[chetkiyparen]

Добрый день!

 

С недавнего времени начались проблемы с подключением к микротику из вне, не всегда подключался, а если подключался, то вылетал периодически. Оказалось, что трафик идет через 8291 порт, который по умолчанию использует винбокс, поменял на другой порт и проблема исчезла, но думаю это до поры, когда и новый порт не начнут забивать. Сделал торч по 8291 на внешний интерфейс, а там куча трафика с постоянно меняющихся адресов по icmp. Такое ощущение, что как-будто торент через этот порт начал качать чей-то.

 

Подскажите как можно отфильтровать его и если это чей-то торент, то как найти источник? В качестве решения проблемы пока вижу в правилах, которые каким-то образом ограничивали трафик по этому порту, чтобы можно было винбокс только использовать.

[Saab95]

Ну так закройте доступ по icmp на роутер и все.

[Rainmib]

Что за бред при чем тут icmp и трафик по tcp по порту 8291

[chetkiyparen]

по icmp я сделал правило дропающее, указал только input и входящий интерфейс, но оно не работает, трафик на нем не растёт.

 

Может этот р2р чей-то использует 8291 для раздачи?

 

можно ли правилами ограничить использование порта 8291, чтобы можно было использовать его для винбокса и резать другой трафик через этот порт?

Edited March 13, 2017 by chetkiyparen

[DRiVen]

Блин, да нет через него (порт) никакого трафика. Если роутер на нем имеет локальный сервис - из трансляции порт исключён. А правило не работает - хреново создали, не туда повесили, ищите косяк.

[tartila]

Добрый день!

 

С недавнего времени начались проблемы с подключением к микротику из вне, не всегда подключался, а если подключался, то вылетал периодически. Оказалось, что трафик идет через 8291 порт, который по умолчанию использует винбокс, поменял на другой порт и проблема исчезла, но думаю это до поры, когда и новый порт не начнут забивать. Сделал торч по 8291 на внешний интерфейс, а там куча трафика с постоянно меняющихся адресов по icmp. Такое ощущение, что как-будто торент через этот порт начал качать чей-то.

 

Подскажите как можно отфильтровать его и если это чей-то торент, то как найти источник? В качестве решения проблемы пока вижу в правилах, которые каким-то образом ограничивали трафик по этому порту, чтобы можно было винбокс только использовать.

 

Не знаю, где там косяк... Но повесьте порт WinBox пониже, <1024 :) и будет OK, норм.

[nkusnetsov]

chetkiyparen, протокол ICMP не имеет портов. Совсем. Освежите знания матчасти раз и два

Мало того, полностью закрывать ICMP в цепочке INPUT маршрутизатора вредно - вы не получите нужных сообщений управления трафиком.

Посмотрите, какого типа к вам летят ICMP-сообщения. Возможно это просто запросы фрагментации пакетов от ваших пользователей.

[chetkiyparen]

а как определить принадлежность этих icmp, если там только указанаyы внешний IP источника и мой внешний IP микротика?

[myth]

А нужно ли это делать?

[chetkiyparen]

ну вообще работало стабильно несколько лет и тут на прошлой неделе только начались проблемы с подключение по винбоксу, поэтому схема с криво настроенным натом и т.д. не подходит, там никаких правил уже больше года никто не создавал

 

думаю порт спросто спалили из внешки, т.к. когда я перевел винбокс на другой порт, то сразу сделал правило на входящий трафик по 8291 на дропание и там был трафик, а на следующий день прекратился и по сей день нет

Edited March 13, 2017 by chetkiyparen

[Rainmib]

Лог микротика посмотрите для интереса - может вопросы все сразу и уйдут.

[chetkiyparen]

я это в первую очередь делаю.... там ничего нет, кроме ежедневной информации об авторизации клиентов