Спам с китайских ip. Постоянный флуд из вне на маршрутизатор.

Тема в разделе "Маршрутизация", создана пользователем kapitoshka90, 29 июл 2017.

  1. kapitoshka90

    kapitoshka90 Новый участник

    Добрый вечер форумчане.
    В общем ситуация следующая. установлен виртуальный микротик на VmWare. Смотрит микротик во мир двумя интерфейсами. На одном висит почта Exchange. На другом сам микротик.
    В логах почты обнаружил что спаят с домена qq.com, прогуглил домен, гугл сказал китайский домен. Добавил домены в блек лист. Зашел на микротик и увидел флуд с китайских ip адресов. Думал сначала вирус в внутрненней сети, по-скольку у меня на VMWARE развернута инфраструктура, выключил все машинки, начал смотреть на маршрутизатор, флуд идет. Попытался дропать данный трафик добавив в адресс лист флуд с определенных китайских сетей, которых я пробивал в гугле. Но флуд не заканчивался а продолжал идти.
    Хотел попросит помощи господа, может кто-то сталкивался с подобными ситуациями, поделитесь опытом идеями, "бо вже нема сыл".
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    1. сморим на этот сайт. http://www.iwik.org/ipcountry/
    Информация обновляется в 12:00 по CET (центральноевропейское время)
    2 делаем
    Код:
    /tool fetch url=http://www.iwik.org/ipcountry/mikrotik/CN
    /import file-name=CN
    Получаем адрес-лист с китайскими IP. Блокируем его в файрволл.
    При желании пишем скрипт и шедуллер, для автоматического обновления базы.
     
    Денис Друженков нравится это.
  3. kapitoshka90

    kapitoshka90 Новый участник

    О круто, Илья, подскажите как теперь фаерволу скушать данный список? Не знал что можно так, обычно ручками добавлял ip адреса.
     
  4. kapitoshka90

    kapitoshka90 Новый участник

    Прошу прощения теперь понял. Упустил что Вы уже ответили на этот вопрос.
     
  5. Илья Князев

    Илья Князев Администратор Команда форума

    Так он занесется в адрес-лист CN
    далее, что-то типа
    Код:
    /ip firewall filter
    add chain=forward in-interface=wan protocol=tcp dst-port=25 src-address-list=CN action=drop 
     
  6. kapitoshka90

    kapitoshka90 Новый участник

    Спасибо огромное посыпались пакеты куда надо.
     
  7. kapitoshka90

    kapitoshka90 Новый участник

    Сейчас проверю спам систему.
     
  8. kapitoshka90

    kapitoshka90 Новый участник

    Все супер, китай прикрыли :)
     
  9. dopklip

    dopklip Новый участник

    Вопрос. Какое максимальное количество строк поддерживает Address Lists?
     
  10. Илья Князев

    Илья Князев Администратор Команда форума

    Ограничено
    1. Памятью девайса (чтобы все влезло)
    2. Объемом флеша, чтобы конфиг влез.
    ЗЫ. На hAP Lite AC видел создание более 30 тыс правил файрволла, после чего она таки зависла и ребутнулась с потерей этих правил ))
     
    Mama нравится это.
  11. dopklip

    dopklip Новый участник

    Спасибо.