chetkiyparen Опубликовано 16 января, 2018 · Жалоба Добрый день! Регулярно наблюдаю такую проблему, как не могу удаленно подключиться по винбоксу. Потом через торч выяснил, что в этот момент на порт 8291 куча соединений с разных айпишников и с портов больших 10000, в логах при этом никто не ломится. Из чего сделал вывод, что клиенты торента обнаружив открытый порт пытаются его использовать для закачек, забивая порт 8291 и делая невозможным подключаться удаленно по винбоксу. Смена порта для винбокса решает проблему, но через какое-то время уже на новом порту винбокса наблюдается такая проблема. Чтобы не потерять доступ окончательно удаленный решил попытался создать правило на то, чтобы дропать все кроме винбокса(порт 8292), для эксперимента открыл порт 8292 на через веб, создал правило, чтобы входящий трафик убивать весь, кроме как с порта 8292: chain=input action=drop protocol=tcp in-interface=eth2-pppoe-out1 src-port=!8292 dst-port=8292 но доступ через веб по 8292 тоже пропал... Сделал отдельно правило на разрешение и запрет: 17 chain=input action=accept protocol=tcp in-interface=eth2-pppoe-out1 src-port=8292 dst-port=8292 18 chain=input action=drop protocol=tcp in-interface=eth2-pppoe-out1 dst-port=8292 но тоже доступ через веб не работает Отключаю запрещающее правило и доступ есть, что не так сделал? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 января, 2018 · Жалоба В настройках служб разрешите доступ на порт винбокса только с определенных IP или подсетей для администрирования. Возможно это решит проблему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 16 января, 2018 · Жалоба 2 часа назад, Saab95 сказал: В настройках служб разрешите доступ на порт винбокса только с определенных IP или подсетей для администрирования. Возможно это решит проблему. для доступа из вне используется 4G операторы, поэтому как тут ограничишь доступ по IP и подсетям? 1. интересно почему правила мои не работают, если аналогичные правила работают для проброса портов, когда внутри сети стоят еще микротики в виде вай-фай точек. Я делал проброс одного порта от главного микротика на 8291 внутреннего микротика и всё прекрасно подключалось, что говорит о том, что для винбокса или скажем веб-интерфейса используется только тот порт, который указываешь и никаких дополнительно. Почему тогда правила на input аналогичные не работают? 2. Есть идея заблокировать на input порты выше 10000, но чтобы не рубить все опять же сделать drop при обращении на 8291, но это опять же аналогичные правила, которые я уже сделал, так почему они дропают всё на 8291, если я добавил исключение для доступа из вне с 8291 ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 16 января, 2018 · Жалоба 7 часов назад, chetkiyparen сказал: chain=input action=accept protocol=tcp in-interface=eth2-pppoe-out1 src-port=8292 dst-port=8292 Что за бред, с какого перепуга вы решили, что src-port должен быть/будет таким же, как dst-port? С учетом вашего заявления, что ходите вы на МТ через 4G - закройте input=invalid,new для eth2-pppoe-out1 и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 17 января, 2018 · Жалоба Для администрации администрирования сети захожу через pptp туннель таких проблем не замечал Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 января, 2018 · Жалоба 12 часов назад, chetkiyparen сказал: для доступа из вне используется 4G операторы, поэтому как тут ограничишь доступ по IP и подсетям? Настройте PPTP сервер на микротике, для администрирования поднимайте до него туннель и заходите по серым адресам. Все смартфоны умеют поднимать такой туннель. Соответственно извне любой доступ для администрирования закрыт. Такое решение сразу снимает почти все проблемы безопасности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 17 января, 2018 (изменено) · Жалоба как обычно решение через одно место, советовать городить тунель, чтобы просто попасть на микротик... У меня там есть уже РРТР-сервер, чтобы попадать на другие микротики за натом главного микротика. Этот РРТР-сервер я периодически вынужден выключать, т.к. на него тоже потом начинают ломиться из вне.... потом я буду еще должен городиться несколько правил, чтобы добавлять в черный список айпишники, с которых были попытки зайти с неправильным логином и паролем. И к тому же по опыту использования РРТР-серверов могу сказать, что при загрузки канала инета вечерами подключиться получалось раза с 5-го, т.е. еще мне потом надо будет созадвать правила для приоритета какие-нибудь... Спасибо, я это уже проходил.... Чем проще решение в виде пару правил, тем лучше! 18 часов назад, DRiVen сказал: Что за бред, с какого перепуга вы решили, что src-port должен быть/будет таким же, как dst-port? С учетом вашего заявления, что ходите вы на МТ через 4G - закройте input=invalid,new для eth2-pppoe-out1 и все. а почему src-port и dst-port должны быть разными, если я использую для передачи трафик лишь винбокс?? точнее вопрос в том, можно ли сделать так, чтобы использовать конкретные src-port для захода на определенный dst-port ?? Изменено 17 января, 2018 пользователем chetkiyparen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Барагоз Опубликовано 17 января, 2018 · Жалоба 16 минут назад, chetkiyparen сказал: как обычно решение через одно место, советовать городить тунель, чтобы просто попасть на микротик... хах, а выставлять административные сервисы всему миру - это прямо топ решение))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 17 января, 2018 · Жалоба ну так проблема не в том, что кто-то ддосит, а в том, что торент-клиенты так устроены, что используют любые открытые порты и тем самым создают для меня проблемы доступа. Если бы были атаки, то просто бы добавил в черный список айпишники, с которых ддосят Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 17 января, 2018 (изменено) · Жалоба 1 час назад, chetkiyparen сказал: как обычно решение через одно место, советовать городить тунель, чтобы просто попасть на микротик... Вы напоминаете дикаря, который ходит по Амтердаму без штанов потому, что нужду справлять без штанов проще. Ходит и возмущается, что какие-то затейники со всего мира постоянно норовят Вам между булок присунуть. Ну не одевать же штаны ради этого дикарю. Проще орать и звать на помощь. А штаны каждый раз снимать-одевать неудобно, когда приспичит. И вообще у них в Африке все дикари так ходят и ничего. Изменено 17 января, 2018 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 17 января, 2018 · Жалоба 3 часа назад, chetkiyparen сказал: можно ли сделать так, чтобы использовать конкретные src-port для захода на определенный dst-port? Нет, и в данном случае в этом нет никакого смысла, поскольку приложение (Winbox) - клиент. 3 часа назад, chetkiyparen сказал: а почему src-port и dst-port должны быть разными Потому что это TCP/IP, и, с учетом общепринятого порядка распределения портов процессам в ОС, вероятность получить соединение 8292-8292 намного более ничтожна, чем 146% 1/64511. Вообще вопрос странноватый для пытающегося заниматься СПД, вы бы хоть минимальное представление о протоколе получили что ли. @nkusnetsov , +100 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 18 января, 2018 · Жалоба В чем проблема то вообще? Ну ограничьте вы доступ с определенного белого ИПа. Ну или можете повесить винбокс на какой-нить младший порт, тогда меньше вероятности что будут долбиться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 18 января, 2018 · Жалоба В 16.01.2018 в 23:24, chetkiyparen сказал: для доступа из вне используется 4G операторы pptp, имхо, самое оно. Или опен впн какой-нибудь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...