stas_k Опубликовано 26 октября, 2016 · Жалоба Коллеги из дружественной конторы озадачили вопросом. В удаленном филиале стоит микротик 750. держит L2tp vpn до головного офиса. три интерфейса. ethernet1 - wan ethernet2 - lan (подключен 1 комп) l2tp-out - vpn подключаюсь winbox, открываю interface, на вкладке interface наблюдаю примерно такую картину: ethernet1 Tx 9800 kbps ethernet1 Rx 260 kbps ethernet2 Tx 180 kbps ethernet2 Rx 230 kbps l2tp-out Tx 210 kbps l2tp-out Rx 160 kbps это откуда и куда такой исходящий паразитный трафик генерится? внешний канал всего 10 мбит, паразитный трафик забивает в полку, полезному трафику полосы не остается. как бороться? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mystray Опубликовано 26 октября, 2016 · Жалоба Закрыть 53/UDP на вход с ВАН-интерфейса? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DobroFenix Опубликовано 26 октября, 2016 · Жалоба Что Вас смущает в 9800 килобитах/секунду ? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 26 октября, 2016 · Жалоба Что Вас смущает в 9800 килобитах/секунду ? Я думаю, что если есть на WAN порту 9800 исходящего, значит должно быть 9800 входящего на LAN, а нету. Закрыть 53/UDP на вход с ВАН-интерфейса? весь входящий UDP закрыт. в Firewall у этого правила колоночка "Bytes" "Packets" по нулям 180 bytes 2 packets. оно же сюда пишет пакеты попавшие в правило? магия форума. только написал, трафик нормализовался. но это не показатель, так как такое уже было. день работает (нет паразитного трафика) три лежит (канал в полку). Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
viver Опубликовано 26 октября, 2016 · Жалоба Так torch на внешнем интерфейсе глянуть, все понятно станет. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DobroFenix Опубликовано 26 октября, 2016 · Жалоба Я думаю, что если есть на WAN порту 9800 исходящего, значит должно быть 9800 входящего на LAN, а нету. Какой-нибудь broadcast трафик поди, который и не должен дальше в сеть идти. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 26 октября, 2016 · Жалоба Я думаю, что если есть на WAN порту 9800 исходящего, значит должно быть 9800 входящего на LAN, а нету. Какой-нибудь broadcast трафик поди, который и не должен дальше в сеть идти. что то я не понимаю логики. не на него, входящий, а ОТ микротика исходящий во внешний мир льется трафик и кладет канал в полку. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mystray Опубликовано 26 октября, 2016 · Жалоба у этого правила Может у вас выше разрешающее правило есть. Или цепочка forward а не input. Или интерфейс не тот указан. Просканируйте UDP порты снаружи, очень похоже на амплификацию DNS или NTP, значительная часть недонастроенных микротиков этим страдает. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 26 октября, 2016 · Жалоба Так torch на внешнем интерфейсе глянуть, все понятно станет. о! Совсем збыл то чего никогда не знал. Спасибо. Будет всплеск, буду смотреть. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 26 октября, 2016 (изменено) · Жалоба Просканируйте UDP порты снаружи, очень похоже на амплификацию DNS или NTP, значительная часть недонастроенных микротиков этим страдает. А что, микротик в правилах firewall Dst Address 0.0.0.0 не понимает "в том числе и пакеты адресованные на WAN IP" ? Нужно именно его собственный адрес указывать? Изменено 26 октября, 2016 пользователем stas_k Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 26 октября, 2016 · Жалоба Если Dst-address не указывать, он и будет 0.0.0.0 по умолчанию. В этом случае в правиле лучше просто указать интерфейс. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 26 октября, 2016 · Жалоба Если Dst-address не указывать, он и будет 0.0.0.0 по умолчанию. В этом случае в правиле лучше просто указать интерфейс. Логически рассуждая, так должно быть. Но практически я вижу другую картину. Делаю в winbox три правила, на отлов сканирования telnet. 1) drop, input, src address (пусто), dst address (пусто), 6(tcp), dst port 23, in interface ethernet1-wan. 2) drop, input, src address (пусто), dst address (0.0.0.0), 6(tcp), dst port 23, in interface ethernet1-wan. 3) drop, input, src address (пусто), dst address (172.16.1.1), 6(tcp), dst port 23, in interface ethernet1-wan. по идее счетчик должен увеличиваться у первого правила, стоящего выше (раньше) а фактически увеличивается счетчик последнего. возможно от версии firmware зависит, RouterOS 6.35 ровно. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 26 октября, 2016 · Жалоба Срабатывает более точное. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 26 октября, 2016 · Жалоба Срабатывает более точное. ок. удаляю "более точное правило" у менее точных правил счетчик = 0. zero. не увеличивается. еще версии? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mystray Опубликовано 26 октября, 2016 · Жалоба Делаю в winbox три правила, на отлов сканирования telnet. посмотрите на них через терминал /ip firewall export может где-то чего-то лишнее затесалось или винбокс кривенько параметры добавил, было такое с ним в какой-то версии. Вообще, учитывая что там по идее тот же iptables, должно первое первое отлавливать. Еще момент: fasttrack/related,setablished выше нет? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 26 октября, 2016 · Жалоба посмотрите на них через терминал /ip firewall export завтра попрошу посмотреть. сам сейчас не могу, сам себя забанил удаленный доступ извне для всех закрыл. Еще момент: fasttrack/related,setablished выше нет? тогда почему третье правило ловит пакеты? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 28 октября, 2016 · Жалоба 1. Тип авторизаций от провайдера? Технология подключения? 2. Можете дамп снять с интерфейса? Там будет видно откого и куда. 3. Прокси Арп на интерфейсе выключен? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 31 октября, 2016 · Жалоба Закрыть 53/UDP на вход с ВАН-интерфейса? Запретил 53/UDP. Внимательно изучил firewall убрал лишние разрешающие правила. Ситуация нормализовалась. Спасибо. Теперь будет новый вопрос, по микротику головного офиса. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...