chetkiyparen Posted January 16, 2018 Posted January 16, 2018 Добрый день! Регулярно наблюдаю такую проблему, как не могу удаленно подключиться по винбоксу. Потом через торч выяснил, что в этот момент на порт 8291 куча соединений с разных айпишников и с портов больших 10000, в логах при этом никто не ломится. Из чего сделал вывод, что клиенты торента обнаружив открытый порт пытаются его использовать для закачек, забивая порт 8291 и делая невозможным подключаться удаленно по винбоксу. Смена порта для винбокса решает проблему, но через какое-то время уже на новом порту винбокса наблюдается такая проблема. Чтобы не потерять доступ окончательно удаленный решил попытался создать правило на то, чтобы дропать все кроме винбокса(порт 8292), для эксперимента открыл порт 8292 на через веб, создал правило, чтобы входящий трафик убивать весь, кроме как с порта 8292: chain=input action=drop protocol=tcp in-interface=eth2-pppoe-out1 src-port=!8292 dst-port=8292 но доступ через веб по 8292 тоже пропал... Сделал отдельно правило на разрешение и запрет: 17 chain=input action=accept protocol=tcp in-interface=eth2-pppoe-out1 src-port=8292 dst-port=8292 18 chain=input action=drop protocol=tcp in-interface=eth2-pppoe-out1 dst-port=8292 но тоже доступ через веб не работает Отключаю запрещающее правило и доступ есть, что не так сделал? Вставить ник Quote
Saab95 Posted January 16, 2018 Posted January 16, 2018 В настройках служб разрешите доступ на порт винбокса только с определенных IP или подсетей для администрирования. Возможно это решит проблему. Вставить ник Quote
chetkiyparen Posted January 16, 2018 Author Posted January 16, 2018 2 часа назад, Saab95 сказал: В настройках служб разрешите доступ на порт винбокса только с определенных IP или подсетей для администрирования. Возможно это решит проблему. для доступа из вне используется 4G операторы, поэтому как тут ограничишь доступ по IP и подсетям? 1. интересно почему правила мои не работают, если аналогичные правила работают для проброса портов, когда внутри сети стоят еще микротики в виде вай-фай точек. Я делал проброс одного порта от главного микротика на 8291 внутреннего микротика и всё прекрасно подключалось, что говорит о том, что для винбокса или скажем веб-интерфейса используется только тот порт, который указываешь и никаких дополнительно. Почему тогда правила на input аналогичные не работают? 2. Есть идея заблокировать на input порты выше 10000, но чтобы не рубить все опять же сделать drop при обращении на 8291, но это опять же аналогичные правила, которые я уже сделал, так почему они дропают всё на 8291, если я добавил исключение для доступа из вне с 8291 ??? Вставить ник Quote
DRiVen Posted January 16, 2018 Posted January 16, 2018 7 часов назад, chetkiyparen сказал: chain=input action=accept protocol=tcp in-interface=eth2-pppoe-out1 src-port=8292 dst-port=8292 Что за бред, с какого перепуга вы решили, что src-port должен быть/будет таким же, как dst-port? С учетом вашего заявления, что ходите вы на МТ через 4G - закройте input=invalid,new для eth2-pppoe-out1 и все. Вставить ник Quote
pingz Posted January 17, 2018 Posted January 17, 2018 Для администрации администрирования сети захожу через pptp туннель таких проблем не замечал Вставить ник Quote
Saab95 Posted January 17, 2018 Posted January 17, 2018 12 часов назад, chetkiyparen сказал: для доступа из вне используется 4G операторы, поэтому как тут ограничишь доступ по IP и подсетям? Настройте PPTP сервер на микротике, для администрирования поднимайте до него туннель и заходите по серым адресам. Все смартфоны умеют поднимать такой туннель. Соответственно извне любой доступ для администрирования закрыт. Такое решение сразу снимает почти все проблемы безопасности. Вставить ник Quote
chetkiyparen Posted January 17, 2018 Author Posted January 17, 2018 (edited) как обычно решение через одно место, советовать городить тунель, чтобы просто попасть на микротик... У меня там есть уже РРТР-сервер, чтобы попадать на другие микротики за натом главного микротика. Этот РРТР-сервер я периодически вынужден выключать, т.к. на него тоже потом начинают ломиться из вне.... потом я буду еще должен городиться несколько правил, чтобы добавлять в черный список айпишники, с которых были попытки зайти с неправильным логином и паролем. И к тому же по опыту использования РРТР-серверов могу сказать, что при загрузки канала инета вечерами подключиться получалось раза с 5-го, т.е. еще мне потом надо будет созадвать правила для приоритета какие-нибудь... Спасибо, я это уже проходил.... Чем проще решение в виде пару правил, тем лучше! 18 часов назад, DRiVen сказал: Что за бред, с какого перепуга вы решили, что src-port должен быть/будет таким же, как dst-port? С учетом вашего заявления, что ходите вы на МТ через 4G - закройте input=invalid,new для eth2-pppoe-out1 и все. а почему src-port и dst-port должны быть разными, если я использую для передачи трафик лишь винбокс?? точнее вопрос в том, можно ли сделать так, чтобы использовать конкретные src-port для захода на определенный dst-port ?? Edited January 17, 2018 by chetkiyparen Вставить ник Quote
Барагоз Posted January 17, 2018 Posted January 17, 2018 16 минут назад, chetkiyparen сказал: как обычно решение через одно место, советовать городить тунель, чтобы просто попасть на микротик... хах, а выставлять административные сервисы всему миру - это прямо топ решение))) Вставить ник Quote
chetkiyparen Posted January 17, 2018 Author Posted January 17, 2018 ну так проблема не в том, что кто-то ддосит, а в том, что торент-клиенты так устроены, что используют любые открытые порты и тем самым создают для меня проблемы доступа. Если бы были атаки, то просто бы добавил в черный список айпишники, с которых ддосят Вставить ник Quote
nkusnetsov Posted January 17, 2018 Posted January 17, 2018 (edited) 1 час назад, chetkiyparen сказал: как обычно решение через одно место, советовать городить тунель, чтобы просто попасть на микротик... Вы напоминаете дикаря, который ходит по Амтердаму без штанов потому, что нужду справлять без штанов проще. Ходит и возмущается, что какие-то затейники со всего мира постоянно норовят Вам между булок присунуть. Ну не одевать же штаны ради этого дикарю. Проще орать и звать на помощь. А штаны каждый раз снимать-одевать неудобно, когда приспичит. И вообще у них в Африке все дикари так ходят и ничего. Edited January 17, 2018 by nkusnetsov Вставить ник Quote
DRiVen Posted January 17, 2018 Posted January 17, 2018 3 часа назад, chetkiyparen сказал: можно ли сделать так, чтобы использовать конкретные src-port для захода на определенный dst-port? Нет, и в данном случае в этом нет никакого смысла, поскольку приложение (Winbox) - клиент. 3 часа назад, chetkiyparen сказал: а почему src-port и dst-port должны быть разными Потому что это TCP/IP, и, с учетом общепринятого порядка распределения портов процессам в ОС, вероятность получить соединение 8292-8292 намного более ничтожна, чем 146% 1/64511. Вообще вопрос странноватый для пытающегося заниматься СПД, вы бы хоть минимальное представление о протоколе получили что ли. @nkusnetsov , +100 Вставить ник Quote
VolanD666 Posted January 18, 2018 Posted January 18, 2018 В чем проблема то вообще? Ну ограничьте вы доступ с определенного белого ИПа. Ну или можете повесить винбокс на какой-нить младший порт, тогда меньше вероятности что будут долбиться. Вставить ник Quote
myth Posted January 18, 2018 Posted January 18, 2018 В 16.01.2018 в 23:24, chetkiyparen сказал: для доступа из вне используется 4G операторы pptp, имхо, самое оно. Или опен впн какой-нибудь Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.