Перейти к содержимому
Калькуляторы

Странный исходящий трафик. аномалия.

Коллеги из дружественной конторы озадачили вопросом.

 

В удаленном филиале стоит микротик 750.

держит L2tp vpn до головного офиса.

 

три интерфейса.

ethernet1 - wan

ethernet2 - lan (подключен 1 комп)

l2tp-out - vpn

 

подключаюсь winbox, открываю interface, на вкладке interface наблюдаю примерно такую картину:

 

ethernet1 Tx 9800 kbps

ethernet1 Rx 260 kbps

 

ethernet2 Tx 180 kbps

ethernet2 Rx 230 kbps

 

l2tp-out Tx 210 kbps

l2tp-out Rx 160 kbps

 

это откуда и куда такой исходящий паразитный трафик генерится?

внешний канал всего 10 мбит, паразитный трафик забивает в полку, полезному трафику полосы не остается.

 

как бороться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Закрыть 53/UDP на вход с ВАН-интерфейса?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что Вас смущает в 9800 килобитах/секунду ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что Вас смущает в 9800 килобитах/секунду ?

Я думаю, что если есть на WAN порту 9800 исходящего, значит должно быть 9800 входящего на LAN, а нету.

 

Закрыть 53/UDP на вход с ВАН-интерфейса?

 

весь входящий UDP закрыт. в Firewall у этого правила колоночка "Bytes" "Packets" по нулям 180 bytes 2 packets. оно же сюда пишет пакеты попавшие в правило?

 

 

магия форума. только написал, трафик нормализовался.

но это не показатель, так как такое уже было. день работает (нет паразитного трафика) три лежит (канал в полку).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так torch на внешнем интерфейсе глянуть, все понятно станет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я думаю, что если есть на WAN порту 9800 исходящего, значит должно быть 9800 входящего на LAN, а нету.

Какой-нибудь broadcast трафик поди, который и не должен дальше в сеть идти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я думаю, что если есть на WAN порту 9800 исходящего, значит должно быть 9800 входящего на LAN, а нету.

Какой-нибудь broadcast трафик поди, который и не должен дальше в сеть идти.

что то я не понимаю логики.

 

не на него, входящий, а ОТ микротика исходящий во внешний мир льется трафик и кладет канал в полку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у этого правила

Может у вас выше разрешающее правило есть. Или цепочка forward а не input. Или интерфейс не тот указан.

Просканируйте UDP порты снаружи, очень похоже на амплификацию DNS или NTP, значительная часть недонастроенных микротиков этим страдает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так torch на внешнем интерфейсе глянуть, все понятно станет.

о! Совсем збыл то чего никогда не знал. Спасибо.

Будет всплеск, буду смотреть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просканируйте UDP порты снаружи, очень похоже на амплификацию DNS или NTP, значительная часть недонастроенных микротиков этим страдает.

А что, микротик в правилах firewall Dst Address 0.0.0.0 не понимает "в том числе и пакеты адресованные на WAN IP" ?

Нужно именно его собственный адрес указывать?

Изменено пользователем stas_k

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если Dst-address не указывать, он и будет 0.0.0.0 по умолчанию. В этом случае в правиле лучше просто указать интерфейс.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если Dst-address не указывать, он и будет 0.0.0.0 по умолчанию. В этом случае в правиле лучше просто указать интерфейс.

Логически рассуждая, так должно быть.

Но практически я вижу другую картину.

 

Делаю в winbox три правила, на отлов сканирования telnet.

1) drop, input, src address (пусто), dst address (пусто), 6(tcp), dst port 23, in interface ethernet1-wan.

2) drop, input, src address (пусто), dst address (0.0.0.0), 6(tcp), dst port 23, in interface ethernet1-wan.

3) drop, input, src address (пусто), dst address (172.16.1.1), 6(tcp), dst port 23, in interface ethernet1-wan.

 

по идее счетчик должен увеличиваться у первого правила, стоящего выше (раньше) а фактически увеличивается счетчик последнего.

 

возможно от версии firmware зависит, RouterOS 6.35 ровно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Срабатывает более точное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Срабатывает более точное.

ок.

 

удаляю "более точное правило"

у менее точных правил счетчик = 0. zero. не увеличивается.

 

еще версии?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Делаю в winbox три правила, на отлов сканирования telnet.

посмотрите на них через терминал /ip firewall export

может где-то чего-то лишнее затесалось или винбокс кривенько параметры добавил, было такое с ним в какой-то версии.

Вообще, учитывая что там по идее тот же iptables, должно первое первое отлавливать.

Еще момент: fasttrack/related,setablished выше нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

посмотрите на них через терминал /ip firewall export

завтра попрошу посмотреть. сам сейчас не могу, сам себя забанил удаленный доступ извне для всех закрыл.

 

Еще момент: fasttrack/related,setablished выше нет?

тогда почему третье правило ловит пакеты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. Тип авторизаций от провайдера? Технология подключения?

2. Можете дамп снять с интерфейса? Там будет видно откого и куда.

3. Прокси Арп на интерфейсе выключен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Закрыть 53/UDP на вход с ВАН-интерфейса?

Запретил 53/UDP.

Внимательно изучил firewall убрал лишние разрешающие правила.

 

Ситуация нормализовалась.

 

Спасибо.

 

Теперь будет новый вопрос, по микротику головного офиса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гость
Эта тема закрыта для публикации сообщений.