Трафик от Mikrotik?

Обсуждение ПО и его настройки
Аватара пользователя
Bootmen
Сообщения: 9
Зарегистрирован: 17 окт 2017, 12:54

Здравствуйте.
RB941-2nD-TC. Оставил все по умолчанию, только настроил локалку.
И добавил правила файволла:
/ip firewall filter
add chain=forward dst-address=192.168.0.1 log=yes src-address=\
10.12.250.1-10.12.250.254
add action=drop chain=input dst-port=53 in-interface=bridge protocol=udp
add action=drop chain=forward dst-address=!188.188.188.1-188.188.188.14 \
in-interface=bridge log=yes src-address=10.12.250.1-10.12.250.254

Все работает нормально - из локалки девайсы имеют доступ только к
188.188.188.1-188.188.188.14. И 53 порт для них закрыт.
Тут пришла распечатка от спутникового провайдера и оказалось- намотало трафика
на левые IP 81.198.87.240 91.188.51.139 (порт 15252)
и на днс провайдера.
Хотя на стороне сп. оператора стоит еще дополнительный файрволл,по деньгам всеравно вышло плохо.
Оператор считает трафик в обе стороны (то бишь и до его файрволла).
Получается микротик живет сам по себе? Всю голову сломал себе.
Рашьше стоял другой роутер (не микротик), но такого небыло.
Подскажите пож. куда мне копать. Пока временно добавил правило:
запрещающее самому роутеру ходит на эти левые адреса ( output)


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Это адреса Cloud Mikrotik, запретите их, если вам этот сервис не нужен, да и сервис можно выключить.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Bootmen
Сообщения: 9
Зарегистрирован: 17 окт 2017, 12:54

Спасибо.
Не подскажете как выключить этот сервис? А то десяток таких устройств редактирую удаленно и
любая ошибка может выйти боком. до некоторых устройств только вертолетом можно
добраться.
Нашел сам эту волшебную кнопку. Правда там стояла галка только =Update time=
Отключение ее решит проблему или все равно надо эти IP дропать?
Последний раз редактировалось Bootmen 17 окт 2017, 18:53, всего редактировалось 1 раз.


mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

Bootmen писал(а):Не подскажете как выключить этот сервис?

Но только если ИР статическое, тогда можно выключить.
К стати - этот сервис по умолчанию выключен.

/ip cloud set ddns-enabled=no


Аватара пользователя
Bootmen
Сообщения: 9
Зарегистрирован: 17 окт 2017, 12:54

mafijs писал(а):
Bootmen писал(а):Не подскажете как выключить этот сервис?

Но только если ИР статическое, тогда можно выключить.
К стати - этот сервис по умолчанию выключен.

/ip cloud set ddns-enabled=no

Адрес статический только в сети провайдера. В инет соответственно попадаешь Натом.
В панели только включена = update time= Значит это не решит проблему?


mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

Вопрос : зачем это правило "аdd action=drop chain=input dst-port=53 in-interface=bridge" на бридже ?
По идее должно быть на входном интерфейсе.


Аватара пользователя
Bootmen
Сообщения: 9
Зарегистрирован: 17 окт 2017, 12:54

mafijs писал(а):Вопрос : зачем это правило "аdd action=drop chain=input dst-port=53 in-interface=bridge" на бридже ?
По идее должно быть на входном интерфейсе.

Чтобы устройства в локалке не использовали роутер как днс-релей.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Bootmen писал(а):Чтобы устройства в локалке не использовали роутер как днс-релей.

А не проще отключить сервис и порт который он слушает, тем более если это возможно, чем закрывать сервис?
Не нужен промежуточный/кеширующий ДНС на микротике, заходим в ДНС настройки и снимаем галочку.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Стоп. Мы экономим трафик, при этом запрещаем роутеру кешировать DNS записи? Это тупо...
При этом ещё и NTP клиент включен...

Как-то Вы не тактично подходите к вопросу экономии трафика.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
Bootmen
Сообщения: 9
Зарегистрирован: 17 окт 2017, 12:54

Dragon_Knight писал(а):Стоп. Мы экономим трафик, при этом запрещаем роутеру кешировать DNS записи? Это тупо...
При этом ещё и NTP клиент включен...

Как-то Вы не тактично подходите к вопросу экономии трафика.

Как раз все логично:
Экономим трафик исключая ДНС-запросы (локалка работает только с IP)
И с чего вы взяли, что НТР клиент включен?


Ответить