MDP

...ещё бы сюда какую нибудь финтифлюшку приделать для защиты от брутфорсинга )))) ...вообще была бы "бомба". я осознаю , что без анализа логов на предмет авторизации отдельных служб такого не сделать...да и есть отдельные приложения типа fail2ban...

Так...очень интересно, а реализовать сохранение в какой нибудь файл с некой периодичностью, а после перезагрузки формировать ipset из файла обратно реализуемо?

Список заблокированных хостов и подсетей хранится в ОЗУ ? Или на флешке?

Интересный момент...у меня M6500W, но подключен к kn-1713 ...вроде как работает.

Ну и загоните их принудительно в 2.4. ... зачем отдельный сегмент?

А эти принтеры вообще умеют 5 ГГц ?

Для уточнения и просветления... ip access-group <--> in ip access-group <--> out справедливо для любого интерфейса же? Лично мне интересно использовать на текущий момент не в конструкции взаимодействия WAN-LAN. А надо внутри между VLAN. Оно думаю будет работать? Мне для начала надо добавить на всех VLAN в интерфейсах ip access-group VLAN3 out ip access-group VLAN10 out .... и т.д. Далее создаём правила в access-list VLAN3 auto-delete access-list VLAN10 auto-delete ...и тд.. Чтобы ничего не прервалось на этапе создания. в access-list каждого VLAN надо добавить последним правилом deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 А потом выше этого правила то, что разрешается на вход для этого интерфейса... Например: permit ip 192.168.10.133 255.255.255.255 192.168.3.18 255.255.255.255 Разрешаем всё входящее от 192.168.3.18 на 192.168.10.133 Соответственно на правиле in другого vlan пишем всё наоборот? Теперь мне надо например запретить моментально обращаться с хоста 192.168.3.18 на 192.168.10.133 по порту 443 Мне достаточно добавить deny tcp 192.168.10.133 255.255.255.255 192.168.3.18 255.255.255.255 port eq 443 ??? И всё...сразу всё прервётся и наступит "справедливость"?

А вот на мобильных клиентах могут использоваться свои dns ... попробуйте в МСЭ запретить клиентам обращаться по 53 порту наружу....

Даже в 2 раза можно уменьшить

А смысл есть городить mesh ? Просто EoIP через провайдера сделать...и всё...зачем mesh?

Было тоже самое примерно 2 недели назад....но я поставил на облако двухфакторную авторизацию, поэтому думал из-за этого пришлось перезаходить в УЗ.

ладно покажите вывод команды show mws member

На некоторые сервисы есть защита от брутфорса ...они настраиваются https://help.keenetic.com/hc/ru/articles/115000400185-Функция-защиты-от-перебора-паролей-для-доступа-к-интернет-центру

А вообще ТД в mesh сети корректно добавлена? ...версия у ТД ? Сейчас можно по моему из WEB контроллера прям настроить порт у ТД ?

И какой шлюз в каждом сегменте будет для выхода в интернет? Для домашнего сегмента понятно 192.168.1.1 ... а для других? ip static Bridge0 PPPoE ip static Bridge1 PPPoE ip static Bridge3 PPPoE наверное ещё надо добавить. PPPoE заменить на своё надо.

Фигово... если явное запрещающее правило (новенькое) и не работает. @Le ecureuil а может имеет смысл сделать команду в CLI ... типа clear ip connections ... и в веб кнопку вывести?

А какая версия прошивки то?

Проведите эксперимент как советует @Le ecureuil ... сами всё поймёте. Можно просто диск подключить даже к телефонному заряднику...он через некоторое время уснёт. А какой у вас диск?

Сам диск это должен уметь...а точно его никто не "тыркает" ? Что значит иногда под торрент?

ну это всё мелкие нюансы...откуда мы знаем, кто как и где мог оставить свои реквизиты для подключения? ...вот мне сегодня позвонил из страховой чел, и начал на КАСКО разводить....откуда он знает мой телефон авто и как меня зовут? Я сразу трубку положил, считай сбросил сессию..))) Всё-же правильно и архинужно и архиважно ,чтобы правила работали мгновенно!!! ...тем более запрещающие.

...ну не всё...может ещё только в процессе )))) Самое паскудное то, что пока "злоумышленник" сессию держит (ну какой нибудь TCPping запустил) , то эта "дырень" будет всегда открыта?

Почему не поможет? Как раз поможет... У меня ещё эксперимент... @Bolt А если правило запрещающее именно создать новое! ...а не переделывать из разрешающего в запрещающее?

Я считаю опционально сброс соединений должен быть при добавлении/удалении/изменении любого правила в МСЭ.

Ну так..видишь, что у тебя дитё порносайт смотрит, а поделать ничего не можешь )))) ...это плохо

А если явно запрещающее правило поставить? ...в качестве эксперимента...