здесь описывается стук по портам
пинг с размером пакетов не разжевано и cli не совсем правильно
https://mikrotik-training.ru/kb/port-knocking-v-mikrotik-firewall-filter/
здесь правильный cli для ping
но нет правила запрещающего доступ к порту
https://netflow.by/blog/net/4752-port-knocking-s-ispolzovaniem-icmp-na-mikrotik

настроил
теперь winbox закрыта
Honeypot
Knocking по ping с определенным размером пакета
защита от бутфорса
защита PSD

я теперь неуловимый джо
надо еще для RDP настроить

настроил кнокинг для RDP

Пора переходить к VPN серверу
для начала L2TP+IPSEC

чтото не выходит каменный цветок
всё настроил по мануалам
соединение поднимается
роутер видит
что за роутером хуй
и трафик в туннель не заворачивает
маршруты вроде ок
грешу на IP6 МТС - пробовал подключатся с мобилы

настроил через QuickSet
все тоже самое - какойто глюк микротика
попробую откатить прошивку под 7.7 точно работает

поломали L2TP сервер в 7.9 - откатился на 7.8 всё ок

цель именно в еботне - практической ценности телодвижения пока не имеют

настроил VPN L2TP+IPSEC
защитил порты 500,4500,1701 кнокингом
надо бы еще подумать как honeypot на порты натравить

сделал honeypot если впн пытается подключится в обход кнокинга
сразу же попалось два адреса

в цепочке input долбятся в порты
add action=add-src-to-address-list address-list=Honeypot address-list-timeout=4w2d chain=\
input comment="block honeypot" connection-state=new dst-port=500,4500,1701 in-interface=\
ether1 protocol=udp src-address-list=!KNOCK-ACCEPT

пытаются подключится к udp портам 500,4500,1701

протокол udp порты VPN L2TP-IPSEC
улов за последние 10 минут

еще накапало

пытается сканировать порт , получает отлуп и помещается в черный список

с того что в input роутера появляется попытка подключится к порту L2TP
сканеров портов дохуища - погугли
можно конечно пособирать логи для более детальной инфы
(например по RDP и winbox идет попытка установить сессию и авторизоваться с логином admin)
но мне не досуг ловить хакеров - идут сразу в бан на 30 суток
единственный недостаток , что черный список пишется во флэш память роутера уменьшая ее ресурс
который рассчитан на ограниченное количество перезаписей
хотя тут обновление прошивки фору даст
как закончу с экспериментами и перезагружать роутер отпадет необходимость
переделаю на динамик чтобы список хранился в оперативке
ее у меня целый гиг

у меня роутер на UPS висит

ты токсичный идиот
заходишь сюда https://hidemy.name/ru/port-scanner/
указываешь свой порт и вуаля - сканирование порта

у меня открывает - тебе интернетов не завезли

пора разбираться с USB
на вскидку возможностей немного
ftp и samba для флэшки и модем
было бы полезным хранить на флэшке адреслист, но этого судя по всему нет.

еще можно UPS подключить
надо только шнур найти
он у APC особенный со стороны UPS сетевой 8P

цоколёвка кабеля APC
https://kvvhost.ru/2018/04/20/ups-apc-back-ups-es-525-pinout-data-cable/
всё еще хуже - разъем RJ50 под RJ45 придется лезть с паяльником

взял кабель у китайцев за 833р
родные кабеля по какимто безумным ценам

на RJ-45 надо с паяльником лезть в UPS
RJ-50 пиздец редкие нашел только на яндексе 500р за 10шт и не понятно как обжимать
проще без гемора купить готовый кабель

в чип и дипе есть RJ50 поштучноза 33р
но туда надо тащится платить 99р за доставку двух коннекторов не комильфо