Jump to content
Калькуляторы

[РЕШЕНО] Обход NAT Как защитить Mikrotik?

Статика к приватной сети через IP с NAT дает доступ к внутренним хостам:

 

#sh ip route 192.168.88.100
Routing entry for 192.168.88.0/24
 Known via "static", distance 1, metric 0
 Routing Descriptor Blocks:
 ...
 * 1.1.1.2
 ...

 

#ping 192.168.88.100

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.88.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

 

На mikrotik:

 

[admin@MikroTik] > ip address print 
Flags: X - disabled, I - invalid, D - dynamic 
#   ADDRESS            NETWORK         INTERFACE                                                                                                                   
0   192.168.88.1/24    192.168.88.0    ether2                                                                                                                      
1   1.1.1.2/30         1.1.1.0        ether1                                                                                                                      
[admin@MikroTik] > ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
0   chain=srcnat action=masquerade out-interface=ether1 

 

Не соображу как отфильтровать такой трафик?

Edited by a-zazell

Share this post


Link to post
Share on other sites

Ага, нашел:

 

[admin@MikroTik] > ip firewall mangle print 
Flags: X - disabled, I - invalid, D - dynamic 
0   chain=prerouting action=mark-packet new-packet-mark=mark passthrough=no dst-address=192.168.88.0/24 in-interface=ether1 
[admin@MikroTik] > ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic 
0   chain=forward action=drop packet-mark=mark 

Share this post


Link to post
Share on other sites

лучше дропнуть сразу в фильтре, мангл вообще желательно не трогать, нагрузка меньше будет

Share this post


Link to post
Share on other sites

лучше дропнуть сразу в фильтре, мангл вообще желательно не трогать, нагрузка меньше будет

 

Покажите как в фильтре дропнуть.

Share this post


Link to post
Share on other sites

лучше дропнуть сразу в фильтре, мангл вообще желательно не трогать, нагрузка меньше будет

 

Покажите как в фильтре дропнуть.

 

Дефолтное правило появилось, похоже по теме:

 

/ip firewall filter
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway

Share this post


Link to post
Share on other sites

Да просто дропайте все серые сети на входящем инт-се и все.

Share this post


Link to post
Share on other sites

Да просто дропайте все серые сети на входящем инт-се и все.

 

Не только исходящие пакеты с серых сетей, но и всех остальных, кроме ваших блоков белых IP.

Mutually Agreed Norms for Routing Security (MANRS) Implementation Guide

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this