[stas_k]

Коллеги из дружественной конторы озадачили вопросом.

 

В удаленном филиале стоит микротик 750.

держит L2tp vpn до головного офиса.

 

три интерфейса.

ethernet1 - wan

ethernet2 - lan (подключен 1 комп)

l2tp-out - vpn

 

подключаюсь winbox, открываю interface, на вкладке interface наблюдаю примерно такую картину:

 

ethernet1 Tx 9800 kbps

ethernet1 Rx 260 kbps

 

ethernet2 Tx 180 kbps

ethernet2 Rx 230 kbps

 

l2tp-out Tx 210 kbps

l2tp-out Rx 160 kbps

 

это откуда и куда такой исходящий паразитный трафик генерится?

внешний канал всего 10 мбит, паразитный трафик забивает в полку, полезному трафику полосы не остается.

 

как бороться?

[Mystray]

Закрыть 53/UDP на вход с ВАН-интерфейса?

[DobroFenix]

Что Вас смущает в 9800 килобитах/секунду ?

[stas_k]

Что Вас смущает в 9800 килобитах/секунду ?

Я думаю, что если есть на WAN порту 9800 исходящего, значит должно быть 9800 входящего на LAN, а нету.

 

Закрыть 53/UDP на вход с ВАН-интерфейса?

 

весь входящий UDP закрыт. в Firewall у этого правила колоночка "Bytes" "Packets" по нулям 180 bytes 2 packets. оно же сюда пишет пакеты попавшие в правило?

 

 

магия форума. только написал, трафик нормализовался.

но это не показатель, так как такое уже было. день работает (нет паразитного трафика) три лежит (канал в полку).

[viver]

Так torch на внешнем интерфейсе глянуть, все понятно станет.

[DobroFenix]

Я думаю, что если есть на WAN порту 9800 исходящего, значит должно быть 9800 входящего на LAN, а нету.

Какой-нибудь broadcast трафик поди, который и не должен дальше в сеть идти.

[stas_k]

Я думаю, что если есть на WAN порту 9800 исходящего, значит должно быть 9800 входящего на LAN, а нету.

Какой-нибудь broadcast трафик поди, который и не должен дальше в сеть идти.

что то я не понимаю логики.

 

не на него, входящий, а ОТ микротика исходящий во внешний мир льется трафик и кладет канал в полку.

[Mystray]

у этого правила

Может у вас выше разрешающее правило есть. Или цепочка forward а не input. Или интерфейс не тот указан.

Просканируйте UDP порты снаружи, очень похоже на амплификацию DNS или NTP, значительная часть недонастроенных микротиков этим страдает.

[stas_k]

Так torch на внешнем интерфейсе глянуть, все понятно станет.

о! Совсем збыл то чего никогда не знал. Спасибо.

Будет всплеск, буду смотреть.

[stas_k]

Просканируйте UDP порты снаружи, очень похоже на амплификацию DNS или NTP, значительная часть недонастроенных микротиков этим страдает.

А что, микротик в правилах firewall Dst Address 0.0.0.0 не понимает "в том числе и пакеты адресованные на WAN IP" ?

Нужно именно его собственный адрес указывать?

Edited October 26, 2016 by stas_k

[DRiVen]

Если Dst-address не указывать, он и будет 0.0.0.0 по умолчанию. В этом случае в правиле лучше просто указать интерфейс.

[stas_k]

Если Dst-address не указывать, он и будет 0.0.0.0 по умолчанию. В этом случае в правиле лучше просто указать интерфейс.

Логически рассуждая, так должно быть.

Но практически я вижу другую картину.

 

Делаю в winbox три правила, на отлов сканирования telnet.

1) drop, input, src address (пусто), dst address (пусто), 6(tcp), dst port 23, in interface ethernet1-wan.

2) drop, input, src address (пусто), dst address (0.0.0.0), 6(tcp), dst port 23, in interface ethernet1-wan.

3) drop, input, src address (пусто), dst address (172.16.1.1), 6(tcp), dst port 23, in interface ethernet1-wan.

 

по идее счетчик должен увеличиваться у первого правила, стоящего выше (раньше) а фактически увеличивается счетчик последнего.

 

возможно от версии firmware зависит, RouterOS 6.35 ровно.

[DRiVen]

Срабатывает более точное.

[stas_k]

Срабатывает более точное.

ок.

 

удаляю "более точное правило"

у менее точных правил счетчик = 0. zero. не увеличивается.

 

еще версии?

[Mystray]

Делаю в winbox три правила, на отлов сканирования telnet.

посмотрите на них через терминал /ip firewall export

может где-то чего-то лишнее затесалось или винбокс кривенько параметры добавил, было такое с ним в какой-то версии.

Вообще, учитывая что там по идее тот же iptables, должно первое первое отлавливать.

Еще момент: fasttrack/related,setablished выше нет?

[stas_k]

посмотрите на них через терминал /ip firewall export

завтра попрошу посмотреть. сам сейчас не могу, сам себя забанил удаленный доступ извне для всех закрыл.

 

Еще момент: fasttrack/related,setablished выше нет?

тогда почему третье правило ловит пакеты?

[pingz]

1. Тип авторизаций от провайдера? Технология подключения?

2. Можете дамп снять с интерфейса? Там будет видно откого и куда.

3. Прокси Арп на интерфейсе выключен?

[stas_k]

Закрыть 53/UDP на вход с ВАН-интерфейса?

Запретил 53/UDP.

Внимательно изучил firewall убрал лишние разрешающие правила.

 

Ситуация нормализовалась.

 

Спасибо.

 

Теперь будет новый вопрос, по микротику головного офиса.