 KOMPUTER (Gigabyte ПК) — 3389 RDP; .240 1С — 1540/1541/1560-1591; .25 NPM — 80/443/81(админка); .40 agentdvr1723 PPTP; .49 WG — 22/40235udp(WireGuard); .205 ovpn — 2222/1174udp(OpenVPN); .200 Proxmox — 8006; .245 — 8007.

Закрыто (NAT dstnat disabled): 3389, 22→.49, 2222→.205, 8006, 81 (было ДВА правила-дубля — гасить disable [find chain=dstnat dst-port=81]), 1723, 8007. Оставлено: 80/443 (сайты NPM), 40235udp (WG), 1174udp (OpenVPN), 1С-порты (за forward-whitelist только frame.ru 92.53.96.188).

Сам роутер закрыт от WAN:

  • /ip service ssh(22)/winbox(7777)/www(80) → address=10.253.1.0/24,100.70.0.0/16 (только LAN+NetBird).
  • input drop winbox: chain=input drop protocol=tcp dst-address=195.26.30.163 dst-port=7777,8291.
  • ⚠️ Грабля: filter-правила по in-interface=ether1-gw-telekom (без порта) молча становятся invalid на этом роутере. Рабочий матч — по dst-address=<публичный IP> + порт (как NAT-правила).
  • Проверять закрытие с чистого внешнего хоста (Антошка pct exec 137), НЕ с Mac — Mac через NetBird/split-DNS даёт ложные «открыто» (ходит на домашний NPM).

Управление всем (роутер/Proxmox/ПК/серверы MMFB) теперь — только через NetBird-VPN.

Reference in New Issue View Git Blame Copy Permalink