DNS флуд снаружи

Тема в разделе "Вопросы начинающих", создана пользователем ea100, 23 июл 2015.

  1. baklan56

    baklan56 Участник

    popuas'a сдвинуть вниз с 0 на 5 (после твоих правил) и в 0 поставлю chain=input protocol=tcp dst-port=8291 action=accept ?
     
  2. baklan56

    baklan56 Участник

    правило какое-то нарисовалось
    chain=forward action=accept
    я вроде не писал... убить?
     
  3. baklan56

    baklan56 Участник

    эти вставил, а popuas'a вниз?
     
  4. baklan56

    baklan56 Участник

    все круто - запросы не проходят, превышено время ожидания запроса
     
    Последнее редактирование модератором: 23 янв 2019
  5. baklan56

    baklan56 Участник

    Все, хрень с 53 порта прекратилась.
     
  6. baklan56

    baklan56 Участник

     
  7. baklan56

    baklan56 Участник

    хорошо что на своем лок сервере эту галку убирал. Рабочий стол на удаленном перестал открываться.
     
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Перед первым дропом поставь. Правило разрешает подключение winbox снаружи маршрутизатора.
     
  9. Илья Князев

    Илья Князев Администратор Команда форума

    Оно и так accept. Дай вывод команды /ip firewall filter export
     
  10. baklan56

    baklan56 Участник

    /ip firewall filter
    add chain=input dst-port=8291 protocol=tcp
    add chain=input protocol=icmp
    add chain=input connection-state=established,related
    add action=drop chain=input in-interface=ether1-gateway
    add action=drop chain=forward connection-state=invalid
    add action=drop chain=input dst-port=53 in-interface=ether1-gateway log=yes \
    log-prefix=query_in_drop protocol=udp
     
  11. Илья Князев

    Илья Князев Администратор Команда форума

    Код:
    /ip firewall filter
    add chain=input connection-state=established,related
    add chain=input protocol=icmp
    add chain=input dst-port=8291 protocol=tcp
    add action=drop chain=input in-interface=ether1-gateway
    add action=drop chain=forward connection-state=invalid
     
    Вот так более оптимально.
     
  12. baklan56

    baklan56 Участник

    СПС, Илья
     
  13. region23

    region23 Новый участник

    Столкнулся с такой же проблемой. Микротик оказался для меня вообще новым и любопытным миром.
    В логах обнаружил кучу запросов к cpsc.gov
    Гугление помогло понять, что я стал жертвой DNS-флуда.

    Илья, могли бы Вы посмотреть мои правила и сказать, правильно ли они составлены, т.к. я еще только делаю первые шаги в настройках firewall и свои правила собирал по крупицам из сети. P.S. в сеть выхожу через Huawei 3372 HiLink (надо ли на нем какие-то правила прописать? у него есть веб-интерфейс и файрвол)

     
  14. Илья Князев

    Илья Князев Администратор Команда форума

    Я выше привел набор правил. Уберите доступ снаружи по WinBox и поменяйте интерфейс на ваш WAN-интерфейс (lte1)
     
  15. region23

    region23 Новый участник

    Спасибо, помогло! А где почитать статьи, которые научат разбираться в этих правилах и понимать их?
     
  16. Илья Князев

    Илья Князев Администратор Команда форума

  17. region23

    region23 Новый участник

    Спасибо, прочитал. Более менее стал понимать.
    Илья, а что Вы скажете об этом конфиге http://wiki.mikrotik.com/wiki/Dmitry_on_firewalling
    Будет ли он более эффективным и стоит ли дропать BOGON-сети?
     
  18. Илья Князев

    Илья Князев Администратор Команда форума

    Мне кажется, использовать конфиг 10-летней давности не лучшая идея. Когда вы последний раз видели emule?
    На счет дропа BOGON, это исключительно ваш выбор.
     
  19. baklan56

    baklan56 Участник

    Hi, Илья, столкнулся с такой неприятностью - появилось "нечто" в моей сетке 192.168.88.1/24 с DHCP сервером, скорее, и начинает раздавать после перезагрузки моим сетевым принтерам, коммутаторам и компам
    адреса свои - 192.168.0.1/24 и шлюз уже не мой, а 192.168.0.1 и пипец - нет людей в сетке и инета у них тоже нет. Что делать и где рыть? Обошел все кабинеты и повыключал все точки доступа и роутеры у арендаторов,
    просканировал Advanced IP SCANNER'ом сетку с адресами 192.168.0.1 - 192.168.0.254 и опять - Включен KEENETIC 192.168.0.1 D-Link Corporation 00:13:46:53:21:FB ... Как его нейтрализовать?
     
  20. baklan56

    baklan56 Участник

    Илья, а может этот KEENETIC 192.168.0.1 в мою 192.168.88.1/24 через WAN порт микротика проникать со своими "услугами"?