[Lerych63]

Кто знает ,скажите??

Что творят кетайцы..??

..212   внешний айпи.

Изменено 1 августа, 2018 пользователем Lerych63

[saaremaa]

Добро пожаловать.

 

1. Ставим последнюю прошивку
2. Удаляем пользователя по-умолчанию, заводим своего.
3. Закрывайте доступ из Интернет на 53 порт (TCP/UDP). 
4. Вырубайте  сервисы (или меняйте порты)

/ip service
set api disabled=yes address=""
set telnet disabled=yes address=""
set ftp disabled=yes address=""
set www disabled=yes address=""
set ssh address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32
set winbox address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32
set api-ssl disabled=yes address=""

 

[boav]

В конфиге по умолчанию прекрасно закрыто все снаружи кроме пинга. Зачем его ломать/править/сносить если нет понимания даже этих простых правил? 

p.s.: наблюдал как один деятель снес конфиг по умолчанию, настроил всё, кроме правил фаерволла. Вообще НИ ОДНОГО. И admin без пароля. Получаса не прошло как на роутере сидела толпа ботов по ssh и долбила яндекс. 

 

1 час назад, saaremaa сказал:

set ssh address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32 set winbox address=ххх.ххх.ххх.ххх/32,ххх.ххх.ххх.ххх/32

Предположу следующим вопросом будет - а почему винбокс не подключается? 

[saaremaa]

9 часов назад, boav сказал:

Предположу следующим вопросом будет - а почему винбокс не подключается? 

Это вряд ли. Специально сделал синтаксис неверный, они у него просто не применятся без прописывания валидных IP. 

[VolanD666]

У микротика есть замечательная вещь, у него открыта по дефолту: allow-remote-requests. Зачем так сделали- хз, но ее лучше поставить в но

 

ЗЫ: Ну и файрволл - это устаревшая технология, выключить все сервисы и перенести data plane в отдельный врф- файрволл можно и не настраивать.

[Saab95]

Правильно, никакой файрвол не нужен. Достаточно отключить все не используемые сервисы, у нужных ограничить доступ по IP, то же касается и админов. ДНС не использовать на устройствах с внешними адресами, выдайте на него серый и так же прикрывать не потребуется.

[boav]

Может тогда проще вообще микротик не ставить? 

[McSea]

6 hours ago, VolanD666 said:

У микротика есть замечательная вещь, у него открыта по дефолту: allow-remote-requests. Зачем так сделали- хз, но ее лучше поставить в но

Как бы совсем не плохо иметь кэширующий DNS у себя локально, а с NO он ни от кого не будет принимать запросы, в т.ч. из локальной сети.

Там дефолтовым файрволом все прекрасно закрыто, как выше @boav написал. Не надо его выносить и все отлично будет.

 

@Saab95 

Господа ОЧЕНЬ большие провайдеры без файрвола, ваши советы для домашних/офисных сетей в данном случае малоактуальны.

Т.е. DNS сервер я должен у кого-то на компе что ли поставить ? Если вся сеть только и состоит из компов и единственного микротика.

 

[Lerych63]

Что же это получается..

они пытаются всей гурьбой мне "отравить днс", и не остаётся ни чего другого только отключить кэш?,потому как проц улетает в 100%(650мг)моментально.

 

[VolanD666]

2 часа назад, McSea сказал:

Как бы совсем не плохо иметь кэширующий DNS у себя локально, а с NO он ни от кого не будет принимать запросы, в т.ч. из локальной сети.

Там дефолтовым файрволом все прекрасно закрыто, как выше @boav написал. Не надо его выносить и все отлично будет.

 

@Saab95 

Господа ОЧЕНЬ большие провайдеры без файрвола, ваши советы для домашних/офисных сетей в данном случае малоактуальны.

Т.е. DNS сервер я должен у кого-то на компе что ли поставить ? Если вся сеть только и состоит из компов и единственного микротика.

 

Почему нельзя выдавать провайдерский ДНС?

[yKpon]

4 часа назад, Saab95 сказал:

ДНС не использовать на устройствах с внешними адресами, выдайте на него серый и так же прикрывать не потребуется.

это конечно хорошо, но как у ТС сегодня ночью пошли атаки на 53 udp, абонентам выдаю реальники

заблочил форвард 53 udp на пограничном CCR

[McSea]

51 minutes ago, Lerych63 said:

Что же это получается..

они пытаются всей гурьбой мне "отравить днс", и не остаётся ни чего другого только отключить кэш?,потому как проц улетает в 100%(650мг)моментально.

 

Так закройте файрволом, в чем проблема ? Вот кусок стандартного конфига. который все закрывает, кроме пинга. Нужно что-то открыть - добавьте разрешающее правило выше последнего дропа. В LAN интерфейс лист внесите все свои локальные интерфейсы.

 

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="Сюда добавлять разрешающие правила" disabled=yes
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

 

Изменено 2 августа, 2018 пользователем McSea

[boav]

47 минут назад, Lerych63 сказал:

Что же это получается..

они пытаются всей гурьбой мне "отравить днс", и не остаётся ни чего другого только отключить кэш?,потому как проц улетает в 100%(650мг)моментально.

 

Настроить Фаерволл правильно 

Скрытый текст

 1    chain=input action=drop connection-state=invalid log=no log-prefix="" 

 2    chain=input action=accept protocol=icmp 

 3    chain=input action=accept connection-state=established,related,untracked 
      log=no log-prefix="" 

 4    chain=input action=drop in-interface-list=WAN log=no log-prefix="" 

 
 

С этого должно все начинаться и тогда из мира будет доступен только пинг микротика

[McSea]

@boav 

Правило 3 первым надо ставить. Под invalid иногда нужный трафик может попасть, и лучше чтобы established сразу уходили, через два правила лишняя загрузка процессора.

Изменено 2 августа, 2018 пользователем McSea

[boav]

@McSea Дропать инвалид первым узрел на каком то дефолтном конфиге. Они постоянно меняют дефолт. Обычно приходит новый роутер с дефолтом, смотрю что там нового и копирую себе. 

[McSea]

Just now, boav said:

@McSea Дропать инвалид первым узрел на каком то дефолтном конфиге. Они постоянно меняют дефолт. Обычно приходит новый роутер с дефолтом, смотрю что там нового и копирую себе. 

Я выше привел дефолт от 6.42.6

[boav]

@McSea Все может быть. Истина где то рядом ;). Я везде использую только багфикс ветку. На вкус и цвет фломастеры разные 

[McSea]

1 hour ago, VolanD666 said:

Почему нельзя выдавать провайдерский ДНС?

У меня провайдерский ДНС отвечает на некэшированные запросы значительно дольше (до 3 раз), чем клаудфлэровские 1.1.1.1/1.0.0.1

Причем до провайдера задержка (пинг) 1-2 мс, до 1.1.1.1 - 10 мс стабильно (зеркало тут рядом у нас, в Польше).

Проверено DNSBench-ем.

 

Ну а на кэшированные мой локальный естественно быстрее отвечает. Да, у провайдерского кэш больше, но вот такой у меня личный опыт.

 

Да, еще забыл главную вещь - static DNS записи, в hosts по машинкам прописывать это намного неудобнее, чем в одном месте.

Изменено 2 августа, 2018 пользователем McSea

[Lerych63]

Сделал так

 

https://hd.zp.ua/zakryvaem-53j-port-dns-na-routere-mikrotik-ot-vneshnih-zaprosov/

 

 

 

 

Изменено 3 августа, 2018 пользователем Lerych63

[Saab95]

В 02.08.2018 в 17:55, yKpon сказал:

это конечно хорошо, но как у ТС сегодня ночью пошли атаки на 53 udp, абонентам выдаю реальники

заблочил форвард 53 udp на пограничном CCR

Ну так для абонентов надо все заблочить, и ДНС, и виндовую шару и прочие гадости. Но если провайдер держит свой ДНС для абонентов, то не надо его на белый адрес вешать.

[saaremaa]

14 часов назад, Saab95 сказал:

Но если провайдер держит свой ДНС для абонентов, то не надо его на белый адрес вешать.

емнип policy-access aka ACL есть и у unbound , и у  bind если настроить то можно и на белый...