Jump to content
Калькуляторы

53й порт

Добро пожаловать.

 

  1. Ставим последнюю прошивку
  2. Удаляем пользователя по-умолчанию, заводим своего.
  3. Закрывайте доступ из Интернет на 53 порт (TCP/UDP). 
  4. Вырубайте  сервисы (или меняйте порты)
/ip service
set api disabled=yes address=""
set telnet disabled=yes address=""
set ftp disabled=yes address=""
set www disabled=yes address=""
set ssh address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32
set winbox address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32
set api-ssl disabled=yes address=""

 

Share this post


Link to post
Share on other sites

В конфиге по умолчанию прекрасно закрыто все снаружи кроме пинга. Зачем его ломать/править/сносить если нет понимания даже этих простых правил? 

p.s.: наблюдал как один деятель снес конфиг по умолчанию, настроил всё, кроме правил фаерволла. Вообще НИ ОДНОГО. И admin без пароля. Получаса не прошло как на роутере сидела толпа ботов по ssh и долбила яндекс. 

 

1 час назад, saaremaa сказал:

set ssh address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32 set winbox address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32

Предположу следующим вопросом будет - а почему винбокс не подключается? 

Share this post


Link to post
Share on other sites

9 часов назад, boav сказал:

Предположу следующим вопросом будет - а почему винбокс не подключается? 

Это вряд ли. Специально сделал синтаксис неверный, они у него просто не применятся без прописывания валидных IP. 

Share this post


Link to post
Share on other sites

У микротика есть замечательная вещь, у него открыта по дефолту: allow-remote-requests. Зачем так сделали- хз, но ее лучше поставить в но

 

ЗЫ: Ну и файрволл - это устаревшая технология, выключить все сервисы и перенести data plane в отдельный врф- файрволл можно и не настраивать.

Share this post


Link to post
Share on other sites

Правильно, никакой файрвол не нужен. Достаточно отключить все не используемые сервисы, у нужных ограничить доступ по IP, то же касается и админов. ДНС не использовать на устройствах с внешними адресами, выдайте на него серый и так же прикрывать не потребуется.

Share this post


Link to post
Share on other sites

6 hours ago, VolanD666 said:

У микротика есть замечательная вещь, у него открыта по дефолту: allow-remote-requests. Зачем так сделали- хз, но ее лучше поставить в но

Как бы совсем не плохо иметь кэширующий DNS у себя локально, а с NO он ни от кого не будет принимать запросы, в т.ч. из локальной сети.

Там дефолтовым файрволом все прекрасно закрыто, как выше @boav написал. Не надо его выносить и все отлично будет.

 

@Saab95 

Господа ОЧЕНЬ большие провайдеры без файрвола, ваши советы для домашних/офисных сетей в данном случае малоактуальны.

Т.е. DNS сервер я должен у кого-то на компе что ли поставить ? Если вся сеть только и состоит из компов и единственного микротика.

 

Share this post


Link to post
Share on other sites

Что же это получается..

они пытаются всей гурьбой мне "отравить днс", и не остаётся ни чего другого только отключить кэш?,потому как проц улетает в 100%(650мг)моментально.

 

Share this post


Link to post
Share on other sites

2 часа назад, McSea сказал:

Как бы совсем не плохо иметь кэширующий DNS у себя локально, а с NO он ни от кого не будет принимать запросы, в т.ч. из локальной сети.

Там дефолтовым файрволом все прекрасно закрыто, как выше @boav написал. Не надо его выносить и все отлично будет.

 

@Saab95 

Господа ОЧЕНЬ большие провайдеры без файрвола, ваши советы для домашних/офисных сетей в данном случае малоактуальны.

Т.е. DNS сервер я должен у кого-то на компе что ли поставить ? Если вся сеть только и состоит из компов и единственного микротика.

 

Почему нельзя выдавать провайдерский ДНС?

Share this post


Link to post
Share on other sites

4 часа назад, Saab95 сказал:

ДНС не использовать на устройствах с внешними адресами, выдайте на него серый и так же прикрывать не потребуется.

это конечно хорошо, но как у ТС сегодня ночью пошли атаки на 53 udp, абонентам выдаю реальники

заблочил форвард 53 udp на пограничном CCR

Share this post


Link to post
Share on other sites

51 minutes ago, Lerych63 said:

Что же это получается..

они пытаются всей гурьбой мне "отравить днс", и не остаётся ни чего другого только отключить кэш?,потому как проц улетает в 100%(650мг)моментально.

 

Так закройте файрволом, в чем проблема ? Вот кусок стандартного конфига. который все закрывает, кроме пинга. Нужно что-то открыть - добавьте разрешающее правило выше последнего дропа. В LAN интерфейс лист внесите все свои локальные интерфейсы.

 

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Сюда добавлять разрешающие правила" disabled=yes
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

 

Edited by McSea

Share this post


Link to post
Share on other sites

47 минут назад, Lerych63 сказал:

Что же это получается..

они пытаются всей гурьбой мне "отравить днс", и не остаётся ни чего другого только отключить кэш?,потому как проц улетает в 100%(650мг)моментально.

 

Настроить Фаерволл правильно 

Скрытый текст


 1    chain=input action=drop connection-state=invalid log=no log-prefix="" 

 2    chain=input action=accept protocol=icmp 

 3    chain=input action=accept connection-state=established,related,untracked 
      log=no log-prefix="" 

 4    chain=input action=drop in-interface-list=WAN log=no log-prefix="" 

 
 

С этого должно все начинаться и тогда из мира будет доступен только пинг микротика

Share this post


Link to post
Share on other sites

@boav 

Правило 3 первым надо ставить. Под invalid иногда нужный трафик может попасть, и лучше чтобы established сразу уходили, через два правила лишняя загрузка процессора.

Edited by McSea

Share this post


Link to post
Share on other sites

@McSea Дропать инвалид первым узрел на каком то дефолтном конфиге. Они постоянно меняют дефолт. Обычно приходит новый роутер с дефолтом, смотрю что там нового и копирую себе. 

Share this post


Link to post
Share on other sites

Just now, boav said:

@McSea Дропать инвалид первым узрел на каком то дефолтном конфиге. Они постоянно меняют дефолт. Обычно приходит новый роутер с дефолтом, смотрю что там нового и копирую себе. 

Я выше привел дефолт от 6.42.6

Share this post


Link to post
Share on other sites

@McSea Все может быть. Истина где то рядом ;). Я везде использую только багфикс ветку. На вкус и цвет фломастеры разные 

Share this post


Link to post
Share on other sites

1 hour ago, VolanD666 said:

Почему нельзя выдавать провайдерский ДНС?

У меня провайдерский ДНС отвечает на некэшированные запросы значительно дольше (до 3 раз), чем клаудфлэровские 1.1.1.1/1.0.0.1

Причем до провайдера задержка (пинг) 1-2 мс, до 1.1.1.1 - 10 мс стабильно (зеркало тут рядом у нас, в Польше).

Проверено DNSBench-ем.

 

Ну а на кэшированные мой локальный естественно быстрее отвечает. Да, у провайдерского кэш больше, но вот такой у меня личный опыт.

 

Да, еще забыл главную вещь - static DNS записи, в hosts по машинкам прописывать это намного неудобнее, чем в одном месте.

Edited by McSea

Share this post


Link to post
Share on other sites

В 02.08.2018 в 17:55, yKpon сказал:

это конечно хорошо, но как у ТС сегодня ночью пошли атаки на 53 udp, абонентам выдаю реальники

заблочил форвард 53 udp на пограничном CCR

Ну так для абонентов надо все заблочить, и ДНС, и виндовую шару и прочие гадости. Но если провайдер держит свой ДНС для абонентов, то не надо его на белый адрес вешать.

Share this post


Link to post
Share on other sites

14 часов назад, Saab95 сказал:

Но если провайдер держит свой ДНС для абонентов, то не надо его на белый адрес вешать.

емнип policy-access aka ACL есть и у unbound , и у  bind если настроить то можно и на белый...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.