Перейти к содержимому
Калькуляторы

[РЕШЕНО] Обход NAT Как защитить Mikrotik?

Статика к приватной сети через IP с NAT дает доступ к внутренним хостам:

 

#sh ip route 192.168.88.100
Routing entry for 192.168.88.0/24
 Known via "static", distance 1, metric 0
 Routing Descriptor Blocks:
 ...
 * 1.1.1.2
 ...

 

#ping 192.168.88.100

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.88.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

 

На mikrotik:

 

[admin@MikroTik] > ip address print 
Flags: X - disabled, I - invalid, D - dynamic 
#   ADDRESS            NETWORK         INTERFACE                                                                                                                   
0   192.168.88.1/24    192.168.88.0    ether2                                                                                                                      
1   1.1.1.2/30         1.1.1.0        ether1                                                                                                                      
[admin@MikroTik] > ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
0   chain=srcnat action=masquerade out-interface=ether1 

 

Не соображу как отфильтровать такой трафик?

Изменено пользователем a-zazell

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ага, нашел:

 

[admin@MikroTik] > ip firewall mangle print 
Flags: X - disabled, I - invalid, D - dynamic 
0   chain=prerouting action=mark-packet new-packet-mark=mark passthrough=no dst-address=192.168.88.0/24 in-interface=ether1 
[admin@MikroTik] > ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic 
0   chain=forward action=drop packet-mark=mark 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

лучше дропнуть сразу в фильтре, мангл вообще желательно не трогать, нагрузка меньше будет

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

лучше дропнуть сразу в фильтре, мангл вообще желательно не трогать, нагрузка меньше будет

 

Покажите как в фильтре дропнуть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

лучше дропнуть сразу в фильтре, мангл вообще желательно не трогать, нагрузка меньше будет

 

Покажите как в фильтре дропнуть.

 

Дефолтное правило появилось, похоже по теме:

 

/ip firewall filter
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да просто дропайте все серые сети на входящем инт-се и все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да просто дропайте все серые сети на входящем инт-се и все.

 

Не только исходящие пакеты с серых сетей, но и всех остальных, кроме ваших блоков белых IP.

Mutually Agreed Norms for Routing Security (MANRS) Implementation Guide

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Juniper EX DHCP opt82???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.