Здравствуйте. Помогите понять, что к чему. У микротика есть публичный адрес (статика) 18х.хх.хх.х7 , за микротиком в единственной локальной сети среди прочих имеется хост с линуксом 4qOS с адресом 192.168.1.9. Если раньше кто-то постоянно стучался по RDP (пока не отключил) на сервер, потом на локальный хост с семеркой, теперь же кому-то (из Германии и т.п.) настойчиво требуется хост с линуксом. В вложении прикрепил скрин. Что там вообще происходит, что за порты и кому мог и зачем понадобиться хост с линуксом?(что на нем запущено конкретно, не могу сейчас сказать). В логе то стучатся на этот хост двумя способами удаленный хост -> публичный адрес микротика -> локальный IP линукс-хоста удаленный хост -> локальный адрес линукс-хоста (NAT) В чем разница между этими двум записями?
Если позволите, я все настройки выложу (в спойлере). Спойлер # model = 951Ui-2HnD # serial number = ******* /interface bridge add name=bridge1 add disabled=yes name=bridge2 /interface ethernet set [ find default-name=ether3 ] master-port=ether2 set [ find default-name=ether4 ] master-port=ether2 set [ find default-name=ether5 ] master-port=ether2 /interface pppoe-client add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \ password=******** use-peer-dns=yes user=****** /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no mode=ap-bridge \ ssid=MikroTik1 /interface vlan add disabled=yes interface=wlan1 name=vlan1 vlan-id=1 /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \ mode=dynamic-keys wpa-pre-shared-key=***** wpa2-pre-shared-key=\ ******** /ip pool add name=ethernet_pool ranges=192.168.1.2-192.168.1.220 /ip dhcp-server add add-arp=yes address-pool=ethernet_pool disabled=no interface=bridge1 \ name=server1 /queue simple add limit-at=1M/1M max-limit=2M/2M name="limit q4os_ip9" target=192.168.1.9/32 /queue type add kind=pcq name=Max_limit_download_pcq pcq-burst-rate=9M \ pcq-burst-threshold=900k pcq-classifier=dst-address \ pcq-dst-address6-mask=64 pcq-rate=8M pcq-src-address6-mask=64 /queue simple add name=Max_limit_download_pcq_rule queue=\ default-small/Max_limit_download_pcq target=bridge1 /interface bridge nat add action=accept chain=srcnat /interface bridge port add bridge=bridge1 interface=wlan1 add bridge=bridge1 interface=ether2 /interface pptp-server server set enabled=yes /ip address add address=192.168.1.1/24 interface=ether2 network=192.168.1.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether1 /ip dhcp-server lease add address=192.168.1.12 client-id=1:48:5b:39:ad:63:1f mac-address=\ **:5B:39:**:**:** server=server1 add address=192.168.1.11 client-id=1:bc:5f:f4:b1:d9:ea mac-address=\ BC:5F:**:**:**:** server=server1 add address=192.168.1.2 comment="\D5\EE\F1\F2\E8\F2\F1\FF \F1\E0\E9\F2" \ mac-address=E8:**:**:**:**:32 server=server1 add address=192.168.1.111 mac-address=A0:48:**:**:**:8C server=server1 add address=192.168.1.220 mac-address=70:10:**:**:**:5A server=server1 add address=192.168.1.23 client-id=1:78:ac:c0:ba:4b:0 mac-address=\ 78:AC:**:**:**:00 server=server1 add address=192.168.1.8 client-id=1:f4:81:39:e6:a2:21 mac-address=\ F4:81:**:**:**:21 server=server1 add address=192.168.1.22 client-id=1:28:56:5a:20:76:91 mac-address=\ 28:**:**:**:76:91 server=server1 add address=192.168.1.9 mac-address=1C:**:**:**:E5:37 server=server1 add address=192.168.1.3 client-id=1:1c:6f:65:44:92:e4 mac-address=\ 1C:**:**:**:**:** server=server1 /ip dhcp-server network add address=192.168.1.0/24 dns-server=192.168.1.1,8.8.8.8 gateway=192.168.1.1 \ netmask=24 /ip firewall filter add action=accept chain=forward out-interface=ether1 protocol=tcp add action=accept chain=forward comment=VPN_1723 dst-port=1723 in-interface=\ pppoe-out1 log=yes out-interface=ether1 protocol=tcp add action=accept chain=forward comment=VPN_GRE connection-type="" \ in-interface=pppoe-out1 log=yes out-interface=ether1 protocol=gre add action=accept chain=forward in-interface=pppoe-out1 protocol=udp add action=drop chain=input comment=\ "\C7\E0\EA\F0\FB\F2\E8\E5 \EF\EE\F0\F2\E0 53 (DNS Microtik)" dst-port=53 \ in-interface=pppoe-out1 protocol=udp add action=drop chain=input comment="\CF\EE\F0\F2, \EA\EE\F2\EE\F0\FB\E9 \F7\ \E0\F1\F2\EE \F1\EA\E0\ED\E8\F0\F3\E5\F2\F1\FF \E8\E7-\E2\ED\E5" \ dst-port=445 in-interface=pppoe-out1 protocol=tcp add action=drop chain=input comment="\CF\EE\F0\F2 ssh" dst-port=22 \ in-interface=pppoe-out1 protocol=tcp /ip firewall mangle add action=log chain=postrouting dst-address=192.168.1.9 log=yes log-prefix=\ mangle_lan9 protocol=tcp add action=mark-packet chain=forward dst-address-list=192.168.1.9_list \ new-packet-mark=192.168.1.9_markpacket passthrough=yes /ip firewall nat add action=dst-nat chain=dstnat comment="RDP fcomp" dst-port=3384 \ in-interface=pppoe-out1 log=yes protocol=tcp to-addresses=192.168.1.12 \ to-ports=3389 add action=dst-nat chain=dstnat comment="RDP Server350" disabled=yes \ dst-port=3386 in-interface=pppoe-out1 log=yes protocol=tcp to-addresses=\ 192.168.1.220 to-ports=3389 add action=dst-nat chain=dstnat comment="RDP \CF\CA Anna" dst-port=3385 \ in-interface=pppoe-out1 log=yes protocol=tcp to-addresses=192.168.1.23 \ to-ports=3389 add action=dst-nat chain=dstnat comment="RDP TESTvv" dst-port=3380 \ in-interface=pppoe-out1 log=yes protocol=tcp to-addresses=192.168.1.11 \ to-ports=3389 add action=dst-nat chain=dstnat comment=RDP disabled=yes dst-port=3387 \ in-interface=pppoe-out1 log=yes protocol=tcp to-addresses=192.168.1.111 \ to-ports=3389 add action=dst-nat chain=dstnat comment="\CF\EE\F0\F2 80" dst-port=80 \ in-interface=pppoe-out1 log=yes protocol=tcp to-addresses=192.168.1.2 \ to-ports=80 add action=dst-nat chain=dstnat comment=RDP disabled=yes dst-port=3388 \ in-interface=pppoe-out1 log=yes protocol=tcp to-addresses=192.168.1.220 \ to-ports=3389 add action=dst-nat chain=dstnat comment=VPN dst-port=1723 in-interface=\ pppoe-out1 protocol=tcp to-addresses=192.168.1.220 to-ports=1723 add action=dst-nat chain=dstnat comment="VPN non-start port dont working" \ disabled=yes dst-port=1724 in-interface=pppoe-out1 protocol=tcp \ to-addresses=192.168.1.110 to-ports=1723 add action=masquerade chain=srcnat add action=netmap chain=dstnat comment=ftp-21 dst-port=21 in-interface=\ pppoe-out1 protocol=tcp to-addresses=192.168.1.20 to-ports=21 add action=accept chain=srcnat disabled=yes add action=netmap chain=dstnat comment=ftp-35000 in-interface=pppoe-out1 log=\ yes protocol=tcp to-addresses=192.168.1.20 to-ports=35000-35100 add action=accept chain=dstnat dst-port=47 in-interface=pppoe-out1 protocol=\ tcp add action=netmap chain=dstnat dst-port=47 in-interface=ether1 protocol=tcp \ to-addresses=192.168.1.20 to-ports=47 add action=dst-nat chain=dstnat comment=VPN_p1724toTESTPC dst-port=1724 \ protocol=tcp to-addresses=192.168.1.11 to-ports=1723 /ip service set telnet disabled=yes set ssh disabled=yes /ip traffic-flow set enabled=yes interfaces=bridge2 /ppp secret add local-address=192.168.1.1 name=*** password=*** remote-address=\ 192.168.1.230 service=pptp /system clock set time-zone-name=Europe/Moscow /system logging add topics=pptp #error exporting /system routerboard mode-button /tool traffic-monitor add interface=wlan1 name=tmon1 threshold=0
/interface bridge nat add action=accept chain=srcnat - это вам зачем ? У вас ужасный фаервол, по факту открыто все кроме 22, 445 и 53 порта. Разбирайтесь с фаерволом. Пример правильной настройки /ip firewall filter add chain=input comment="defconf: accept ICMP" protocol=icmp add chain=input comment="defconf: accept established,related" connection-state=\ established,related add chain=input comment="accept WinBox port" dst-port=8291 protocol=tcp add action=drop chain=input comment="defconf: drop all from WAN" in-interface=\ ether1 add chain=forward comment="defconf: accept established,related" \ connection-state=established,related add action=drop chain=forward comment="defconf: drop invalid" connection-state=\ invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface=ether1
Совет - облачный микротик на виртуалке, настраиваете с нуля правильно фаервол со всем необходимыми дропами и реджектами. Можно грамотным людям здесь показать конфиг фаервола. Подскажут что упущено либо излишне. Тестируете, если все ок, сохраняете на всякий случай конфиг на рабочем роутере и заливаете конфиг с виртуалки через полный сброс железки, либо настраиваете еще раз с полным сбросом рабочей железки (со сбросом предпочтительнее - закрепите на правктике еще раз).
Парни, спасибо вам за участие, просто я нигде не могу найти описание логов, чтобы их понимать. Я ваши рекомендации учту. Но понять нужно, что там пишется. Например, сейчас на ещё одном микротике вижу много записей таких forward: in: bridge 1 out : ether1, src-mac (MAC адрес ПК локальной сети с ip-адресом 192.168.1.13) , proto UDP, 192.168.1.13:53523 (не только этот порт) ->192.168.10.1:53 , Len 80 Я правильно понимаю, что какая-то программа на пк 192.168.1.13 попросилась с порта такого-то куда-то выйти, но куда? Что за адрес 192.168.10.1 ? У нас только сеть 1, а что за десятая сеть? Про что эти записи?
Добрый день! Да есть какое-то движение у вас на 1.13. Разбирайтесь с данным хостом. 53 порт порт ДНС.
192.168.10.1 - адрес DHCP-сервера в сети провайдера, интерфейс микротика смотрит в него. Кому, интересно, могло понадобиться стучаться по ночам и по дням на его ДНС-порт? С какой целью это может быть? Я знаю, что на микротиках все боятся перехвата на 53 порт, поэтому его обычно закрывают. Это же не тот случай?
Добрый день, за микротом стоит МС Серв с РДП, подключаюсь к нему с линуксовых клиентов по L2TP, на одном стоит принт-сервер CUPS, с линуксовых клиентов печатает норм, с сервера в терминале при установке принтера через "Принтер веб служб" на адрес https://192.168.15.100:631/printers/KyoceraPi, серв выдает ошибку что не видит принтер. Логи в микроте такие: 14:44:09 firewall,info ----------> forward: in:bridge out:<l2tp-l2print1>, src-mac 00:09:be:dd:03:31, proto TCP (SYN), 192.168.10.156:53473->192.168.15.100:631, len 52 14:44:09 firewall,info ----------> forward: in:bridge out:<l2tp-l2print1>, src-mac 00:09:be:dd:03:31, proto TCP (ACK), 192.168.10.156:53473->192.168.15.100:631, len 40 14:44:09 firewall,info ----------> forward: in:bridge out:<l2tp-l2print1>, src-mac 00:09:be:dd:03:31, proto TCP (ACK,PSH), 192.168.10.156:53473->192.168.15.100:631, len 210 14:44:15 firewall,info ----------> forward: in:bridge out:<l2tp-l2print1>, src-mac 00:09:be:dd:03:31, proto TCP (ACK), 192.168.10.156:53473->192.168.15.100:631, len 40 14:44:15 firewall,info ----------> forward: in:bridge out:<l2tp-l2print1>, src-mac 00:09:be:dd:03:31, proto TCP (ACK,PSH), 192.168.10.156:53473->192.168.15.100:631, len 358 14:44:15 firewall,info ----------> forward: in:bridge out:<l2tp-l2print1>, src-mac 00:09:be:dd:03:31, proto TCP (ACK), 192.168.10.156:53473->192.168.15.100:631, len 40 14:44:15 firewall,info ----------> forward: in:bridge out:<l2tp-l2print1>, src-mac 00:09:be:dd:03:31, proto TCP (ACK,FIN), 192.168.10.156:53473->192.168.15.100:631, len 40 14:44:15 firewall,info ----------> forward: in:bridge out:<l2tp-l2print1>, src-mac 00:09:be:dd:03:31, proto TCP (ACK,RST), 192.168.10.156:53473->192.168.15.100:631, len 40 14:44:15 firewall,info ----------> forward: in:bridge out:<l2tp-l2print1>, src-mac 00:09:be:dd:03:31, proto TCP (RST), 192.168.10.156:53473->192.168.15.100:631, len
