DNS флуд снаружи

Тема в разделе "Вопросы начинающих", создана пользователем ea100, 23 июл 2015.

  1. Илья Князев

    Илья Князев Администратор Команда форума

    Последнее редактирование модератором: 23 янв 2019
  2. dima812

    dima812 Новый участник

    вечером сделаю, по результату отпишусь. Но по моему, насколько я помню, настраивал именно по этому мануалу, а все запихал в бридж потому что не работал интернет на физ. портах, если к ним подключать ПК, запихал все в него и заработало.
     
    Последнее редактирование модератором: 23 янв 2019
  3. dima812

    dima812 Новый участник

    Илья, спасибо.
    Допустил ошибку при конфигурировании, запихал WAN интерфейс в бридж, поэтому и не мог повесить акцесс лист на WAN, он находился в состоянии slave всегда.
    По 53 порту атака не прекратилась конечно, но количество отправляемых пакетов, на которое я обращал ваше внимание уменьшилось в 2 раза.
     
    Последнее редактирование: 22 янв 2017
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Настройте / восстановите файрволл по умолчанию.
    Здесь ether1-gateway это. WAN-порт.

    /ip firewall filter

    #INPUT

    add chain=input connection-state=established,related
    add chain=input protocol=icmp
    #Грохаем все новое, что пришло с WAN-интерфейса Если нужно что-то разрешить, ставим перед этим правилом!!!
    add action=drop chain=input in-interface=ether1-gateway

    #FORWARD
    #Грохаем инвалидные соединения
    add action=drop chain=forward connection-state=invalid
    #Защита от пролома NAT
    add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway
     
  5. Vaippp

    Vaippp Участник

    Илья, здравствуйте!
    Можно можно Вас попросить ответить на 2 вопроса?
    1 ) Подскажите, если преимущества у дефолтной конфигурации фаервола микротик RB962UiGS-5HacT2HnT, в частности интересует правило "fasttrack", перед той которой вы привели выше:
    2) Раньше у меня firewall был настроен следующим образом:

    при такой настройке нагрузка (при полной загрузке канала ~86 mbps) на процессор возрастает на 10-15% по сравнению с дефолтной.
    Скажите при какой конфигурации, микротик больше защищен от внешних и внутренних атак?
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Fasttrack примерно в 2-3 раза увеличивает пропускную способность роутера за счет пропуска части этапов обработки пакета.
    Не будут работать, например ipsec и очереди.
    В файровле удобно выставлять правила в рамках цепочки. Т.к. пакет все равно попадает только в одну из цепочек файрволла
    Ваш файрволл
    Код:
    add action=accept chain=input protocol=icmp
    add action=accept chain=input connection-state=related
    add action=accept chain=input connection-state=established
    add action=accept chain=input in-interface=!ether1-gateway src-address=192.168.0.0/24
    add action=drop chain=input connection-state=invalid
    add action=drop chain=input in-interface=ether1-gateway 
    
    add action=accept chain=forward protocol=icmp
    add action=accept chain=forward connection-state=related
    add action=accept chain=forward connection-state=established
    add action=accept chain=forward comment=Torrent dst-address=192.168.0.2 dst-port=54782 in-interface=ether1-gateway protocol=tcp
    add action=drop chain=forward connection-state=invalid
    add action=accept chain=forward in-interface=!ether1-gateway out-interface=ether1-gateway
    add action=drop chain=forward  
    У вас в принципе все неплохо. Я бы
    1. Или объединил правила с established и related или поднял established выше. Оно чаще срабатывает.
    2. Цепочка форвард судя по всему предполагает, что у вас нет проброса портов внутрь.
    3. Инвалид в инпут можно не грохать.
     
  7. Vaippp

    Vaippp Участник

    Спасибо за помощь!
    Оставлю вот так:
     
  8. Vaippp

    Vaippp Участник

    С этим правилом, периодически (~1 раз в 2 дня) отваливается интернет на определенном локальном интерфейсе, как в браузере так и в других программах, если отключить это правило сразу появляется.
    Вывод настроек:
    Подскажите, в чем может быть проблема?
     
  9. Илья Князев

    Илья Князев Администратор Команда форума

    Инвалид обозначает что у вас коннекшн трекер ничего не знает об этом соединении.
    Давайте экспорт всей конфы, может чего найду.
     
  10. Илья Князев

    Илья Князев Администратор Команда форума

    Что-то много жалоб на эту ситуацию. Попробуйте откатиться на bugfix версию RouterOS.
     
  11. Vaippp

    Vaippp Участник

    Помогло. Спасибо!
     
  12. phantom4uk

    phantom4uk Новый участник

    Подскажите пожалуйста, все настроил по вашим советам, теперь VPN Не проходит, из за правила

    12 ;;; drop input
    chain=input action=drop in-interface=domru log=no log-prefix=""

    Выключаю подключается


    0 X ;;; Reject Telemetry
    chain=forward action=reject reject-with=icmp-network-unreachable dst-address-list=MStelemetry log=no
    log-prefix=""

    1 X chain=forward action=reject reject-with=tcp-reset layer7-protocol=*3 protocol=tcp log=no log-prefix=""

    2 X chain=forward action=drop layer7-protocol=*3 protocol=udp log=no log-prefix=""
    2 X chain=forward action=drop layer7-protocol=*3 protocol=udp log=no log-prefix=""

    3 ;;; boggon input drop
    chain=input action=drop src-address-list=BOGON in-interface=domru log=no log-prefix=""

    4 ;;; ip spoofing protect
    chain=input action=reject reject-with=tcp-reset tcp-flags=syn,ack connection-state=new protocol=tcp log=no
    log-prefix=""

    5 ;;; ping
    chain=input action=accept protocol=icmp log=no log-prefix=""

    6 ;;; accept established & related
    chain=input action=accept connection-state=established,related log=no log-prefix=""

    7 chain=input action=accept protocol=udp dst-address=внешний ип src-address-list=pptp_vpn connection-type=pptp
    in-interface=domru port=1723 log=yes log-prefix=""

    8 chain=input action=accept protocol=gre dst-address=внешний ип src-address-list=pptp_vpn in-interface=domru
    log=no log-prefix=""

    9 X ;;; allow vpn to lan
    chain=forward action=accept src-address=192.168.11.0/24 in-interface=domru out-interface=bridge log=no
    log-prefix=""

    10 ;;; established forward & related
    chain=forward action=accept connection-state=established,related log=no log-prefix=""

    11 ;;; drop dns
    chain=input action=drop protocol=udp in-interface=domru dst-port=53 log=no log-prefix="query_in_drop"

    12 ;;; drop input
    chain=input action=drop in-interface=domru log=no log-prefix=""

    13 ;;; drop forward
    chain=forward action=drop connection-state=invalid log=no log-prefix=""
     
  13. А где разрешающие правила для VPN-сервера ? Кстати что вы используете ?
     
  14. phantom4uk

    phantom4uk Новый участник

    Все правила приложил под спойлером, разрешающие идут выше запрещающих, прошивка 6.40.2, использую PPTP сервер, L2TP нормально проходит, начинаю думаю что PPTP уходит в прошлое, и её спецом зарезали вот таким способом, L2TP не могу использовать так как на другой стороне провайдер блочит
     
  15. l2tp использует порт - 1701/UDP, pptp если блочит провайдер разбирайтесь с провайдером, тут к сожаление помочь не сможем )
     
  16. Илья Князев

    Илья Князев Администратор Команда форума

    Врят ли провайдер заблочил. Что показывает дебаг?
     
  17. Maxuta

    Maxuta Новый участник

    Здравствуйте, Илья. Подскажите пожалуйста, такой набор правил предотвратит описываемую в топике проблему (обработка DNS запросов из внешней сети / возможность DNS флуда снаружи) при включенной галке ip/DNS "разрешить удаленные запросы"?
    Все правила - дефолтные для hAP_ac_lite при поднятом на wan (ether1) pppoe, кроме последнего (правило 11) , которое я добавил на всякий случай для всего интерфейса ether1, на котором поднят pppoe, увидев, что счетчик пакетов для pppoe (правила 10) растет.
    Стоит ли обратить внимание на рост числа пакетов напротив этого правила, или это нормально?
    Маршрутизатор куплен домой. В сетях, к сожалению, ничего не соображаю.

    Код:
    /ip firewall filter
    add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
    add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
    add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
    add action=accept chain=input protocol=icmp
    add action=accept chain=input connection-state=established
    add action=accept chain=input connection-state=related
    add action=drop chain=input in-interface=pppoe-out1
    add action=drop chain=input in-interface=ether1
    
    Screenshot_20170916_130151.png
     
  18. Добрый день.
    Да все норм будет.
     
    Maxuta нравится это.
  19. Maxuta

    Maxuta Новый участник

    Большое спасибо.
     
  20. vovix

    vovix Новый участник

    Ребята помогите не могу зайти не на один компьютер в локальной сети из вне, делаю вроде все по правилам:
    0 ;;; defconf: masquerade
    chain=srcnat action=masquerade out-interface=pppoe-out1 log=no log-prefix=""

    1 chain=dstnat action=dst-nat to-addresses=192.168.1.10 to-ports=37777 protocol=tcp
    in-interface=pppoe-out1 dst-port=37777 log=no log-prefix=""

    2 chain=dstnat action=dst-nat to-addresses=192.168.1.10 to-ports=37778 protocol=udp
    in-interface=pppoe-out1 dst-port=37778 log=no log-prefix=""

    3 chain=dstnat action=netmap to-addresses=192.168.1.19 to-ports=80 protocol=tcp dst-port=8021 log=no
    log-prefix=""
    Но получаю в ответ "
    Forbidden
    403.6 IP address rejected"
    Впечатление такое, что у меня, с правилами Firewall беда!
     

    Вложения: