Сетевые атаки? Или реакция антивируса?

[Denitornado]

может вирус в домашней сети?

Ну я бы так подумал, но!
До Микротика у меня стоял Asus wl-500gc. Там просто все настраивалось 3-4 галочки ставим и все. И таких сообщений Каспер никогда не выдавал. Началось все после того, как я поставил себе Микротик. Боюсь что варианта два:
1) Либо у меня что-то не закрыто и как это проверить пока не особо представляю, т.к. сканировал через 2ip.ru, но он сканит похоже не мой внешний интерфейс а провайдерский. И говорит, что все потенциально опасные порты закрыты. Но чего-то этот тест не для этого случая.
2) И второе, что-то я не донастроил в роутере. Может лимиты или пороги какие-то на ip сессии. На одном форуме когда-то советовали, но я не понял где это настроить!

[Dragon_Knight]

Вы показали правила фильтра, а я просил посмотреть правила Ната...

И вообще, где конфиг? опять гадаем? Если через сутки не будет конфига (terminal => export) под сполйером (

Код: Выделить всё

[spoiler=Мой Конфиг:][code]=>ТУТ<=[/code][/spoiler]

), перемещаю тему в корзину.

[Denitornado]

Хорошо. Вечером с работы прийду, выгружу конфиг. Ни разу не делал этого, думаю разберусь. спасибо. Не надо в корзину )!!!!!

[Denitornado]

Итак, всем добрый вечер.
Пришел домой, зашел на роутер, выполнил команду export в терминале и вот мой конфиг:

 Мой Конфиг:

Код: Выделить всё

=># dec/26/2014 19:48:45 by RouterOS 6.23
# software id = WS5N-NT04
#
/interface bridge
add comment="Bridge for LAN+WLAN" mtu=1500 name=bridge1-local
/interface ethernet
set [ find default-name=ether1 ] comment="WAN Port" name=WAN
set [ find default-name=ether2 ] comment="LAN Ports" name=\
    "ether2 Master Port"
set [ find default-name=ether3 ] master-port="ether2 Master Port" name=\
    "ether3 Slave Port"
set [ find default-name=ether4 ] master-port="ether2 Master Port" name=\
    "ether4 Slave Port"
set [ find default-name=ether5 ] master-port="ether2 Master Port" name=\
    "ether5 Slave Port"
/ip neighbor discovery
set WAN comment="WAN Port" discover=no
set "ether2 Master Port" comment="LAN Ports" discover=no
set "ether3 Slave Port" discover=no
set "ether4 Slave Port" discover=no
set "ether5 Slave Port" discover=no
set bridge1-local comment="Bridge for LAN+WLAN"
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys wpa-pre-shared-key=xxxxxxxxxxxxx wpa2-pre-shared-key=\
    xxxxxxxxxxx
add authentication-types=wpa2-psk eap-methods="" management-protection=\
    allowed mode=dynamic-keys name=Security1 supplicant-identity="" \
    wpa2-pre-shared-key=xxxxxxxxxxxxxxxx
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n comment="My WIFI Network" \
    default-authentication=no disabled=no l2mtu=2290 mode=ap-bridge \
    security-profile=Security1 ssid=Pandora tx-power=20 tx-power-mode=\
    all-rates-fixed
/interface wireless manual-tx-power-table
set wlan1 comment="My WIFI Network"
/ip neighbor discovery
set wlan1 comment="My WIFI Network" discover=no
/interface wireless nstreme
set wlan1 comment="My WIFI Network"
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
/ip pool
add name=dhcp_pool1 ranges=192.168.222.2-192.168.222.10
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1-local lease-time=3d \
    name=dhcp1
/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
set 3 src-address=0.0.0.0
/interface bridge port
add bridge=bridge1-local comment="Join LAN to Bridge" interface=\
    "ether2 Master Port"
add bridge=bridge1-local comment="Join WLAN to Bridge" interface=wlan1
/interface wireless access-list
add comment="My PC" interface=wlan1 mac-address=AC:xx:0B:96:xx:xx
add comment="Samsung Galaxy S4" interface=wlan1 mac-address=1C:xx:4C:B6:xx:xx
add comment="Lenovo P780" mac-address=50:xx:C4:62:xx:xx
add comment="Notebook HP" mac-address=00:xx:5D:BD:xx:xx
add comment="TV Panasonic" mac-address=24:xx:99:24:xx:xx
add comment="Notebook Dell" mac-address=70:xx:04:8B:xx:xx
add comment="\D1\E5\F0\E3\E5\E9 IPhone" mac-address=D0:xx:DB:52:xx:xx
/ip address
add address=10.xx.14.xx/24 comment="Static IP from Provider UNET" interface=\
    WAN network=10.xx.14.0
add address=192.168.222.1/24 comment="Local Network" interface=bridge1-local \
    network=192.168.222.0
/ip dhcp-server network
add address=192.168.222.0/24 gateway=192.168.222.1
/ip dns
set allow-remote-requests=yes servers=91.xx.189.2,91.xx.189.3
/ip firewall address-list
add address=192.168.222.8 comment="Account Main Administrator" list=\
    Administrator
add address=192.168.222.0/24 comment="All Home Users" list=HomeUsers
/ip firewall filter
add action=drop chain=input comment="\C7\E0\E1\EB\EE\EA\E8\F0\EE\E2\E0\F2\FC \
    \E2\F1\E5 \EE\F8\E8\E1\EE\F7\ED\FB\E5 \F1\EE\E5\E4\E8\ED\E5\ED\E8\FF \ED\
    \E0 \CC\E8\EA\F0\EE\F2\E8\EA" connection-state=invalid
add action=drop chain=forward comment="\C7\E0\E1\EB\EE\EA\E8\F0\EE\E2\E0\F2\FC\
    \_\E2\F1\E5 \EE\F8\E8\E1\EE\F7\ED\FB\E5 \F1\EE\E5\E4\E8\ED\E5\ED\E8\FF \E2\
    \_\EC\EE\FE \F1\E5\F2\FC" connection-state=invalid
add chain=input comment="\D0\E0\E7\F0\E5\F8\E8\F2\FC \E2\F1\E5 \F3\F1\EF\E5\F8\
    \ED\EE \F3\F1\F2\E0\ED\EE\E2\EB\E5\ED\ED\FB\E5 \F1\EE\E5\E4\E8\ED\E5\ED\E8\
    \FF \ED\E0 \CC\E8\EA\F0\EE\F2\E8\EA" connection-state=established
add chain=forward comment="\D0\E0\E7\F0\E5\F8\E8\F2\FC \E2\F1\E5 \F3\F1\EF\E5\
    \F8\ED\EE \F3\F1\F2\E0\ED\EE\E2\EB\E5\ED\ED\FB\E5 \F1\EE\E5\E4\E8\ED\E5\ED\
    \E8\FF \E2 \EC\EE\FE \F1\E5\F2\FC" connection-state=established
add chain=input comment="\D0\E0\E7\F0\E5\F8\E8\F2\FC \F0\EE\E4\F1\F2\E2\E5\ED\
    \ED\FB\E5 \F1\EE\E5\E4\E8\ED\E5\ED\E8\FF \ED\E0 \CC\E8\EA\F0\EE\F2\E8\EA" \
    connection-state=related
add chain=forward comment="\D0\E0\E7\F0\E5\F8\E8\F2\FC \E2\F1\E5 \F0\EE\E4\F1\
    \F2\E2\E5\ED\ED\FB\E5 \F1\EE\E5\E4\E8\ED\E5\ED\E8\FF \E2 \EC\EE\FE \F1\E5\
    \F2\FC" connection-state=related
add action=drop chain=input comment="\C7\E0\EF\F0\E5\F2\E8\F2\FC \EF\E8\ED\E3 \
    \CC\E8\EA\F0\EE\F2\E8\EA \E2\F1\E5\EC, \EA\F0\EE\EC\E5 \E0\E4\EC\E8\ED\E8\
    \F1\F2\F0\E0\F2\EE\F0\E0" in-interface=bridge1-local protocol=icmp \
    src-address-list=!Administrator
add action=drop chain=input comment="\C7\E0\E1\EB\EE\EA\E8\F0\EE\E2\E0\F2\FC \
    \E2\F1\E5 \F1\EE\E5\E4\E8\ED\E5\ED\E8\FF \ED\E0 \CC\E8\EA\F0\EE\F2\E8\EA" \
    in-interface=WAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN
/ip route
add comment="Gateway UNET" distance=1 gateway=10.xx.xx.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.222.0/24 disabled=yes
set ssh address=192.168.222.0/24 disabled=yes
set api disabled=yes
set winbox address=192.168.222.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system leds
set 0 interface=wlan1 leds=wlan-led type=wireless-status
set 1 interface=WAN leds=led1
set 2 interface="ether2 Master Port" leds=led2
set 3 interface="ether3 Slave Port" leds=led3
set 4 interface="ether4 Slave Port" leds=led4
set 5 interface="ether5 Slave Port" leds=led5 type=interface-activity
/system ntp client
set enabled=yes primary-ntp=46.46.160.130 secondary-ntp=48.188.15.35
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge1-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge1-local<=

[GDragon]

Вы бы хоть ключи(совсем) и айпишники(хотя бы частично) с мак адресами затерли))

[Denitornado]

Вы бы хоть ключи(совсем) и айпишники(хотя бы частично) с мак адресами затерли))

Спасибо за совет, сделал. Вчера торопился конфиг представить по просьбе....

[Dragon_Knight]

По конфигу вроде более менее..
Когда начнутся перекливание антивируса, зайдите в WinBox -> IP -> Firewall -> NAT и скриншот, если там будет более одной строчки маскарада.

[podarok66]

Ну, правила фаервола я так до конца и не понял. Что разрешают, что запрещают, зачем? Как бы абстрактная конструкция получилась.
Про цепочку форвард. Локалка-то прозрачная совсем вышла. ЛЮБОЕ соединение в локалке будет разрешаться и поддерживаться... По всем портам, любые виды соединений, с любых адресов на любые адреса. Чем городить такой огород, такого же эффекта можно добиться и вообще не поднимая ни одного правила. Может все же оставить нужные порты и посмотреть, что выйдет? Или весь упор на Каспера? Тогда пусть вот он и борется, как ему надо.

[gmx]

Меня всегда мучает один вопрос: для чего???? Для чего многие пользуются программными и аппаратными средствами, которые им совсем ненужны?

ТС: зачем вы купили антивирус вместе с фаерволлом??? В Windows нет фаерволла? Любой фаерволл в одночасье так достанет с вопросами, что постепенно пользователь (даже опытный) начнет жмякат "разрешить" не читая само сообщение.
Выполните, наконец-то, что пишет вам Dragon_Knight.

В вашем распоряжении настолько мощный аппаратно-программный фаерволл - микротик! Используйте всего его возможности и отключите фаерволл в касперском. Радость в жизни очень близко!

[Denitornado]

Меня всегда мучает один вопрос: для чего???? Для чего многие пользуются программными и аппаратными средствами, которые им совсем ненужны?

ТС: зачем вы купили антивирус вместе с фаерволлом??? В Windows нет фаерволла? Любой фаерволл в одночасье так достанет с вопросами, что постепенно пользователь (даже опытный) начнет жмякат "разрешить" не читая само сообщение.
Выполните, наконец-то, что пишет вам Dragon_Knight.

В вашем распоряжении настолько мощный аппаратно-программный фаерволл - микротик! Используйте всего его возможности и отключите фаерволл в касперском. Радость в жизни очень близко!

Хотелось бы все таки найти корень проблемы, а не отвлекаться на "кто зачем, что купил". Но отвечу - когда покупался Каспер, Микротика еще не было. Потом уже купил микротик.

P.S. За сегодня пока не было ни одного сообщения от Каспера, что кто-то атакует. Наблюдаю.... В настройках ни чего не менял.