И да вопрос, что с UPnP делать? Там какой-то Ace Stream стоит. У меня такая прога есть, но я не понял что роутер ей разрешает-то?

>>2421246 (OP)
>в настройках роутера стоит по умолчанию запрет на управление извне
Не все снимают галку с WPS.

>>2421246 (OP)
1.Поставь обновляемый каштом, вроде дд-врт. От производителя что не прошивка, то бекдор.
2.Отключи ВПС.
3.Пароль на вай-фай посложнее. Сгенерируй случайно.
4.Скоро должны сделать WPA 3, попробуй перейти на него.
5.Админка не должна смотреть во внешние интернеты. Если же смотрит, то это SSH с fail2ban.

>>2421263
>дд-врт
Лол, блять. Вместо нормальной прошивки от произволителя, блохастый долбоёб советует дырявое васяноподелие с бесплатным подключением к ботнету.
Необучаемая пидораха/10.

>>2421264
Если это не микротик, то прошивка будет ненормальной и необновляемой.

>>2421274
Чет я постоянно получаю обновления

>>2421285
Год-два пополучаешь и будешь сосать писос.

>>2421274
С 2015 на мой нетгир до сих пор обновления приходят.

>>2421294
Третий год заканчивается, а я все получаю. Не брыкайся.

>>2421263
>5.Админка не должна смотреть во внешние интернеты. Если же смотрит, то это SSH с fail2ban.
Можешь расшифровать, дружище? Какая админка и какие внешние интернеты?

>>2421246 (OP)
Не вижу первого пункта -

>0. Купил Mikrotik.

>>2421282
>взять тот-же tp-link у меня на старую модель прошивка на сайте с 12 года не обновляется.
Маня сидит с дырявым тплинком и всячески маняубеждает себя, что никому не нужен. Спизди бабушкину пенсию и купи таки достойное железо, нищук.

>>2421430
>что никому не нужен
конечно не нужен. если у кого-то приступы паранои, то пусть заглянет под кровать. достаточно разумных мер предосторожности, а вести себя, как оп, можно только, если у тебя дома сверхсекретная лаборатория и к тебе сутками ломятся хакеры
>Спизди бабушкину пенсию и купи таки достойное железо, нищук
а ты смешной

>>2421247
UPnP автоматически порты открывает. Без этой технологии тебе придётся для каждой программы вручную открывать порты. Для обычного сёрфинга не нужно. Порты разве что для сервера или торрентов открывать нужно. Но торренты и с закрытыми портами скачиваются. Можешь отключить UPnP.

>>2421501
Школьник, ты?

Поясните, если есть роутер, то получает что брандмауэр не нужен?

>>2421561
Не нужен, если в роутере есть брандмауер. Но так только на стационарных компьютерах. На ноутбуках нужен.

>>2421561
у меня есть фаервол в роутере, который вкл. галочкой и больше никаких настроек. что он уж там закрывает хз. фаервол нужен хотя бы для контроля приложений на твоей машине

>>2421246 (OP)
Алсо подскажите что делать чтобы устройства подключаемые к роутеру через вайфай - выходили в сеть через прокси/впн, а сам комп - напрямую. На Зухелях такое возможно или следует брать Микротик?

>>2421568
Можешь скрин кинуть?

>>2421430
>Mikrotik
>>2421604
>Микротик

Что за форс, посоны? Глянул сайты и вот этот ваш Микротик выглядит оверпрайснутым говном типа айфона, который берут люди, свято верящие в то что можно возвыситься на другими путем покупки оверпрайснутой техники.

>>2421726
>Микротик выглядит оверпрайснутым говном типа айфона
Так оно и есть.
На деле, говно говном. Хотя раньше были достойными, но с тех пор уже много лет прошло.

Раз уж такой тред, то спрошу вопрос.

Какие подводные от использования WLAN без пароля и какой-либо защиты? Ну кроме того, что мой трафик меж роутером и устройством может читать любой васян, а также того, что кто угодно может моими интернетами пользоваться.

>>2421756
Васян скачает или разместит запрещённый контент, используя твою точку, а отбывать наказание поедешь ты.

>>2421756
Каким образом Васян будет читать? Он сможет расшифровать пакеты? Да и нужно ли это ему? Васяну бы пивко, футбол да тёлочки.

>>2421604
Тебе нужен любой роутер, способный держать vpn туннель и делать маршрутизацию. Любой из покупных недорогих роутеров обосрется на первом этапе (если конечно скорость до десяти мегабит тебя не устроит).
Я бы посоветовал ОС pfsense, но ей нужен полноценный компьютер для работы.

Можно ли прошить роутер на ip например польские? Или VPN задать изначально в роутере?

>>2421963
Скачиваешь прошивку для другой страны. Нет, я троллю.

>>2421566
> Но так только на стационарных компьютерах. На ноутбуках нужен.
В чём разница?

>>2421972
Ноутбук переносной. Роутер не будешь же с собой таскать. В новой сети фаервол может быть не включен.

>>2421975
Тогда точнее будет сказать «если в роутере есть брандмауэр, и компьютер не подключается к другим сетям, то файрволл не нужен». Потому что я, например, ноутбук таскаю исключительно в пределах своего жилища.

В любом случае, в Windows есть умная фича — разные настройки файрволла для доверенных и остальных сетей, вплоть до включения/выключения.

>>2421989
> Нужен, так как надо контролировать приложения и мониторить трафик от них.

Мало кто этим заморачивается.

Я вот, например, закрыл вендовым файрволлом доступ как для входящего, так и для исходящего трафика. Нужно разрешить какому-то приложению доступ — сам разрешаю.

Но многие считают приемлемым, когда любое говно может соединяться с их компа с чем угодно и передавать что угодно.

>>2421999
>виндовым фаерволом
Наивный чукотский паренёк. :)

>>2422017
Что не так с вендовым файрволлом?

>>2422030
Решето :)

Бывает, часто сканю себе за пару часиков анус-роутеры с уязвимостью с какой-нибудь Гейропы и поднимаю на них VPN.

>>2422115
Валдис и ленка это один и тот же анон в XMPP чатах?

>>2421246 (OP)
уже был пост, про то, чтобы закрыть вещание SSID?

>>2423313
а смысл и от чего это тебя обезопасит? имя очень быстро можно узнать

>>2423321
я предполагаю что ОП
1) боится сам не знает чего
2) он живет в человейнике

убрать вещание ssid - как минимум показать потенциальному взломщику, что делать тут нечего и вообще люди умные сидят обычные юзеры про это не знают - они более легкие жертвы

>>2421989
>На роутере не заблокируешь троян или определённое приложение
Ставим прокси сервер с авторизацией на роутере. Всем кто не проходит авторизацию и все что не через прокси сервер отрубаем иптаблес. Авторизацию настраиваем для белых приложений. Троян заблокирован. Как и система.

>>2423331
>убрать вещание ssid
И убить батарею на опрашивании это раз.
Два, нормальные юзеры мониторят сеть не Windows или wifi-манагере из коробки, нет, и там отключай не отключай сеть твоя будет видна.

Говорю это как человек "работающий с wifi" никто не смотрит сети, сразу грузимся в ПО и там уже начинаем работать по каналам.

>>2423386
Хороший вариант кстати. Но...
1. Не спиздит ли троян логин/пароль у белого приложения, никогда такого не встречал, но всё же.
2. Не все белые приложения могут в прокси. Проксификатор частично решает проблему, но это костыль и иногда работает криво.
3. Как быть с другими протоколами, UDP и прочие IGMP?
4. Входящие соединения: троян может грохнуть белое приложение и встать на его порт. Такое встречал, кстати, троян грохал ftp-сервер и настраивал rdp на 21-м порту.
5. Ну и мониторить всё равно надо то, что ломится в сеть, в любом случае.

>>2423403
Обязательно спиздит. Один троян таким уже десять лет занимается, спизживая без спросу настройки прокси у браузеров.
http://web.archive.org/web/20071203013602/http://forum.skype.com/index.php?showtopic=95261
Так только школохакеров обманешь.
Правильный ответ про трояны и потенциально опасные приложения: не допускать на свой ПК трояны и потенциально опасные приложения.

>>2423403
>>2423408
>Не спиздит ли троян логин/пароль у белого приложения
А способы авторизации приложения уже в прокси могут быть не только через связку пас/логин. Можно выдавать лимит, в моем случае в сеть ходить только браузер. Тут уже трояну нужно и пид подменять и еще много чего. Ну, тем более в моем случае даже (что очень маловероятно) такое произойдет, ничего все равно не выйдет, ниже пишу почему.
Для меня ситуация когда на ПК оказывается прямо вредонос уже не приемлема. Если так случилось то все что к машине подключено уже скомпрометировано. Я скорее про следящие программы, сливающие данные на свои сервера. Вот их обычно мониторят и банят файрволом (системным или прикладным), но к нему - то тоже доверия быть не должно, вот как раз тут на помошь приходит эта схема. У меня все это крутится через малину, на ней сразу и впн/I2P можно поднять и прочие радости (вот, не выйдет так как стоит белый лист сайтов, а если куда - то надо выползти за его пределы, то добавление в него на время сессии с подтверждением через физическую кнопку на малине.) настроить, а вот она уже подключается к домашнему роутеру.

>>2423427
Можно еще в deep analiz трафика углубиться, но это уже совсем для поехавших.

>>2423428
Согласен, сложно, глючно и сильно нагружать проц роутера будет, поставить фаиры на компы проще. Ещё и не каждый роутер поддерживает такое.

>>2421246 (OP)
Уже было, но всё равно. Купить Mikrotik или накатить LEDE. И научиться пользоваться ими, начать лучше понимать, как работают сети, элементарно практикуясь и настраивая эти ОС. Дальнейшие вопросы о безопасности отпадут сами.
Первые, Mikrotik-и, имеют качественное железо и хорошую ОС, во многих случаях имеют даже switch-чип.
Hex или Hex Lite — самые казуальный варианты. Гигабитный, 5 портов.
На первом: 256MB оперативки, можно запихнуть на него VPN, если захочется; хардварное шифрование имеется, на случай, если будет нужен IPSec. На втором, Hex Lite этого скорее всего не будет, так как мощностей там меньше. При всём этом, вне зависимости от устройства, RouterOS везде одинаковый, полноценный, как проф. оборудовании.

> В DHCP ввел адрес типа 100.100.1.1-100.100.1.3 что позволяет роутеру выдавать не более 4х IP (у меня как раз 4 устройства).
Не вижу в этом смысла. У тебя, как ты говоришь, и так ограничение по MAC-ам. Верни обратно DHCP на всю подсеть. Всё равно ведь появится пятое устройство и у тебя начнёт проявляться геморрой.

> Алсо хочу спросить как люди попадают в RouterScan? Что не так они делают? Если не ошибаюсь, то в настройках роутера стоит по умолчанию запрет на управление извне, но на их роутеры можно заходить и делать че хочешь с ними. И даже наностанции за 7 тысяч рублей открытые, заходи меняй что хочешь. Как они так умудряются? Что с ними не так?
Кривые правила firewall-а, либо они вообще отсутсвуют. Что же еще? Чтобы убедиться, что всё хорошо, надо как-минимум прогонять nmap-ом свой IP из внешней сети. Один раз видел такое, что входящий не в NAT трафик на роутере блокируется не на уровне ОС, а на прикладном. Это полнейший пиздец, я считаю. Web интерфейс, получается, смотрит наружу и самостоятельно фильтрует входящие из подсети соединения. Не помню, что там за железо было.

>>2423981
ой нахуй.Модератор удоли! Скрин нечаянно приклеился, я его неприклеивал сюда, СУКААААА

>>2423982
щас по ip будм бить морду

>>2423755 Какой впн на микротике? Они уже лет 7 не могут починить openvpn udp/lzo уж не говоря о совместимости с v2.4. Сторонний софт вроде ss/wg не загрузить, однопоточный мипс вместо процессора.
У них только одна железка хороша - свитч на 24порта и то только из-за цены в 9к. Все остальное застряло в прошлом.
>или накатить LEDE
Или lede или uqbt.

>>2424032
>однопоточный
Я не просто так именно Hex указал.
Про то, что с OpenVPN у него хуёво, не знал. Настраивал IPsec, когда игрался с RouterOS. Всё работало, на удивление.

>>2424041
>Настраивал IPsec
Подключение по доменному имени работало?

>>2424051
Не пробовал.

Аналитики неплохие тут сидят