stas_k Posted October 26, 2016 Posted October 26, 2016 Коллеги из дружественной конторы озадачили вопросом. В удаленном филиале стоит микротик 750. держит L2tp vpn до головного офиса. три интерфейса. ethernet1 - wan ethernet2 - lan (подключен 1 комп) l2tp-out - vpn подключаюсь winbox, открываю interface, на вкладке interface наблюдаю примерно такую картину: ethernet1 Tx 9800 kbps ethernet1 Rx 260 kbps ethernet2 Tx 180 kbps ethernet2 Rx 230 kbps l2tp-out Tx 210 kbps l2tp-out Rx 160 kbps это откуда и куда такой исходящий паразитный трафик генерится? внешний канал всего 10 мбит, паразитный трафик забивает в полку, полезному трафику полосы не остается. как бороться?
DobroFenix Posted October 26, 2016 Posted October 26, 2016 Что Вас смущает в 9800 килобитах/секунду ?
stas_k Posted October 26, 2016 Author Posted October 26, 2016 Что Вас смущает в 9800 килобитах/секунду ? Я думаю, что если есть на WAN порту 9800 исходящего, значит должно быть 9800 входящего на LAN, а нету. Закрыть 53/UDP на вход с ВАН-интерфейса? весь входящий UDP закрыт. в Firewall у этого правила колоночка "Bytes" "Packets" по нулям 180 bytes 2 packets. оно же сюда пишет пакеты попавшие в правило? магия форума. только написал, трафик нормализовался. но это не показатель, так как такое уже было. день работает (нет паразитного трафика) три лежит (канал в полку).
viver Posted October 26, 2016 Posted October 26, 2016 Так torch на внешнем интерфейсе глянуть, все понятно станет.
DobroFenix Posted October 26, 2016 Posted October 26, 2016 Я думаю, что если есть на WAN порту 9800 исходящего, значит должно быть 9800 входящего на LAN, а нету. Какой-нибудь broadcast трафик поди, который и не должен дальше в сеть идти.
stas_k Posted October 26, 2016 Author Posted October 26, 2016 Я думаю, что если есть на WAN порту 9800 исходящего, значит должно быть 9800 входящего на LAN, а нету. Какой-нибудь broadcast трафик поди, который и не должен дальше в сеть идти. что то я не понимаю логики. не на него, входящий, а ОТ микротика исходящий во внешний мир льется трафик и кладет канал в полку.
Mystray Posted October 26, 2016 Posted October 26, 2016 у этого правила Может у вас выше разрешающее правило есть. Или цепочка forward а не input. Или интерфейс не тот указан. Просканируйте UDP порты снаружи, очень похоже на амплификацию DNS или NTP, значительная часть недонастроенных микротиков этим страдает.
stas_k Posted October 26, 2016 Author Posted October 26, 2016 Так torch на внешнем интерфейсе глянуть, все понятно станет. о! Совсем збыл то чего никогда не знал. Спасибо. Будет всплеск, буду смотреть.
stas_k Posted October 26, 2016 Author Posted October 26, 2016 (edited) Просканируйте UDP порты снаружи, очень похоже на амплификацию DNS или NTP, значительная часть недонастроенных микротиков этим страдает. А что, микротик в правилах firewall Dst Address 0.0.0.0 не понимает "в том числе и пакеты адресованные на WAN IP" ? Нужно именно его собственный адрес указывать? Edited October 26, 2016 by stas_k
DRiVen Posted October 26, 2016 Posted October 26, 2016 Если Dst-address не указывать, он и будет 0.0.0.0 по умолчанию. В этом случае в правиле лучше просто указать интерфейс.
stas_k Posted October 26, 2016 Author Posted October 26, 2016 Если Dst-address не указывать, он и будет 0.0.0.0 по умолчанию. В этом случае в правиле лучше просто указать интерфейс. Логически рассуждая, так должно быть. Но практически я вижу другую картину. Делаю в winbox три правила, на отлов сканирования telnet. 1) drop, input, src address (пусто), dst address (пусто), 6(tcp), dst port 23, in interface ethernet1-wan. 2) drop, input, src address (пусто), dst address (0.0.0.0), 6(tcp), dst port 23, in interface ethernet1-wan. 3) drop, input, src address (пусто), dst address (172.16.1.1), 6(tcp), dst port 23, in interface ethernet1-wan. по идее счетчик должен увеличиваться у первого правила, стоящего выше (раньше) а фактически увеличивается счетчик последнего. возможно от версии firmware зависит, RouterOS 6.35 ровно.
stas_k Posted October 26, 2016 Author Posted October 26, 2016 Срабатывает более точное. ок. удаляю "более точное правило" у менее точных правил счетчик = 0. zero. не увеличивается. еще версии?
Mystray Posted October 26, 2016 Posted October 26, 2016 Делаю в winbox три правила, на отлов сканирования telnet. посмотрите на них через терминал /ip firewall export может где-то чего-то лишнее затесалось или винбокс кривенько параметры добавил, было такое с ним в какой-то версии. Вообще, учитывая что там по идее тот же iptables, должно первое первое отлавливать. Еще момент: fasttrack/related,setablished выше нет?
stas_k Posted October 26, 2016 Author Posted October 26, 2016 посмотрите на них через терминал /ip firewall export завтра попрошу посмотреть. сам сейчас не могу, сам себя забанил удаленный доступ извне для всех закрыл. Еще момент: fasttrack/related,setablished выше нет? тогда почему третье правило ловит пакеты?
pingz Posted October 28, 2016 Posted October 28, 2016 1. Тип авторизаций от провайдера? Технология подключения? 2. Можете дамп снять с интерфейса? Там будет видно откого и куда. 3. Прокси Арп на интерфейсе выключен?
stas_k Posted October 31, 2016 Author Posted October 31, 2016 Закрыть 53/UDP на вход с ВАН-интерфейса? Запретил 53/UDP. Внимательно изучил firewall убрал лишние разрешающие правила. Ситуация нормализовалась. Спасибо. Теперь будет новый вопрос, по микротику головного офиса.
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts