Mikrotik 951G
Пока роутер не завис окончательно, успел сделать скрин... в общем ситуация такова:
IP белый, на нем висят как сайты, так и различные другие сервисы, типа TS и.т.п, поэтому скрывать его нет смысла.
На скрине видно всего 4к+ соединений поскольку нажат СТОП. Вообще соединений более 8к и тогда загрузка микротика 100%. Сегодня весь день вот такие чудеса происходят.
Все данные INPUT соединения дропаются правилом, но от перегруза это явно не спасает. Помогает только одно - вручную дропать данный порт, либо указанные IP на PREROUTING
Завтра планирую перенести RouterOS на виртуальную машину, там железо гораздо мощнее. А пока прошу помощи в создании правила, которое будет обрубать подобные соединения без их обработки - PREROUTING?
Помогите избавиться от атак?
-
- Сообщения: 537
- Зарегистрирован: 03 сен 2017, 03:08
- Откуда: Marienburga
-
- Сообщения: 83
- Зарегистрирован: 07 авг 2017, 12:29
Понимаю, вирусы бывают часто. Вопрос в другом.... как избежать зависаний в подобных случаях?mafijs писал(а): ↑28 июл 2018, 20:33 https://www.adminsub.net/tcp-udp-port-finder/1025
Похоже на вирус в сети.
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
А вам что, так необходим этот порт 1025? Если нет, что мешает просто заблокировать обращения на него в фаерволе?
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 83
- Зарегистрирован: 07 авг 2017, 12:29
да это же как пример, конечно же данный порт сразу был добавлен в блокировку-) Подобное бывает абсолютно каждый вечер и по всем портам. Честно сказать, надоело мучатся с зависаниями каждый вечер, мониторить и вручную добавлять их в black list., поэтому и спросил про правило.
-
- Сообщения: 83
- Зарегистрирован: 07 авг 2017, 12:29
Сейчас такой фильтр
Принцип фаервола такой - Запрещено всё, кроме разрешенных портов.
Именно это правило рубит все остальные инпуты, только вот от атак оно явно не спасает, а наоборот, вешает микротик на 100%
Именно это правило рубит все остальные инпуты, только вот от атак оно явно не спасает, а наоборот, вешает микротик на 100%
Код: Выделить всё
add action=drop chain=input comment="Drop all other input connections" \
in-interface=pppoe-rostel
-
- Сообщения: 83
- Зарегистрирован: 07 авг 2017, 12:29
В общем решил сделать так... и на самый верх их все
Пускай теперь пробуют задолбить мой аппаратик-)
Код: Выделить всё
/ip firewall filter
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=5m chain=input comment="DDOS Attack" \
connection-limit=3,32 in-interface=pppoe-rostel protocol=tcp
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=5m chain=forward comment="DDOS Attack" \
connection-limit=5,32 dst-port=!80,443 in-interface=pppoe-rostel \
protocol=tcp src-port=!80,443
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=5m chain=input comment="DDOS Attack" \
connection-limit=10,32 in-interface=pppoe-rostel protocol=udp src-port=\
!53
add action=add-src-to-address-list address-list=blacklist \
address-list-timeout=5m chain=forward comment="DDOS Attack" \
connection-limit=5,32 in-interface=pppoe-rostel protocol=udp
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
В итоге, какая нагрузка на микротик ?
P.S.
перенесите часть правила в RAW таблицу, сразу станет роутеру легче.
P.S.
перенесите часть правила в RAW таблицу, сразу станет роутеру легче.