[tadam]

Начал отваливаться один из брасов. Вначале отваливается winbox, затем он ребутается. Заметил некоторых клиентов с подозрительным большим количеством пакетов, примерно 2к-4к. Походу микрот не выдерживает зараженных абонентов с атакой на smb.  Правило на дроп smb есть, пакетики там бегают, но эффекта походу ноль. Как можно от этого защититься? На доступе рисовать ACL?

[VolanD666]

Ну дык может поснифать траффик в момент проблемы и посмотреть это точно оно или нет? А дальше уже думать как фильтровать. Если вы правы и фильтр не помогает, ну значит либо резать до, либо более мощная железка, либо аппаратный роутер. Я бы выбрал последнее.

[jffulcrum]

Включите syslog на удаленный сервер и смотрите, что происходило непосредственно перед отвалом. Скорее всего, что-то в лог пишется.

[tadam]

пробовал, перестает отвечать, уходит в 100% и ребут. Это то что успел увидеть. Правило netbios было в filter, перенес его в raw на прероутинг в ppp интерфейсах. Пока работает.

Изменено 25 сентября, 2019 пользователем tadam

[jffulcrum]

Х-м:

Цитата

 

What's new in 6.45.5 (2019-Aug-26 10:56):

...

*) smb - improved stability on x86 and CHR (CVE-2019-16160);

 

У вас на самом роутере SMB не включено случайно?

[tadam]

выключен, ставили 6.45.6, winbox и web вообще инфу не загружал. сейчас стоит 6.40.4.

Изменено 25 сентября, 2019 пользователем tadam