[Rainmib]

Есть 751G микротик который разделяет 3 сети. Доступ ограничен по некоторым ип адресам в каждой из сетей.

три сети 192.168.0.0 - тут есть шлюз по умолчанию и на нем заведён статически марштур на сеть 1 указывающий на этот микротик.

192.168.1.0 - тут есть шлюз по умолчанию и на нём не прописаны маршруты в сети 0 и 3

192.168.3.0 - тут нету шлюза по умолчанию, для клиентов микротик является шлюзом по умолчанию или нету никакого.

 

Давно заметил массу странных соединений на микротике. Скриншот прилагаю.

В таблице маршрутизации у него всего 3 маршрута в каждую из сетей.

Как это произошло :( и как исправиться.

[Saab95]

Кто-то торрент качает вот и соединения. Ничего страшного.

[NikAlexAn]

Кто-то торрент качает вот и соединения. Ничего страшного.

Эт на 443 то порту?

 

 

To ТС: Первые две колонки местами не меняли? Где Src Address?

[applx]

кто-то на одноклассниках сидит :)

[Rainmib]

нет именно соурс ип внешний дестинейшен ип - ип интерфейса микротика.

[Rainmib]

Так что это за соединения есть идеи?

Или это проблема роутера который стоит в 0 сети и форвардит что то лишнее на микротик? :(

[NikAlexAn]

Так что это за соединения есть идеи?

Или это проблема роутера который стоит в 0 сети и форвардит что то лишнее на микротик? :(

Экстрасенсы в отпуске.

У кого ip 192.168.0.254 ?

Есть ли NAT на этом тике и каковы его настройки?

Схема сети?

[Rainmib]

Это как раз 3 ип микротика.

192.168.0.254 - торчит в 0 сеть

ну и так далее.

В таблице маршрутизации 3 маршрута в 3 сети соответственно.

Всё что есть в настройках фаервола я привёл в скриншоте, правил ната нету соответственно.

 

Есть и UDP сессии.

На скрине.

Жесть какая то.

[NiTr0]

Ну дык все верно - самба, днс... Это скрин из коннтрака или активных соединений? Если коннтрак - не удивительно, udp пакет создает новую "сессию" коннтрака даже если порт закрыт. К слову, так МТ вполне реально положить извне :)

[Saab95]

Ну дык все верно - самба, днс... Это скрин из коннтрака или активных соединений? Если коннтрак - не удивительно, udp пакет создает новую "сессию" коннтрака даже если порт закрыт. К слову, так МТ вполне реально положить извне :)

 

Вы как то уже пробовали положить микротик извне, однако он никак не повелся на внешние воздействия.

[Rainmib]

Честно говоря меня беспокоят якобы sip подключения по 5060 порту.

И вообще боеспокоит то, что каким то образом микротик доступен извне. Вот как это в моей схеме происходит никак не доходит :(

[NiTr0]

Вы как то уже пробовали положить микротик извне, однако он никак не повелся на внешние воздействия.

Я - не пробовал. Вы что-то путаете. Зато читал отзывы "счастливых владельцев" о скоропостижной смерти роутеров от засирания коннтрака, да.

 

И вообще боеспокоит то, что каким то образом микротик доступен извне. Вот как это в моей схеме происходит никак не доходит

Выдерните из него интернет кабель - и не будет доступен извне :) Другого способа нет.

Повторяюсь - в коннтрак попадают все udp "сессии". Даже если порт на микротике закрыт и пакет дропнулся. И ничего вы ему не сделаете.

[Rainmib]

Что значит выдернуть интернет кабель?

У микротика нету маршрута на сеть 0.0.0.0

У него 3 маршрута на 3 сети через 3 интерфейса

 

И речь не только про udp - бог да с ним. А что за сессии на 443 порт на втором скрине? кто их создаёт? и каким образом?

Причём их создают с 443 порта внешние ип адреса на свободные порты интерфейса 192.168.0.254 Что это за хрень?

[NiTr0]

Что значит выдернуть интернет кабель?

То и значит. Только так вы можете уберечься от приходящего извне трафика.

 

У микротика нету маршрута на сеть 0.0.0.0

Что никак не мешает udp пакетам приходить на него и попадать в коннтрак.

 

А что за сессии на 443 порт на втором скрине? кто их создаёт? и каким образом?

Причём их создают с 443 порта внешние ип адреса на свободные порты интерфейса 192.168.0.254 Что это за хрень?

А это уже микротик похоже занятно таращит...

[Ivan_83]

Что никак не мешает udp пакетам приходить на него и попадать в коннтрак.

Понимание сего факта требует разрыва шаблонов, ещё хлеще чем квантово волновой дуализм и связанные кванты :)