Jump to content
Калькуляторы

торенты ломятся через порт winbox

Добрый день!

 

Регулярно наблюдаю такую проблему, как не могу удаленно подключиться по винбоксу. Потом через торч выяснил, что в этот момент на порт 8291 куча соединений с разных айпишников и с портов больших 10000, в логах при этом никто не ломится. Из чего сделал вывод, что клиенты торента обнаружив открытый порт пытаются его использовать для закачек, забивая порт 8291 и делая невозможным подключаться удаленно по винбоксу. Смена порта для винбокса решает проблему, но через какое-то время уже на новом порту винбокса наблюдается такая проблема.

 

Чтобы не потерять доступ окончательно удаленный решил попытался создать правило на то, чтобы дропать все кроме винбокса(порт 8292), для эксперимента открыл порт 8292 на через веб, создал правило, чтобы входящий трафик убивать весь, кроме как с порта 8292:

 

chain=input action=drop protocol=tcp in-interface=eth2-pppoe-out1 src-port=!8292 dst-port=8292

 

но доступ через веб по 8292 тоже пропал...

 

 

 

Сделал отдельно правило на разрешение и запрет:

17   chain=input action=accept protocol=tcp in-interface=eth2-pppoe-out1 src-port=8292 dst-port=8292 

18   chain=input action=drop protocol=tcp in-interface=eth2-pppoe-out1 dst-port=8292 

 

но тоже доступ через веб не работает

 

Отключаю запрещающее правило и доступ есть, что не так сделал?

Share this post


Link to post
Share on other sites

В настройках служб разрешите доступ на порт винбокса только с определенных IP или подсетей для администрирования. Возможно это решит проблему.

Share this post


Link to post
Share on other sites
2 часа назад, Saab95 сказал:

В настройках служб разрешите доступ на порт винбокса только с определенных IP или подсетей для администрирования. Возможно это решит проблему.

для доступа из вне используется 4G операторы, поэтому как тут ограничишь доступ по IP и подсетям?

 

1. интересно почему правила мои не работают, если аналогичные правила работают для проброса портов, когда внутри сети стоят еще микротики в виде вай-фай точек. Я делал проброс одного порта от главного микротика на 8291 внутреннего микротика и всё прекрасно подключалось, что говорит о том, что для винбокса или скажем веб-интерфейса используется только тот порт, который указываешь и никаких дополнительно. Почему тогда правила на input аналогичные не работают?

 

2. Есть идея заблокировать на input порты выше 10000, но чтобы не рубить все опять же сделать drop при обращении на 8291, но это опять же аналогичные правила, которые я уже сделал, так почему они дропают всё на 8291, если я добавил исключение для доступа из вне с 8291 ???

Share this post


Link to post
Share on other sites
7 часов назад, chetkiyparen сказал:

chain=input action=accept protocol=tcp in-interface=eth2-pppoe-out1 src-port=8292 dst-port=8292

Что за бред, с какого перепуга вы решили, что src-port должен быть/будет таким же, как dst-port?

winbox.thumb.png.cd3e55e2082249832328a631ed70dade.png

С учетом вашего заявления, что ходите вы на МТ через 4G - закройте input=invalid,new для eth2-pppoe-out1 и все.

Share this post


Link to post
Share on other sites

Для администрации администрирования сети захожу через pptp  туннель таких проблем не замечал

Share this post


Link to post
Share on other sites
12 часов назад, chetkiyparen сказал:

для доступа из вне используется 4G операторы, поэтому как тут ограничишь доступ по IP и подсетям?

Настройте PPTP сервер на микротике, для администрирования поднимайте до него туннель и заходите по серым адресам. Все смартфоны умеют поднимать такой туннель. Соответственно извне любой доступ для администрирования закрыт.

Такое решение сразу снимает почти все проблемы безопасности.

Share this post


Link to post
Share on other sites

как обычно решение через одно место, советовать городить тунель, чтобы просто попасть на микротик... У меня там есть уже РРТР-сервер, чтобы попадать на другие микротики за натом главного микротика. Этот РРТР-сервер я периодически вынужден выключать, т.к. на него тоже потом начинают ломиться из вне.... 

 

потом я буду еще должен городиться несколько правил, чтобы добавлять в черный список айпишники, с которых были попытки зайти с неправильным логином и паролем. И к тому же по опыту использования РРТР-серверов могу сказать, что при загрузки канала инета вечерами подключиться получалось раза с 5-го, т.е. еще мне потом надо будет созадвать правила для приоритета какие-нибудь... Спасибо, я это уже проходил....

 

Чем проще решение в виде пару правил, тем лучше!

 

 

18 часов назад, DRiVen сказал:

Что за бред, с какого перепуга вы решили, что src-port должен быть/будет таким же, как dst-port?

winbox.thumb.png.cd3e55e2082249832328a631ed70dade.png

С учетом вашего заявления, что ходите вы на МТ через 4G - закройте input=invalid,new для eth2-pppoe-out1 и все.

а почему src-port и dst-port должны быть разными, если я использую для передачи трафик лишь винбокс?? точнее вопрос в том, можно ли сделать так, чтобы использовать конкретные src-port для захода на определенный  dst-port ??

Edited by chetkiyparen

Share this post


Link to post
Share on other sites
16 минут назад, chetkiyparen сказал:

как обычно решение через одно место, советовать городить тунель, чтобы просто попасть на микротик...

хах, а выставлять административные сервисы всему миру - это прямо топ решение)))

Share this post


Link to post
Share on other sites

ну так проблема не в том, что кто-то ддосит, а в том, что торент-клиенты так устроены, что используют любые открытые порты и тем самым создают для меня проблемы доступа. Если бы были атаки, то просто бы добавил в черный список айпишники, с которых ддосят

Share this post


Link to post
Share on other sites
1 час назад, chetkiyparen сказал:

как обычно решение через одно место, советовать городить тунель, чтобы просто попасть на микротик...

Вы напоминаете дикаря, который ходит по Амтердаму без штанов потому, что нужду справлять без штанов проще.  Ходит и возмущается, что какие-то затейники со всего мира постоянно норовят Вам между булок присунуть. Ну не одевать же штаны ради этого дикарю. Проще орать и звать на помощь. А штаны каждый раз снимать-одевать неудобно, когда приспичит. И вообще у них в Африке все дикари так ходят и ничего.

Edited by nkusnetsov

Share this post


Link to post
Share on other sites
3 часа назад, chetkiyparen сказал:

можно ли сделать так, чтобы использовать конкретные src-port для захода на определенный dst-port?

Нет, и в данном случае в этом нет никакого смысла, поскольку приложение (Winbox) - клиент.

 

3 часа назад, chetkiyparen сказал:

а почему src-port и dst-port должны быть разными

Потому что это TCP/IP, и, с учетом общепринятого порядка распределения портов процессам в ОС, вероятность получить соединение 8292-8292 намного более ничтожна, чем 146% 1/64511. Вообще вопрос странноватый для пытающегося заниматься СПД, вы бы хоть минимальное представление о протоколе получили что ли.

 

@nkusnetsov , +100

Share this post


Link to post
Share on other sites

В  чем проблема то вообще? Ну ограничьте вы доступ с определенного белого ИПа. Ну или можете повесить винбокс на какой-нить младший порт, тогда меньше вероятности что будут долбиться.

Share this post


Link to post
Share on other sites
В 16.01.2018 в 23:24, chetkiyparen сказал:

для доступа из вне используется 4G операторы

 

 

pptp, имхо, самое оно. Или опен впн какой-нибудь

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this