Rainmib Опубликовано 11 сентября, 2014 · Жалоба Есть 751G микротик который разделяет 3 сети. Доступ ограничен по некоторым ип адресам в каждой из сетей. три сети 192.168.0.0 - тут есть шлюз по умолчанию и на нем заведён статически марштур на сеть 1 указывающий на этот микротик. 192.168.1.0 - тут есть шлюз по умолчанию и на нём не прописаны маршруты в сети 0 и 3 192.168.3.0 - тут нету шлюза по умолчанию, для клиентов микротик является шлюзом по умолчанию или нету никакого. Давно заметил массу странных соединений на микротике. Скриншот прилагаю. В таблице маршрутизации у него всего 3 маршрута в каждую из сетей. Как это произошло :( и как исправиться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 11 сентября, 2014 · Жалоба Кто-то торрент качает вот и соединения. Ничего страшного. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 11 сентября, 2014 · Жалоба Кто-то торрент качает вот и соединения. Ничего страшного. Эт на 443 то порту? To ТС: Первые две колонки местами не меняли? Где Src Address? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 11 сентября, 2014 · Жалоба кто-то на одноклассниках сидит :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rainmib Опубликовано 11 сентября, 2014 · Жалоба нет именно соурс ип внешний дестинейшен ип - ип интерфейса микротика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rainmib Опубликовано 12 сентября, 2014 · Жалоба Так что это за соединения есть идеи? Или это проблема роутера который стоит в 0 сети и форвардит что то лишнее на микротик? :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 12 сентября, 2014 · Жалоба Так что это за соединения есть идеи? Или это проблема роутера который стоит в 0 сети и форвардит что то лишнее на микротик? :( Экстрасенсы в отпуске. У кого ip 192.168.0.254 ? Есть ли NAT на этом тике и каковы его настройки? Схема сети? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rainmib Опубликовано 12 сентября, 2014 · Жалоба Это как раз 3 ип микротика. 192.168.0.254 - торчит в 0 сеть ну и так далее. В таблице маршрутизации 3 маршрута в 3 сети соответственно. Всё что есть в настройках фаервола я привёл в скриншоте, правил ната нету соответственно. Есть и UDP сессии. На скрине. Жесть какая то. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 12 сентября, 2014 · Жалоба Ну дык все верно - самба, днс... Это скрин из коннтрака или активных соединений? Если коннтрак - не удивительно, udp пакет создает новую "сессию" коннтрака даже если порт закрыт. К слову, так МТ вполне реально положить извне :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 сентября, 2014 · Жалоба Ну дык все верно - самба, днс... Это скрин из коннтрака или активных соединений? Если коннтрак - не удивительно, udp пакет создает новую "сессию" коннтрака даже если порт закрыт. К слову, так МТ вполне реально положить извне :) Вы как то уже пробовали положить микротик извне, однако он никак не повелся на внешние воздействия. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rainmib Опубликовано 17 сентября, 2014 · Жалоба Честно говоря меня беспокоят якобы sip подключения по 5060 порту. И вообще боеспокоит то, что каким то образом микротик доступен извне. Вот как это в моей схеме происходит никак не доходит :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 17 сентября, 2014 · Жалоба Вы как то уже пробовали положить микротик извне, однако он никак не повелся на внешние воздействия. Я - не пробовал. Вы что-то путаете. Зато читал отзывы "счастливых владельцев" о скоропостижной смерти роутеров от засирания коннтрака, да. И вообще боеспокоит то, что каким то образом микротик доступен извне. Вот как это в моей схеме происходит никак не доходит Выдерните из него интернет кабель - и не будет доступен извне :) Другого способа нет. Повторяюсь - в коннтрак попадают все udp "сессии". Даже если порт на микротике закрыт и пакет дропнулся. И ничего вы ему не сделаете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Rainmib Опубликовано 17 сентября, 2014 · Жалоба Что значит выдернуть интернет кабель? У микротика нету маршрута на сеть 0.0.0.0 У него 3 маршрута на 3 сети через 3 интерфейса И речь не только про udp - бог да с ним. А что за сессии на 443 порт на втором скрине? кто их создаёт? и каким образом? Причём их создают с 443 порта внешние ип адреса на свободные порты интерфейса 192.168.0.254 Что это за хрень? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 17 сентября, 2014 · Жалоба Что значит выдернуть интернет кабель? То и значит. Только так вы можете уберечься от приходящего извне трафика. У микротика нету маршрута на сеть 0.0.0.0 Что никак не мешает udp пакетам приходить на него и попадать в коннтрак. А что за сессии на 443 порт на втором скрине? кто их создаёт? и каким образом? Причём их создают с 443 порта внешние ип адреса на свободные порты интерфейса 192.168.0.254 Что это за хрень? А это уже микротик похоже занятно таращит... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 сентября, 2014 · Жалоба Что никак не мешает udp пакетам приходить на него и попадать в коннтрак. Понимание сего факта требует разрыва шаблонов, ещё хлеще чем квантово волновой дуализм и связанные кванты :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...