Непонятный исходящий траф

0

2

Приветствую!

Случайно заметил непонятный исходящий траф на домашнем роутере
http://i.imgur.com/z1aL7Rt.png (стабильно около 7 мегабит на ether1-gateway)

Роутер Microtik RB951G-2HnD

Выяснил что огромное количество айпи лезут ко мне на 53 порт
Когда в файрволе блокирую входящий UDP 53 порт - все приходит в норму и исходящий траф пропадает. Понятное дело ДНС не работает)
Прошивка последняя

Больше всего пакетов принято с 41.181.247.255:4444

Помогите разобраться

Ссылка

←	Вопрост по pptpd

Фильтрующий почтовый сервер

→

DNS Amplification Attacks

У тебя что DNS открыт для wan'a?

snaf ★★★★★
(22.10.15 00:21:14 MSK)
Последнее исправление: snaf 22.10.15 00:22:24 MSK (всего исправлений: 1)

Ответ на: комментарий от snaf 22.10.15 00:21:14 MSK

Похоже что это оно

Да, был открыт
Сейчас закрыл))

Когда в файрволе блокирую входящий UDP 53 порт - все приходит в норму и исходящий траф пропадает. Понятное дело ДНС не работает)

Ошибка была в том, что не добавил фильтрацию по конкретному интерфейсу, а включал по всем портам

Вопрос закрыт, спасибо.

kiotoze ★★★★
(22.10.15 00:30:02 MSK) автор топика

Ответ на: комментарий от kiotoze 22.10.15 00:30:02 MSK

Ошибка была в том, что не добавил фильтрацию по конкретному интерфейсу, а включал по всем портам

включал по всем портам

Это как?

edigaryev ★★★★★
(22.10.15 00:33:36 MSK)

Ответ на: комментарий от edigaryev 22.10.15 00:33:36 MSK

Это Mikrotik , там нельзя указать на каком интерфейсе работать ДНС серверу

pavel38 ★
(22.10.15 00:53:31 MSK)

Ссылка

Ответ на: комментарий от edigaryev 22.10.15 00:33:36 MSK

s/портам/интерфейсам/g

kiotoze ★★★★
(22.10.15 01:18:13 MSK) автор топика

Ссылка

Ответ на: комментарий от kiotoze 22.10.15 00:30:02 MSK

Что-то я рано обрадовался
Траф дальше идет, хз или это была задержка на роутере, даже не знаю как я не увидел что не сработало

http://i.imgur.com/XFZcirB.png
первые 2 правила должны блочить, но не работают
если убрать уточнение для in-interface ether1-gateway, то правило фильтрует, но фильтрует все, что у меня перестает работать ДНС

Кабель провайдера подключен в первый порт роутера. Его я и указываю. Где тут ошибка?

kiotoze ★★★★
(22.10.15 01:21:32 MSK) автор топика

Ответ на: комментарий от kiotoze 22.10.15 01:21:32 MSK

В веб-гуйне отсутствуют все подробности, поэтому нажми слева «New Terminal» и запости сюда вывод ip firewall export.

edigaryev ★★★★★
(22.10.15 01:37:34 MSK)

Ответ на: комментарий от edigaryev 22.10.15 01:37:34 MSK

когда поставил in-interface=opensvit.ua (т.е. подключение PPPoE) тогда начало нормально фильтровать траф и ДНС работает. Но мне все равно не понятно почему не сработало на ether1-gateway. Соединение PPPoЕ идет через этот физический интерфейс.

kiotoze ★★★★
(22.10.15 01:46:45 MSK) автор топика

Ответ на: комментарий от edigaryev 22.10.15 01:37:34 MSK



[admin@MikroTik] > ip firewall export 

# oct/22/2015 01:56:41 by RouterOS 6.32.3

#

/ip firewall filter

add action=drop chain=input dst-port=53 in-interface=opensvit.ua \

    protocol=udp

add action=drop chain=input dst-port=53 in-interface=opensvit.ua \

    protocol=tcp

add action=drop chain=input dst-port=22 protocol=tcp

add chain=input protocol=icmp

add chain=input comment=RELATED,ESTABLISHED connection-state=\

    established,related

add action=drop chain=input in-interface=ether1-WAN

add chain=forward comment=RELATED,ESTABLISHED connection-state=\

    established,related

add action=drop chain=forward comment=INVALID connection-state=\

    invalid

/ip firewall nat

add action=masquerade chain=srcnat comment="default configuration" \

    out-interface=*FFFFFFFF

add action=masquerade chain=srcnat out-interface=opensvit.ua \

    to-addresses=0.0.0.0

[admin@MikroTik] >

kiotoze ★★★★
(22.10.15 01:58:25 MSK) автор топика

Ответ на: комментарий от kiotoze 22.10.15 01:46:45 MSK

Но мне все равно не понятно почему не сработало на ether1-gateway

Потому-что DNS-пакеты проходят через ether1-gateway в инкапсулированном виде.

Но поскольку ты настроил PPPoE, микротик понял, что нужно декапсулировать подобные пакеты и «выплевывать» результат на соответствующий интерфейс (opensvit.ua).

edigaryev ★★★★★
(22.10.15 03:25:09 MSK)

Ответ на: комментарий от kiotoze 22.10.15 01:58:25 MSK

Правила мягко говоря «не айс». Я бы сделал что-то подобное:

/ip firewall filter
add chain=input action=accept connection-state=established,related
add chain=input action=accept protocol=icmp
add chain=input action=accept in-interface=bridge-local
add chain=input action=drop
add chain=forward action=drop connection-state=invalid # NAT leakage fix
add chain=forward action=accept connection-state=established,related
add chain=forward action=accept in-interface=bridge-local out-interface=opensvit.ua
add chain=forward action=drop
/ip firewall nat
add chain=srcnat action=masquerade out-interface=opensvit.ua

Запрещено все, что не разрешено.

bridge-local нужно заменить на правильный интерфейс в зависимости от настроек.

edigaryev ★★★★★
(22.10.15 04:38:16 MSK)

Ссылка

Ответ на: комментарий от edigaryev 22.10.15 03:25:09 MSK

спасибо за информацию и за правила. Сегодня подправлю.
Они конечно же не айс, я и подумать не мог что домашний роутер может быть кому-то нужен)

kiotoze ★★★★
(22.10.15 10:07:16 MSK) автор топика

Ответ на: комментарий от kiotoze 22.10.15 10:07:16 MSK

я и подумать не мог что домашний роутер может быть кому-то нужен

Никто не различает между домашним и не домашним. Если настроишь логгирование пакетов на закрытый 22 порт, то уже через пару минут увидишь долбящихся ботов.

edigaryev ★★★★★
(22.10.15 15:53:47 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Вопрост по pptpd

Admin

Фильтрующий почтовый сервер

→

Похожие темы