Jump to content

53й порт

Lerych63
 Share

Recommended Posts

saaremaa

saaremaa

Posted
Posted

Добро пожаловать.

 

  1. Ставим последнюю прошивку
  2. Удаляем пользователя по-умолчанию, заводим своего.
  3. Закрывайте доступ из Интернет на 53 порт (TCP/UDP). 
  4. Вырубайте  сервисы (или меняйте порты) 
/ip service
set api disabled=yes address=""
set telnet disabled=yes address=""
set ftp disabled=yes address=""
set www disabled=yes address=""
set ssh address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32
set winbox address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32
set api-ssl disabled=yes address=""

 

boav

boav

Posted
Posted

В конфиге по умолчанию прекрасно закрыто все снаружи кроме пинга. Зачем его ломать/править/сносить если нет понимания даже этих простых правил? 

p.s.: наблюдал как один деятель снес конфиг по умолчанию, настроил всё, кроме правил фаерволла. Вообще НИ ОДНОГО. И admin без пароля. Получаса не прошло как на роутере сидела толпа ботов по ssh и долбила яндекс. 

 

1 час назад, saaremaa сказал:

set ssh address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32 set winbox address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32

Предположу следующим вопросом будет - а почему винбокс не подключается? 

saaremaa

saaremaa

Posted
Posted
9 часов назад, boav сказал:

Предположу следующим вопросом будет - а почему винбокс не подключается? 

Это вряд ли. Специально сделал синтаксис неверный, они у него просто не применятся без прописывания валидных IP. 

VolanD666

VolanD666

Posted
Posted

У микротика есть замечательная вещь, у него открыта по дефолту: allow-remote-requests. Зачем так сделали- хз, но ее лучше поставить в но

 

ЗЫ: Ну и файрволл - это устаревшая технология, выключить все сервисы и перенести data plane в отдельный врф- файрволл можно и не настраивать.

Saab95

Saab95

Posted
Posted

Правильно, никакой файрвол не нужен. Достаточно отключить все не используемые сервисы, у нужных ограничить доступ по IP, то же касается и админов. ДНС не использовать на устройствах с внешними адресами, выдайте на него серый и так же прикрывать не потребуется.

McSea

McSea

Posted
Posted
6 hours ago, VolanD666 said:

У микротика есть замечательная вещь, у него открыта по дефолту: allow-remote-requests. Зачем так сделали- хз, но ее лучше поставить в но

Как бы совсем не плохо иметь кэширующий DNS у себя локально, а с NO он ни от кого не будет принимать запросы, в т.ч. из локальной сети.

Там дефолтовым файрволом все прекрасно закрыто, как выше @boav написал. Не надо его выносить и все отлично будет.

 

@Saab95 

Господа ОЧЕНЬ большие провайдеры без файрвола, ваши советы для домашних/офисных сетей в данном случае малоактуальны.

Т.е. DNS сервер я должен у кого-то на компе что ли поставить ? Если вся сеть только и состоит из компов и единственного микротика.

 

Lerych63

Lerych63

Posted
  • Author
Posted

Что же это получается..

они пытаются всей гурьбой мне "отравить днс", и не остаётся ни чего другого только отключить кэш?,потому как проц улетает в 100%(650мг)моментально.

 

VolanD666

VolanD666

Posted
Posted
2 часа назад, McSea сказал:

Как бы совсем не плохо иметь кэширующий DNS у себя локально, а с NO он ни от кого не будет принимать запросы, в т.ч. из локальной сети.

Там дефолтовым файрволом все прекрасно закрыто, как выше @boav написал. Не надо его выносить и все отлично будет.

 

@Saab95 

Господа ОЧЕНЬ большие провайдеры без файрвола, ваши советы для домашних/офисных сетей в данном случае малоактуальны.

Т.е. DNS сервер я должен у кого-то на компе что ли поставить ? Если вся сеть только и состоит из компов и единственного микротика.

 

Почему нельзя выдавать провайдерский ДНС?

yKpon

yKpon

Posted
Posted
4 часа назад, Saab95 сказал:

ДНС не использовать на устройствах с внешними адресами, выдайте на него серый и так же прикрывать не потребуется.

это конечно хорошо, но как у ТС сегодня ночью пошли атаки на 53 udp, абонентам выдаю реальники

заблочил форвард 53 udp на пограничном CCR

McSea

McSea

Posted
Posted (edited)
51 minutes ago, Lerych63 said:

Что же это получается..

они пытаются всей гурьбой мне "отравить днс", и не остаётся ни чего другого только отключить кэш?,потому как проц улетает в 100%(650мг)моментально.

 

Так закройте файрволом, в чем проблема ? Вот кусок стандартного конфига. который все закрывает, кроме пинга. Нужно что-то открыть - добавьте разрешающее правило выше последнего дропа. В LAN интерфейс лист внесите все свои локальные интерфейсы.

  

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Сюда добавлять разрешающие правила" disabled=yes
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

 

Edited by McSea
boav

boav

Posted
Posted
47 минут назад, Lerych63 сказал:

Что же это получается..

они пытаются всей гурьбой мне "отравить днс", и не остаётся ни чего другого только отключить кэш?,потому как проц улетает в 100%(650мг)моментально.

 

Настроить Фаерволл правильно 

Скрытый текст


 1    chain=input action=drop connection-state=invalid log=no log-prefix="" 

 2    chain=input action=accept protocol=icmp 

 3    chain=input action=accept connection-state=established,related,untracked 
      log=no log-prefix="" 

 4    chain=input action=drop in-interface-list=WAN log=no log-prefix="" 

 
 

С этого должно все начинаться и тогда из мира будет доступен только пинг микротика

McSea

McSea

Posted
Posted (edited)

@boav 

Правило 3 первым надо ставить. Под invalid иногда нужный трафик может попасть, и лучше чтобы established сразу уходили, через два правила лишняя загрузка процессора.

Edited by McSea
boav

boav

Posted
Posted

@McSea Дропать инвалид первым узрел на каком то дефолтном конфиге. Они постоянно меняют дефолт. Обычно приходит новый роутер с дефолтом, смотрю что там нового и копирую себе. 

McSea

McSea

Posted
Posted
Just now, boav said:

@McSea Дропать инвалид первым узрел на каком то дефолтном конфиге. Они постоянно меняют дефолт. Обычно приходит новый роутер с дефолтом, смотрю что там нового и копирую себе. 

Я выше привел дефолт от 6.42.6

McSea

McSea

Posted
Posted (edited)
1 hour ago, VolanD666 said:

Почему нельзя выдавать провайдерский ДНС?

У меня провайдерский ДНС отвечает на некэшированные запросы значительно дольше (до 3 раз), чем клаудфлэровские 1.1.1.1/1.0.0.1

Причем до провайдера задержка (пинг) 1-2 мс, до 1.1.1.1 - 10 мс стабильно (зеркало тут рядом у нас, в Польше).

Проверено DNSBench-ем.

 

Ну а на кэшированные мой локальный естественно быстрее отвечает. Да, у провайдерского кэш больше, но вот такой у меня личный опыт.

 

Да, еще забыл главную вещь - static DNS записи, в hosts по машинкам прописывать это намного неудобнее, чем в одном месте.

Edited by McSea
Saab95

Saab95

Posted
Posted
В 02.08.2018 в 17:55, yKpon сказал:

это конечно хорошо, но как у ТС сегодня ночью пошли атаки на 53 udp, абонентам выдаю реальники

заблочил форвард 53 udp на пограничном CCR

Ну так для абонентов надо все заблочить, и ДНС, и виндовую шару и прочие гадости. Но если провайдер держит свой ДНС для абонентов, то не надо его на белый адрес вешать.

saaremaa

saaremaa

Posted
Posted
14 часов назад, Saab95 сказал:

Но если провайдер держит свой ДНС для абонентов, то не надо его на белый адрес вешать.

емнип policy-access aka ACL есть и у unbound , и у  bind если настроить то можно и на белый...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.