Перейти к содержимому
Калькуляторы

торенты ломятся через порт winbox

Добрый день!

 

Регулярно наблюдаю такую проблему, как не могу удаленно подключиться по винбоксу. Потом через торч выяснил, что в этот момент на порт 8291 куча соединений с разных айпишников и с портов больших 10000, в логах при этом никто не ломится. Из чего сделал вывод, что клиенты торента обнаружив открытый порт пытаются его использовать для закачек, забивая порт 8291 и делая невозможным подключаться удаленно по винбоксу. Смена порта для винбокса решает проблему, но через какое-то время уже на новом порту винбокса наблюдается такая проблема.

 

Чтобы не потерять доступ окончательно удаленный решил попытался создать правило на то, чтобы дропать все кроме винбокса(порт 8292), для эксперимента открыл порт 8292 на через веб, создал правило, чтобы входящий трафик убивать весь, кроме как с порта 8292:

 

chain=input action=drop protocol=tcp in-interface=eth2-pppoe-out1 src-port=!8292 dst-port=8292

 

но доступ через веб по 8292 тоже пропал...

 

 

 

Сделал отдельно правило на разрешение и запрет:

17   chain=input action=accept protocol=tcp in-interface=eth2-pppoe-out1 src-port=8292 dst-port=8292 

18   chain=input action=drop protocol=tcp in-interface=eth2-pppoe-out1 dst-port=8292 

 

но тоже доступ через веб не работает

 

Отключаю запрещающее правило и доступ есть, что не так сделал?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В настройках служб разрешите доступ на порт винбокса только с определенных IP или подсетей для администрирования. Возможно это решит проблему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, Saab95 сказал:

В настройках служб разрешите доступ на порт винбокса только с определенных IP или подсетей для администрирования. Возможно это решит проблему.

для доступа из вне используется 4G операторы, поэтому как тут ограничишь доступ по IP и подсетям?

 

1. интересно почему правила мои не работают, если аналогичные правила работают для проброса портов, когда внутри сети стоят еще микротики в виде вай-фай точек. Я делал проброс одного порта от главного микротика на 8291 внутреннего микротика и всё прекрасно подключалось, что говорит о том, что для винбокса или скажем веб-интерфейса используется только тот порт, который указываешь и никаких дополнительно. Почему тогда правила на input аналогичные не работают?

 

2. Есть идея заблокировать на input порты выше 10000, но чтобы не рубить все опять же сделать drop при обращении на 8291, но это опять же аналогичные правила, которые я уже сделал, так почему они дропают всё на 8291, если я добавил исключение для доступа из вне с 8291 ???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 часов назад, chetkiyparen сказал:

chain=input action=accept protocol=tcp in-interface=eth2-pppoe-out1 src-port=8292 dst-port=8292

Что за бред, с какого перепуга вы решили, что src-port должен быть/будет таким же, как dst-port?

winbox.thumb.png.cd3e55e2082249832328a631ed70dade.png

С учетом вашего заявления, что ходите вы на МТ через 4G - закройте input=invalid,new для eth2-pppoe-out1 и все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для администрации администрирования сети захожу через pptp  туннель таких проблем не замечал

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 часов назад, chetkiyparen сказал:

для доступа из вне используется 4G операторы, поэтому как тут ограничишь доступ по IP и подсетям?

Настройте PPTP сервер на микротике, для администрирования поднимайте до него туннель и заходите по серым адресам. Все смартфоны умеют поднимать такой туннель. Соответственно извне любой доступ для администрирования закрыт.

Такое решение сразу снимает почти все проблемы безопасности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

как обычно решение через одно место, советовать городить тунель, чтобы просто попасть на микротик... У меня там есть уже РРТР-сервер, чтобы попадать на другие микротики за натом главного микротика. Этот РРТР-сервер я периодически вынужден выключать, т.к. на него тоже потом начинают ломиться из вне.... 

 

потом я буду еще должен городиться несколько правил, чтобы добавлять в черный список айпишники, с которых были попытки зайти с неправильным логином и паролем. И к тому же по опыту использования РРТР-серверов могу сказать, что при загрузки канала инета вечерами подключиться получалось раза с 5-го, т.е. еще мне потом надо будет созадвать правила для приоритета какие-нибудь... Спасибо, я это уже проходил....

 

Чем проще решение в виде пару правил, тем лучше!

 

 

18 часов назад, DRiVen сказал:

Что за бред, с какого перепуга вы решили, что src-port должен быть/будет таким же, как dst-port?

winbox.thumb.png.cd3e55e2082249832328a631ed70dade.png

С учетом вашего заявления, что ходите вы на МТ через 4G - закройте input=invalid,new для eth2-pppoe-out1 и все.

а почему src-port и dst-port должны быть разными, если я использую для передачи трафик лишь винбокс?? точнее вопрос в том, можно ли сделать так, чтобы использовать конкретные src-port для захода на определенный  dst-port ??

Изменено пользователем chetkiyparen

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 минут назад, chetkiyparen сказал:

как обычно решение через одно место, советовать городить тунель, чтобы просто попасть на микротик...

хах, а выставлять административные сервисы всему миру - это прямо топ решение)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну так проблема не в том, что кто-то ддосит, а в том, что торент-клиенты так устроены, что используют любые открытые порты и тем самым создают для меня проблемы доступа. Если бы были атаки, то просто бы добавил в черный список айпишники, с которых ддосят

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, chetkiyparen сказал:

как обычно решение через одно место, советовать городить тунель, чтобы просто попасть на микротик...

Вы напоминаете дикаря, который ходит по Амтердаму без штанов потому, что нужду справлять без штанов проще.  Ходит и возмущается, что какие-то затейники со всего мира постоянно норовят Вам между булок присунуть. Ну не одевать же штаны ради этого дикарю. Проще орать и звать на помощь. А штаны каждый раз снимать-одевать неудобно, когда приспичит. И вообще у них в Африке все дикари так ходят и ничего.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, chetkiyparen сказал:

можно ли сделать так, чтобы использовать конкретные src-port для захода на определенный dst-port?

Нет, и в данном случае в этом нет никакого смысла, поскольку приложение (Winbox) - клиент.

 

3 часа назад, chetkiyparen сказал:

а почему src-port и dst-port должны быть разными

Потому что это TCP/IP, и, с учетом общепринятого порядка распределения портов процессам в ОС, вероятность получить соединение 8292-8292 намного более ничтожна, чем 146% 1/64511. Вообще вопрос странноватый для пытающегося заниматься СПД, вы бы хоть минимальное представление о протоколе получили что ли.

 

@nkusnetsov , +100

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В  чем проблема то вообще? Ну ограничьте вы доступ с определенного белого ИПа. Ну или можете повесить винбокс на какой-нить младший порт, тогда меньше вероятности что будут долбиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 16.01.2018 в 23:24, chetkiyparen сказал:

для доступа из вне используется 4G операторы

 

 

pptp, имхо, самое оно. Или опен впн какой-нибудь

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.