ioma Опубликовано 6 июля, 2013 · Жалоба ioma можно по-разному, например вот так ip firewall filter add chain=input dst-address=1.2.3.4 protocol=udp dst-port=53 action=drop в dst-address ваш реальный ip если закрыть днс извне таким способом, у некоторых юзеров пропадает инет) может есть еще какой то способ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yaten Опубликовано 10 июля, 2013 · Жалоба примерно в конце июня была такая же фигня. Только трафика я поимел 50Мбит и загрузку 100% Прибил фаерволом 53 порт, загрузка упала до 40-50%, через сутки трафик кончился. После этого, на всех машинах с МТ прибил 53 порт снаружи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ioma Опубликовано 21 июля, 2013 · Жалоба примерно в конце июня была такая же фигня. Только трафика я поимел 50Мбит и загрузку 100% Прибил фаерволом 53 порт, загрузка упала до 40-50%, через сутки трафик кончился. После этого, на всех машинах с МТ прибил 53 порт снаружи. ip firewall filter add chain=input dst-address=1.2.3.4 protocol=udp dst-port=53 action=drop такой командой? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yaten Опубликовано 22 июля, 2013 · Жалоба да, только ещё интерфейс указал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rmika Опубликовано 23 июля, 2013 · Жалоба я бы так попробовал /ip firewall filter add chain=input connection-state=established add chain=input connection-state=related add chain=input dst-address=1.2.3.4 protocol=udp dst-port=53 action=drop Но на самом деле лучше дропать всё, и добавить разрешающие правила для тех кому нужен доступ из мира. или же разрешить только icmp из мира и юзать "port knocking over ICMP" http://habrahabr.ru/post/186488/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yaten Опубликовано 23 июля, 2013 · Жалоба из мира доступ ни кому не нужен - я для себя делаю днс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rmika Опубликовано 23 июля, 2013 · Жалоба из мира доступ ни кому не нужен - я для себя делаю днс. Если интернет получаешь с интерфейса vlan1 то это точно поможет, причем не только от атак на dns-сервер. /ip firewall filter add chain=input connection-state=established add chain=input connection-state=related add chain=input in-interface=vlan1 action=drop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rmika Опубликовано 24 июля, 2013 · Жалоба Ну что каков результат? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yaten Опубликовано 29 июля, 2013 · Жалоба Если интернет получаешь с интерфейса vlan1 то это точно поможет, причем не только от атак на dns-сервер./ip firewall filter add chain=input connection-state=established add chain=input connection-state=related add chain=input in-interface=vlan1 action=drop Только не забудь себе доступ оставить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DarkMeTaL Опубликовано 11 ноября, 2013 · Жалоба ioma можно по-разному, например вот так ip firewall filter add chain=input dst-address=1.2.3.4 protocol=udp dst-port=53 action=drop в dst-address ваш реальный ip если закрыть днс извне таким способом, у некоторых юзеров пропадает инет) может есть еще какой то способ? таким способом Микротик будет блокировать и ответы на свои запросы, я вышел из ситуации таким методом: ip firewall filter add chain=input action=drop protocol=udp src-address-list=!DNS in-interface=ether1 dst-port=53 а в адрес-лист DNS добавил адреса используемых DNS-серверов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...