Блокировка серых адресов на WAN

[nav2002]

Добрый день.

 

При настройке на микротике двух провайдеров обнаружил проблему  выхода серых адресов через WAN интерфейс в сторону провайдера.

Подскажите как заблокировать серые адреса на WAN интерфейсе.

[VolanD666]

24 минуты назад, nav2002 сказал:

Добрый день.

 

При настройке на микротике двух провайдеров обнаружил проблему  выхода серых адресов через WAN интерфейс в сторону провайдера.

Подскажите как заблокировать серые адреса на WAN интерфейсе.

Файрволлом заблокируйте, не?

[nav2002]

8 минут назад, VolanD666 сказал:

Файрволлом заблокируйте, не?

Подскажите если несложно как это сделать, что конкретно прописать.

 

[nav2002]

Решил данную проблему добавлением статических маршрутов.

/ip route
add distance=1 dst-address=10.0.0.0/8 type=blackhole                         
add distance=1 dst-address=169.254.0.0/16 type=blackhole                     
add distance=1 dst-address=172.16.0.0/12 type=blackhole                                       
add distance=1 dst-address=192.168.0.0/16 type=blackhole     

 

[jffulcrum]

Все это загоняется в address-list и в правилах NAT добавляется в dst-address-list с признаком !

[maxkst]

В 02.10.2021 в 05:57, nav2002 сказал:

При настройке на микротике двух провайдеров обнаружил проблему  выхода серых адресов через WAN интерфейс в сторону провайдера.

Подскажите как заблокировать серые адреса на WAN интерфейсе.

А чем оно там помешало? 

[VolanD666]

В 04.10.2021 в 15:46, nav2002 сказал:

Решил данную проблему добавлением статических маршрутов.

/ip route
add distance=1 dst-address=10.0.0.0/8 type=blackhole                         
add distance=1 dst-address=169.254.0.0/16 type=blackhole                     
add distance=1 dst-address=172.16.0.0/12 type=blackhole                                       
add distance=1 dst-address=192.168.0.0/16 type=blackhole     

 

Эмм, это вы заблокирвоали трафик на эти адреса. Но трафик с этих адресов будет уходить к провайдеру, если вы его не НАТите конечно.

 

14 часов назад, maxkst сказал:

А чем оно там помешало? 

Видимо, провайдер- рукожоп и это ему как-то мешает. Например, вирусы внутри сети  ТС долбят в т.ч. и ресурсы прова, это как версия :)))

[YuryD]

В 20.10.2021 в 12:07, VolanD666 сказал:

Видимо, провайдер- рукожоп и это ему как-то мешает. Например, вирусы внутри сети  ТС долбят в т.ч. и ресурсы прова, это как версия :)))

 Провайдеру похрен, просто логи засирают. Ни и выпихивание своих дивайсов по игмп или прочих мснетворкс, просто попадетесь на кукан к кулхацкеру в локалке. Его может и поймают и посодют, но клиенту это будет поздно, по факту уголовного дела. Ежели провайдер обидится. Кривожопых клиентов более, чем рукожопых провайдеров :) Особенно таких клиентов с мокротиками в качестве вундервафли, не знающих что такое private network, и почему ее нельзя в инет транслировать, а не блокировать к вней. Такие умники в инете долго не живут.

[bilbo]

On 10/4/2021 at 3:46 PM, nav2002 said:

add distance=1 dst-address=10.0.0.0/8 type=blackhole

 

Их же перебьют connected-маршруты?

[maxkst]

В 20.10.2021 в 02:07, VolanD666 сказал:

Видимо, провайдер- рукожоп и это ему как-то мешает. Например, вирусы внутри сети  ТС долбят в т.ч. и ресурсы прова, это как версия :)))

Это как же надо долбить, чтобы пров заметил? ))

[VolanD666]

В 01.11.2021 в 18:54, maxkst сказал:

Это как же надо долбить, чтобы пров заметил? ))

Ну тут все зависит от того как у прова сеть построена, мы ж не знаем. Может там стопка дешманских микротиков, например.

[YuryD]

В 01.11.2021 в 23:55, VolanD666 сказал:

Ну тут все зависит от того как у прова сеть построена, мы ж не знаем.

 У живущих оборудование знает про rfc. И софтовое и железное. Заиппать кривой настройкой клиента провайдера почти невозможно. Пока соседы по сегменту на пожалуются в ххххнадзор, пров непочешется, ибо лень, ну пусть дитятко погуляет в садике, порезвится, может локалхост найдет. Это не значит, что этого в логах нету, просто засирают.