oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
1204f56d9f9fc10c7eb90da50a70fd8b9d6b2afe
knowledge-base/projects/mmfb/mikrotik.md

40 lines
3.1 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
---
date: 2026-04-20
type: project
tags: [mmfb, lionart, network]
---
# MikroTik LionART (10.253.1.1, hydropark)
## Доступ
- **LAN IP:** 10.253.1.1/24 (bridge1)
- **Login:** AI / OL260380eg
- **Identity:** hydropark
- **Модель:** hAP ac³, RouterOS 7.16.2 stable
## Сеть
- **WAN:** ether1-gw-telekom, публичный IP **195.26.30.163/27**, gateway 195.26.30.161 (Telekom)
- **LAN:** bridge1, 10.253.1.0/24
- **NAT:** masquerade на out-interface=ether1-gw-telekom (WAN)
## WireGuard
Активных туннелей нет. 2026-04-20 поднимался временный `wg-niikn` (NSPD bypass для НИИКН) — откачено вечером того же дня из-за замедления общего трафика на стороне НИИКН. Описание схемы, ключи и причины отката — [decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md](../../decisions/2026-04-20-niikn-nspd-bypass-via-lionart.md).
## Локдаун периметра (2026-06-29, инцидент с атакой на 1С)
После brute-force на 1С-порты ([decisions/2026-06-28-mmfb-1c-cluster-ports-exposed-bruteforce](../../decisions/2026-06-28-mmfb-1c-cluster-ports-exposed-bruteforce.md)) закрыт весь лишний доступ из интернета. Всё помечено `incident-20260629`, `disabled` (обратимо одной командой).
**Что было выставлено наружу (`195.26.30.163`) и хост:**
- `.10` `KOMPUTER` (Gigabyte ПК) — 3389 RDP; `.240` 1С — 1540/1541/1560-1591; `.25` `NPM` — 80/443/**81**(админка); `.40` `agentdvr`**1723 PPTP**; `.49` `WG` — 22/**40235udp**(WireGuard); `.205` `ovpn` — 2222/**1174udp**(OpenVPN); `.200` Proxmox — 8006; `.245` — 8007.
**Закрыто (NAT dstnat `disabled`):** 3389, 22→.49, 2222→.205, 8006, **81 (было ДВА правила-дубля — гасить `disable [find chain=dstnat dst-port=81]`)**, 1723, 8007.
**Оставлено:** 80/443 (сайты NPM), 40235udp (WG), 1174udp (OpenVPN), 1С-порты (за forward-whitelist только frame.ru `92.53.96.188`).
**Сам роутер закрыт от WAN:**
- `/ip service` ssh(22)/winbox(7777)/www(80) → `address=10.253.1.0/24,100.70.0.0/16` (только LAN+NetBird).
- input drop winbox: `chain=input drop protocol=tcp dst-address=195.26.30.163 dst-port=7777,8291`.
- ⚠️ **Грабля:** filter-правила по `in-interface=ether1-gw-telekom` (без порта) молча становятся **`invalid`** на этом роутере. Рабочий матч — по **`dst-address=<публичный IP>`** + порт (как NAT-правила).
- Проверять закрытие **с чистого внешнего хоста** (Антошка `pct exec 137`), НЕ с Mac — Mac через NetBird/split-DNS даёт ложные «открыто» (ходит на домашний NPM).
Управление всем (роутер/Proxmox/ПК/серверы MMFB) теперь — **только через NetBird-VPN**.
Reference in New Issue View Git Blame Copy Permalink