MDP

Тем, у кого серые IP наверное не актуально использовать данную программу.

Аналогично ))))

Хотелось бы перманентно блокировать...а тут до перезагрузки, или только на некоторый временной интервал.

...ещё бы сюда какую нибудь финтифлюшку приделать для защиты от брутфорсинга )))) ...вообще была бы "бомба". я осознаю , что без анализа логов на предмет авторизации отдельных служб такого не сделать...да и есть отдельные приложения типа fail2ban...

Так...очень интересно, а реализовать сохранение в какой нибудь файл с некой периодичностью, а после перезагрузки формировать ipset из файла обратно реализуемо?

Список заблокированных хостов и подсетей хранится в ОЗУ ? Или на флешке?

Интересный момент...у меня M6500W, но подключен к kn-1713 ...вроде как работает.

Ну и загоните их принудительно в 2.4. ... зачем отдельный сегмент?

А эти принтеры вообще умеют 5 ГГц ?

Для уточнения и просветления... ip access-group <--> in ip access-group <--> out справедливо для любого интерфейса же? Лично мне интересно использовать на текущий момент не в конструкции взаимодействия WAN-LAN. А надо внутри между VLAN. Оно думаю будет работать? Мне для начала надо добавить на всех VLAN в интерфейсах ip access-group VLAN3 out ip access-group VLAN10 out .... и т.д. Далее создаём правила в access-list VLAN3 auto-delete access-list VLAN10 auto-delete ...и тд.. Чтобы ничего не прервалось на этапе создания. в access-list каждого VLAN надо добавить последним правилом deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 А потом выше этого правила то, что разрешается на вход для этого интерфейса... Например: permit ip 192.168.10.133 255.255.255.255 192.168.3.18 255.255.255.255 Разрешаем всё входящее от 192.168.3.18 на 192.168.10.133 Соответственно на правиле in другого vlan пишем всё наоборот? Теперь мне надо например запретить моментально обращаться с хоста 192.168.3.18 на 192.168.10.133 по порту 443 Мне достаточно добавить deny tcp 192.168.10.133 255.255.255.255 192.168.3.18 255.255.255.255 port eq 443 ??? И всё...сразу всё прервётся и наступит "справедливость"?

А вот на мобильных клиентах могут использоваться свои dns ... попробуйте в МСЭ запретить клиентам обращаться по 53 порту наружу....

Даже в 2 раза можно уменьшить

А смысл есть городить mesh ? Просто EoIP через провайдера сделать...и всё...зачем mesh?

Было тоже самое примерно 2 недели назад....но я поставил на облако двухфакторную авторизацию, поэтому думал из-за этого пришлось перезаходить в УЗ.

ладно покажите вывод команды show mws member

На некоторые сервисы есть защита от брутфорса ...они настраиваются https://help.keenetic.com/hc/ru/articles/115000400185-Функция-защиты-от-перебора-паролей-для-доступа-к-интернет-центру

А вообще ТД в mesh сети корректно добавлена? ...версия у ТД ? Сейчас можно по моему из WEB контроллера прям настроить порт у ТД ?

И какой шлюз в каждом сегменте будет для выхода в интернет? Для домашнего сегмента понятно 192.168.1.1 ... а для других? ip static Bridge0 PPPoE ip static Bridge1 PPPoE ip static Bridge3 PPPoE наверное ещё надо добавить. PPPoE заменить на своё надо.

Фигово... если явное запрещающее правило (новенькое) и не работает. @Le ecureuil а может имеет смысл сделать команду в CLI ... типа clear ip connections ... и в веб кнопку вывести?

А какая версия прошивки то?

Проведите эксперимент как советует @Le ecureuil ... сами всё поймёте. Можно просто диск подключить даже к телефонному заряднику...он через некоторое время уснёт. А какой у вас диск?

Сам диск это должен уметь...а точно его никто не "тыркает" ? Что значит иногда под торрент?

ну это всё мелкие нюансы...откуда мы знаем, кто как и где мог оставить свои реквизиты для подключения? ...вот мне сегодня позвонил из страховой чел, и начал на КАСКО разводить....откуда он знает мой телефон авто и как меня зовут? Я сразу трубку положил, считай сбросил сессию..))) Всё-же правильно и архинужно и архиважно ,чтобы правила работали мгновенно!!! ...тем более запрещающие.

...ну не всё...может ещё только в процессе )))) Самое паскудное то, что пока "злоумышленник" сессию держит (ну какой нибудь TCPping запустил) , то эта "дырень" будет всегда открыта?

Почему не поможет? Как раз поможет... У меня ещё эксперимент... @Bolt А если правило запрещающее именно создать новое! ...а не переделывать из разрешающего в запрещающее?