[delphiec]

Привет всем, есть роутер Mikrotik hap (не lite). После конфигурирования никаких нареканий не было, спустя неделю обнаружился неизвестный исходящий трафик на внешнем интерфейсе.

 

https://s.mail.ru/2bZmWd3FXD64/img-2016-01-03-13-03-47.png

 

ether1-gateway является WAN портом роутера.

через pppoE происходит подключение к провайеру.

И самое интересное, что весь подозрительный трафик крутится только на WAN.

 

Как на микротике можно отмониторить, что это за траффик?

 

P.S. при этом трафик может доходить до 12 мбит.

Изменено 3 января, 2016 пользователем delphiec

[Барагоз]

DNS relay?

[aytishnikcom]

# Блокируем DNS запросы на внешний интерфейс
add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=WAN protocol=udp
add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp
add chain=input action=drop in-interface=wan protocol=udp dst-port=53

 

Только свой пропиши: in-interface=WAN

[Барагоз]

aytishnikcom, а так ли нужен вообще днс прокси на микротике? У меня, к примеру, в принципе нет своих днс релеев нигде, никаких. Юзерам раздаю днс присоединяющих операторов. Я за то, чтобы вообще отключить. При условии нормального аплинка - если у вас не спутник и не EDGE.

[delphiec]

# Блокируем DNS запросы на внешний интерфейс

add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=WAN protocol=udp

add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp

add chain=input action=drop in-interface=wan protocol=udp dst-port=53

 

 

Только свой пропиши: in-interface=WAN

Спасибо, помогло, единственный момент, достаточно одного правила для протокола UDP и стоит его поднять вверх.

Изменено 4 января, 2016 пользователем delphiec

[DRiVen]

delphiec, в большинстве случаев достаточно четырех правил, перекрывающих все явно не разрешенные соединения:

/ip firewall filter
add action=drop chain=input connection-state=invalid,new in-interface=WAN
add action=drop chain=forward connection-state=invalid
add chain=input connection-state=established,related
add chain=forward connection-state=established,related

[aytishnikcom]

Да желательно добавить правила как советует (даже обязательно!) DRiVen.

 

Вот примерный такой полный конфиг с описанием и в какой последовательности:

 

/ip firewall filter

# Блокируем всех из чёрного списка
add action=drop chain=input comment="Drop blocklist" dst-address-list=blocklist
add action=drop chain=forward comment="Drop blocklist" dst-address-list=blocklist

# Фильтруем полезный ICMP
add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="ICMP echo reply"
add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="ICMP net unreachable"
add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="ICMP host unreachable"
add chain=icmp protocol=icmp icmp-options=3:4 action=accept comment="ICMP host unreachable fragmentation required"
add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="ICMP allow source quench"
add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="ICMP allow echo request"
add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="ICMP allow time exceed"
add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="ICMP allow parameter bad"
add chain=icmp action=drop comment="ICMP deny all other types"

# Блокируем Bogon
add action=drop chain=forward comment="Block Bogon IP Address" src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3

# Блокируем DNS запросы на внешний интерфейс
add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=WAN protocol=udp
add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp
add chain=input action=drop in-interface=wan protocol=udp dst-port=53


# Защита от брутфорса SSH
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
   protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
   address-list-timeout=3d chain=input connection-state=new dst-port=22 \
   protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout= \
   30m chain=input connection-state=new dst-port=22 protocol=tcp \
   src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout= \
   30m chain=input connection-state=new dst-port=22 protocol=tcp \
   src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout= \
   30m chain=input connection-state=new dst-port=22 protocol=tcp

# Защита от сканера портов
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="Port scanners to list" disabled=no
# Комбинации TCP флагов, указывающих на использование сканера портов
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="NMAP NULL scan"
# Запрет подключений сканеров портов
add chain=input src-address-list=port_scanners action=drop comment="dropping port scanners" disabled=no
add chain=forward src-address-list=port_scanners action=drop comment="dropping port scanners" disabled=no

# Разрешаем уже установленные подключения и связанные
add chain=input connection-state=established action=accept comment="Allow Established connections"
add chain=input connection-state=related action=accept comment="Allow Related connections"

# Разрешаем внешние подключения для собственных нужд
add action=accept chain=input dst-port=22 in-interface=WAN protocol=tcp comment="Allow SSH"
add action=accept chain=input dst-port=80 in-interface=WAN protocol=tcp comment="Allow HTTP"
add action=accept chain=input dst-port=161 in-interface=WAN protocol=udp comment="Allow SNMP"
add action=accept chain=input dst-port=443 in-interface=WAN protocol=tcp comment="Allow HTTPS"
add action=accept chain=input dst-port=1194 in-interface=WAN protocol=tcp comment="Allow OpenVPN"
add action=accept chain=input dst-port=1194 in-interface=WAN protocol=udp
add chain=input comment="Allow L2TP" dst-port=1701 in-interface=WAN protocol=tcp
add chain=input comment="Allow L2TP" dst-port=1701 in-interface=WAN protocol=udp
add chain=input comment="Allow PPTP" dst-port=1723 in-interface=WAN protocol=tcp
add chain=input comment="Allow GRE" in-interface=WAN protocol=gre

# Запрет всех входящих на маршрутизатор
add chain=input in-interface=WAN action=drop comment="Drop everything else"

# Разрешаем уже установленные подключения и связанные
add chain=forward connection-state=established action=accept comment="Allow Established connections"
add chain=forward connection-state=related action=accept comment="Allow Related connections"

# Запрет транзита '''битых''' и '''неправильных''' пакетов
add chain=forward connection-state=invalid action=drop comment="Drop Invalid connections"

# Заперт установки новых транзитных входящих соединений на WAN порту
add action=drop chain=forward comment="Drop new forward WAN" connection-state=new in-interface=WAN

Изменено 5 января, 2016 пользователем aytishnikcom

[Saab95]

Вот примерный такой полный конфиг с описанием и в какой последовательности:

 

И что после этого станет с микротиком? Указанные правила требуют включения CT, что поест ресурсы.

Обычно достаточно отключить все не нужные порты со службами, изменить нужным службам номера портов, что бы нельзя было с ходу определить кто на каком порту сидит, поставить в настройках админов IP адреса или подсети, с которых можно подключаться. Если нужен свой локальный ДНС сервер, достаточно установить еще микротик и подключить через серый IP, тогда на его ДНС никто извне не попадет.

 

Например если у вас много микротиков подключенных через интернет, то устанавливаете адрес админа = серому адресу, который доступен через подключение по туннелю в центр, тогда никто извне не сможет ни пароль подобрать, ни что-то плохое сделать кроме флуда.

[aytishnikcom]

А что станет с вами, если вы поедите все новогодние ресурсы? Обычно достаточно просто пить в новый год,

меняя рюмки и бакалы, чтоб нельзя было с ходу определить что вы пьете, больше закусывайте,

чтобы нельзя было с ходу определить кто где на каком стуле сидит,

поставьте на стол еще бутылку... тогда на его ДНС никто извне не попадет..

Изменено 6 января, 2016 пользователем aytishnikcom

[Saab95]

А что станет с вами, если вы поедите все новогодние ресурсы? Обычно достаточно просто пить в новый год,

меняя рюмки и бакалы, чтоб нельзя было с ходу определить что вы пьете, больше закусывайте,

чтобы нельзя было с ходу определить кто где на каком стуле сидит,

поставьте на стол еще бутылку... тогда на его ДНС никто извне не попадет..

 

Это сообщение аналогично представленному выше списку команд=)

 

Еще раз напишу - есть задача по защите роутера и ее можно решить разными средствами. Приведенный вами код слишком большой и нагружает ресурсы оборудования, при этом аналогичные уровни защиты можно получить более простыми методами.

 

Кроме всего есть 3 вида установки устройств:

1. Большое количество роутеров с внешними адресами.

2. Большое количество роутеров с внешними адресами и туннелями в центр.

3. Оборудование сети, в котором администратор находится со стороны локальных адресов.

 

Случаи 2 и 3 вообще решаются просто - закрывается доступ извне, т.к. администратор подключается по серым адресам. Случай 1 требует наличия доступа извне, тут указание фиксированного IP компьютера администратора опасно, если адрес изменится, пропадет доступ на оборудование. Поэтому тут следует применять различные средства защиты. Но применять такие же в пунктах 2 и 3 избыточно.

[Tonchi]

Сегодня обратил внимание, что и у меня Микротик гоняет неизвестный трафик на порту, которым принимает интернет от провайдера (ethernet1 он же WAN порт)

aytishnikcom предоставил правила для Фаервола, чтобы этого неизвестного трафика не было.

Но автор aytishnikcom добавил полный список правил для фаервола.

Подскажите, достаточно только того, что посоветовал aytishnikcom или нет?

Просто на сколько мне известно, чем больше правил, тем больше нагрузка на устройство. Не хотелось бы нагружать его лишним.

Устройство является базовой станцией для Хотспота.

[aytishnikcom]

Можете еще добавить только что советует DRiVen, к этому # Блокируем DNS запросы на внешний интерфейс

 

DRiVen.

Изменено 7 января, 2016 пользователем aytishnikcom

[Constantin]

Сегодня обратил внимание, что и у меня Микротик гоняет неизвестный трафик на порту, которым принимает интернет от провайдера (ethernet1 он же WAN порт)

aytishnikcom предоставил правила для Фаервола, чтобы этого неизвестного трафика не было.

Но автор aytishnikcom добавил полный список правил для фаервола.

Подскажите, достаточно только того, что посоветовал aytishnikcom или нет?

Просто на сколько мне известно, чем больше правил, тем больше нагрузка на устройство. Не хотелось бы нагружать его лишним.

Устройство является базовой станцией для Хотспота.

 

 

вам достаточно посмотреть на кол-во постов у того кто тупо скопипастил с инета набор правил, а спроси он хрен внятно расскажет для чего они нужны, чел просто набивает себе карму....

 

вам же достаточно

послушать и осмыслить что говорит сааб, как не странно Антошка прав и логичен

 

 

по сухому остатку вам просто нужно запретить возможность обращения на ваш днс сервер из внешней сети что было уже выше сказано

и так же отключить не нужные службы......

 

все 99,9% трафика паразитного вы уберете, остальной бред это просто лишняя параноя.

 

ну если уж о паранои как то видел на просторах скрипт для МТ где автор с помощью пинга на свое устройство вводил трехзначный код по которому его адрес вносился в разрешенный список, а по умолчанию у него на извне было одно правило дроп на input.

[adsl]

Я в шоке! Добавил всего лишь одно правило (add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=WAN protocol=udp ). Паразитный трафик исчез, через несколько дней, для интереса, зашёл посмотреть загрузку процессора Hap и был сильно удивлён картинкой. Пользователи сразу отметили, исчезновения фризов и задержек в онлайн играх и вообще возросшую скорость открытия страниц.

PS Объясните пожалуйста доходчиво, откуда этот трафик берётся?

[Tonchi]

PS Объясните пожалуйста доходчиво, откуда этот трафик берётся?

ответ)

возможность обращения на ваш днс сервер из внешней сети

 

add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=WAN protocol=udp

Результатом доволен, добавил одно правило и неизвестный трафик пропал.

Все таки добавил еще второе правило

add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp

а третье аналогичное первому, или нет?

Изменено 8 января, 2016 пользователем Tonchi

[TTvs]

Я в шоке! Добавил всего лишь одно правило (add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=WAN protocol=udp ). Паразитный трафик исчез, через несколько дней, для интереса, зашёл посмотреть загрузку процессора Hap и был сильно удивлён картинкой. Пользователи сразу отметили, исчезновения фризов и задержек в онлайн играх и вообще возросшую скорость открытия страниц.

PS Объясните пожалуйста доходчиво, откуда этот трафик берётся?

Недавно обсуждали.

Слушайте, вы форум читаете? Поиском пользуетесь?

 

 

[dronis3]

Я в шоке! Добавил всего лишь одно правило (add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=WAN protocol=udp ). Паразитный трафик исчез, через несколько дней, для интереса, зашёл посмотреть загрузку процессора Hap и был сильно удивлён картинкой. Пользователи сразу отметили, исчезновения фризов и задержек в онлайн играх и вообще возросшую скорость открытия страниц.

PS Объясните пожалуйста доходчиво, откуда этот трафик берётся?

А скажите такую вещь, у вас в правиле счетчик трафика на запрет 53 порта в байтах и пакетах повышается или на нуле висит ? Просто я сколько этих правил на микротиках не создавал, всегда счетчик на нуле, правда и проблемы с трафиком не было как у вас.

Изменено 8 января, 2016 пользователем dronis3

[adsl]

Правило работает.

У меня белый статический IP, интересно как проявляется на серых и находящихся за NAT`ом провайдера айпишниках?

Изменено 8 января, 2016 пользователем adsl

[dronis3]

Правило работает.

У меня белый статический IP, интересно как проявляется на серых и находящихся за NAT`ом провайдера айпишниках?

 

 

 

А по мимо блокировки до этого у вас были стандартные правила? Смотрю просто там их 2 шт. А вот у меня не разу правило не сработало.

Изменено 8 января, 2016 пользователем dronis3

[kosmich7]

Объясните пожалуйста доходчиво, откуда этот трафик берётся?

Из интернета.

 

ам же достаточно

послушать и осмыслить что говорит сааб, как не странно Антошка прав и логичен

В этом случае да.

[DRiVen]

как проявляется на серых и находящихся за NAT`ом провайдера айпишниках?

Да никак, как может сработать входное правило, если входные от публички уже вышележащим NATом закрыты?

[АКанев]

delphiec, в большинстве случаев достаточно четырех правил, перекрывающих все явно не разрешенные соединения:

/ip firewall filter
add action=drop chain=input connection-state=invalid,new in-interface=WAN
add action=drop chain=forward connection-state=invalid
add chain=input connection-state=established,related
add chain=forward connection-state=established,related

 

Здравствуйте, подскажите пожалуйста почему так много drop'ов при выполнении первого правила, а именно

add action=drop chain=input connection-state=invalid,new in-interface=WAN

 

В логе присутствуют в основном АйПи к которым коннектится Торрент-Клиент.

Но в работе клиента ощутимых изменений не заметно. Скачивает и раздают с прежней скоростью...

 

Спасибо.

 

Дополнение.

Нет, всё-таки наверное это правило "режет" раздачи Торрента...

Можено ли это правило отредактировать чтобы этого не происходило?

 

Спасибо.

Изменено 27 февраля, 2016 пользователем АКанев

[DRiVen]

Порт на торрент-клиенте сделайте статическим и для него проброс сделайте

/ip firewall nat add action=dst-nat chain=dstnat dst-port=[порт торрента] in-interface=WAN protocol=tcp\
to-addresses=[ip компа с торрент-клиентом] to-ports=[порт торрента]

[АКанев]

Порт на торрент-клиенте сделайте статическим и для него проброс сделайте

/ip firewall nat add action=dst-nat chain=dstnat dst-port=[порт торрента] in-interface=WAN protocol=tcp\
to-addresses=[ip компа с торрент-клиентом] to-ports=[порт торрента]

Большое спасибо за ответ. Так и сделаю.

Пока ждал ответа пробовал разобраться и модифицировать правило (я чайник)

и если не отмечать "new" тогда, как показалось drop'ов меньше...

Не заню на сколько это критично, поэтому восстановил оригинальное правило:

/ip firewall filter
add action=drop chain=input connection-state=invalid,new in-interface=WAN

Спасибо.

 

P.S. Прошу прощения - скорее всего мой вопрос не по теме "Неизвестный Трафик"...

Изменено 28 февраля, 2016 пользователем АКанев