Сетевые атаки? Или реакция антивируса?

Обсуждение оборудования и его настройки
Ответить
Denitornado
Сообщения: 47
Зарегистрирован: 11 апр 2014, 08:18

podarok66 писал(а):Ну, правила фаервола я так до конца и не понял. Что разрешают, что запрещают, зачем? Как бы абстрактная конструкция получилась.
Про цепочку форвард. Локалка-то прозрачная совсем вышла. ЛЮБОЕ соединение в локалке будет разрешаться и поддерживаться... По всем портам, любые виды соединений, с любых адресов на любые адреса. Чем городить такой огород, такого же эффекта можно добиться и вообще не поднимая ни одного правила. Может все же оставить нужные порты и посмотреть, что выйдет? Или весь упор на Каспера? Тогда пусть вот он и борется, как ему надо. :-)


Нееее.... Каспер, так для традиций )))). А вот разрулить хочется грамотно, все на Микротике. Я ж говорю, читал про микротик с одного сайта и там нашел подобный набор правил, который настроил у себя. Я конечно бы хотел переделать на более грамотный вариант. Я так понимаю и хотелось бы, надо идти правилом, ЗАПРЕТИТЬ ВСЕ И РАЗРЕШИТЬ ЧТО НАДО.
Порядок правил ведь у Микротика сверху вниз читается им? Если первым правилом будет drop на forward, а после (вторым) будет правило, к примеру на порт 80 (браузер), то оно уже не отработает, т.к. сверху уже есть запрет?


Вернуться к началу
Denitornado
Сообщения: 47
Зарегистрирован: 11 апр 2014, 08:18

Dragon_Knight писал(а):По конфигу вроде более менее..
Когда начнутся перекливание антивируса, зайдите в WinBox -> IP -> Firewall -> NAT и скриншот, если там будет более одной строчки маскарада.


ОК уважаемый! Как только словлю предупреждение, заскриню указанный Вам журнал. А что к стати по НАТу там регистрируется? Кто сделал какие-либо соединения из моей сетки наружу?


Вернуться к началу
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:
Контактная информация пользователя Dragon_Knight

Я повторюсь: Находясь за NAT'ом (через роутер), достучаться до любого компьютера внутри сети из мира, - невозможно. Совершенно и никаких 'НО' здесь нету. Что-бы можно было достучаться до определённого порта\адреса\подсети и т.д. существует таблица NAT.
Отсюда я делаю вывод:
1) У вас есть записи NAT на Ваш компьютер. Не важно откуда они и какие (статические или динамические), факт остаётся фактом.
2) У Вас настолько криво настроен роутер, что NAT не является таковым.
2) Атака идёт с локального компьютера и микротик тут совершенно не причём.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Вернуться к началу
Аватара пользователя
podarok66
Модератор
Сообщения: 4358
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Denitornado писал(а):Нееее.... Каспер, так для традиций )))). А вот разрулить хочется грамотно, все на Микротике. Я ж говорю, читал про микротик с одного сайта и там нашел подобный набор правил, который настроил у себя. Я конечно бы хотел переделать на более грамотный вариант. Я так понимаю и хотелось бы, надо идти правилом, ЗАПРЕТИТЬ ВСЕ И РАЗРЕШИТЬ ЧТО НАДО.
Порядок правил ведь у Микротика сверху вниз читается им? Если первым правилом будет drop на forward, а после (вторым) будет правило, к примеру на порт 80 (браузер), то оно уже не отработает, т.к. сверху уже есть запрет?

Я честно повторяю, я на своих машинах все антивири повывел, я привык сам решать, что куда и откуда. На сомнительные ресурсы я не хожу, скачиванием всякой чепухи не занимаюсь, в сети по большей части или в форумах или в библиотеках или в играх. Ни на одном из подобных ресурсов антивирус не нужен абсолютно.Для проверки очень сомнительных сайтов на предмет гадости существует виртмашина. Но тут как говорится на вкус и цвет своя паранойя ближе к мозгу.
Допустим, Вам надо ограничить доступ к локальным машинам и с локальных машин. Логика у меня примерно равна стандартной. Все пишу для цепочки форвард, роутер защщищаем отдельно. Разрешаю пинг (почему бы и нет, что тут плохого)

Код: Выделить всё

/ip firewall filter add chain=forward protocol=icmp action=accept

Да, для роутера дропаю 53 порт по udp, это dns:

Код: Выделить всё

/ip firewall filter add chain=input action=drop protocol=udp in-interface=WAN dst-port=53

Стандартно установленные и родственные разрешаем (вариант для 6.23 и выше):

Код: Выделить всё

/ip firewall filter add chain=forward connection-state=established,related action=accept

Дропаем недействительные:

Код: Выделить всё

/ip firewall filter add chain=forward connection-state=invalid action=drop

Открываем нужные порты для локалки (или нужных машин в локалке) по необходимым протоколам. Узнать какая служба какой протокол использует можно здесь:
https://ru.wikipedia.org/wiki/%D0%A1%D0 ... %D0%B8_UDP
Для примера откроем 80 и 443 для протокола tcp и все udp (не есть правило, чисто пример):

Код: Выделить всё

/ip firewall filter add chain=forward protocol=udp action=accept 
/ip firewall filter add chain=forward src-address=192.168.0.0/24 src-port=80,443 protocol=tcp action=accept 
/ip firewall filter add chain=forward dst-address=192.168.0.0/24 dst-port=80,443 protocol=tcp action=accept

Конечно, портов нужно открыть значительно больше, я обычно не вставляю их в одно правило, а дроблю на несколько. Так легче разграничивать доступ различным группам машин. Дальше дропаем всё остальное и в результате локалка имее связь с сетью лишь через оговоренные порты и по оговоренным протоколам

Код: Выделить всё

/ip firewall filter add chain=forward action=drop


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Вернуться к началу
Denitornado
Сообщения: 47
Зарегистрирован: 11 апр 2014, 08:18

Dragon_Knight писал(а):Я повторюсь: Находясь за NAT'ом (через роутер), достучаться до любого компьютера внутри сети из мира, - невозможно. Совершенно и никаких 'НО' здесь нету. Что-бы можно было достучаться до определённого порта\адреса\подсети и т.д. существует таблица NAT.
Отсюда я делаю вывод:
1) У вас есть записи NAT на Ваш компьютер. Не важно откуда они и какие (статические или динамические), факт остаётся фактом.
2) У Вас настолько криво настроен роутер, что NAT не является таковым.
2) Атака идёт с локального компьютера и микротик тут совершенно не причём.



Как и договаривались, как только каспер сообщил об атаке, Вы просили заскринить список НАТ в Firewall. Сообщение от Каспера было пока всего одно за 3 часа работы в инете (google, WiKi, Youtube, и т.п.)
Изображение

но эта запись всегда там болтается. Но я еще послежу, иногда за вечер атаки этого вида, долбят не один раз как сегодня, а за час может раз 20 сообщение появиться


Вернуться к началу
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:
Контактная информация пользователя Dragon_Knight

Тогда претензий к микротику нету. Либо вирус у Вас в сети или на компе.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Вернуться к началу
Denitornado
Сообщения: 47
Зарегистрирован: 11 апр 2014, 08:18

Dragon_Knight писал(а):Тогда претензий к микротику нету. Либо вирус у Вас в сети или на компе.


У нас в сети? Это получается домовой(провайдерской) сети? Т.к. во время атак, все остальные устройства выключены или не подключены к инету. Короче, чувствую, надо на фиг удалить все правила и по какому-то нормальному мануалу настройки iptables прописать их снова.


Вернуться к началу
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:
Контактная информация пользователя Dragon_Knight

Правила фильтра к правилам NAT никакого отношения не имеют. Не мешайте всё в кучу.
Сеть Ваша, личная, за роутером, и если других устройств нету в сети, то вирус у Вас на компе.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Вернуться к началу
gmx
Модератор
Сообщения: 3295
Зарегистрирован: 01 окт 2012, 14:48

Еще есть вариант, что у Каспера праноидальный бред.
Попробуйте, ради интереса, снести его и поставить другой фаерволл. И посмотреть что будет.


Вернуться к началу
Denitornado
Сообщения: 47
Зарегистрирован: 11 апр 2014, 08:18

Dragon_Knight писал(а):Правила фильтра к правилам NAT никакого отношения не имеют. Не мешайте всё в кучу.
Сеть Ваша, личная, за роутером, и если других устройств нету в сети, то вирус у Вас на компе.


Вчера проверил, на вирусы свой ПК, загрузившись без Винды (использовал Dr.Web CureIT), все хорошо и красиво у меня. После Проверил Каспером Rescue Disk, тоже все красиво! Я за вирусней всегда следил и слежу.


Вернуться к началу
Ответить

Вернуться в «MikroTik RouterBOARD»