Проблема с RB850Gx2

Обсуждение оборудования и его настройки
admt
Сообщения: 20
Зарегистрирован: 20 апр 2016, 12:42

Добрый день.
Имеется mikrotik RB850Gx2 белый внешний IP настроено на нем следующее:
Разрешаем пинги

Код: Выделить всё

add chain=input action=accept protocol=icmp
add chain=forward action=accept protocol=icmp


---Разрешаем установленные подключения

Код: Выделить всё

add chain=input action=accept connection-state=established
add chain=forward action=accept connection-state=established

---Разрешаем связанные подключения

Код: Выделить всё

add chain=input action=accept connection-state=related
add chain=forward action=accept connection-state=related

---Разрешаем все подключения из нашей локальной сети

Код: Выделить всё

add chain=input action=accept src-address=192.168.1.0/24 in-interface=!ether2

---Обрубаем инвалидные подключения

Код: Выделить всё

add chain=input action=drop connection-state=invalid
add chain=forward action=drop connection-state=invalid

---Обрубаем все остальные входящие подключения

Код: Выделить всё

add chain=input action=drop in-interface=ether2

---Разрешаем доступ из локальной сети в интернет

Код: Выделить всё

add chain=forward action=accept in-interface=!ether2 out-interface=ether2

---Обрубаем все остальные подключения

Код: Выделить всё

add chain=forward action=drop 


И настроен проброс порта 25 на почтовый сервер из вне и настроено подключение vpv по pptp для пользователей и l2tp для удаленных офисов. И все больше ничего не настроено.
Проблема такая как только я включаю микротик к сети интернет, на мой почтовик сразу валить куча спама с множественными подключениям к почтовому серверу и он перестает принимать и отправлять корпоративную почту т.к. очередь писем забита запросами спамеров и spam relay от динамических прокси сервером из китая и тайвани. Но если я вместо микротика ставлю D-Link DI-824VUP с точно такими же настройками, по все нормально сперы и relay отваливают и почтовик работает нормально.
Вчем проблема mikrotika что он так себя ведет? или неправильные настройки на нем или чего то не хватает в настройках? Подскажи те как решить эту проблему?
Спасибо.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

53 порт в цепочке input закрыть на входящем интерфейсе

Код: Выделить всё

/ip firewall filter add chain=input action=drop in-interface=wan protocol=udp dst-port=53


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
admt
Сообщения: 20
Зарегистрирован: 20 апр 2016, 12:42

Сделал так и почта из вне перестала вообще ходить, получилось что запросы dns отбрасываются и почтовые сервера не могут доставить почту т.к. нет ответа.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ну уж проверяйте.
Отключаем все правила. Потом включаем только это и проверяем:

Код: Выделить всё

/ip firewall filter add chain=input action=drop in-interface=ether2 protocol=udp dst-port=53

Если ситуация нормализовалась, ищем косяк в своих правилах (я их не анализирую, любите копипастить, любИте и вникать в скопированное)


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
admt
Сообщения: 20
Зарегистрирован: 20 апр 2016, 12:42

то что входящий интерфейс указан другой это то я понимаю, что указывается тот который у меня (и он назван у меня ether-wan). А если разница, что я его поставлю самым первым в списке фильтров или мне его ставить самым последним, нде все остальные запрещающие стоят. Сперва я так понял идут разрежающие а потом запрещающие, или я ошибаюсь?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Правила срабатывают по порядку. Еще раз повторяю, отключаем ВСЕ правила и включаем одно указанное. Проверяем, ушла ли проблема. Если ушла, садимся читать про фаервол (iptables) в линуксе в целом и в RouterOs в частности. Я про то, что ваши правила как-то странно смотрятся и читаются. Фаервол вообще лучше настраивать с пониманием. Копипаст или гадание на кофейной гуще до добра не доводят.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
admt
Сообщения: 20
Зарегистрирован: 20 апр 2016, 12:42

Вообщем по экспериментировал с правилами и с посмотрев логи понял, что то правило, что Вы написали не работает ни в одном случае, а работают вот такие правила
add action=drop chain=input dst-port=53 in-interface=ether-wan1 protocol=udp
add action=drop chain=input dst-port=53 in-interface=ether-wan1 protocol=tcp
И начинает правильно работать если их поставить первыми перед разрешающими правилами. и все ок.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ну и чем эти правила отличаются от ваших? Тем, что в моих в качестве исходящего указан МОЙ интерфейс , который я использую для выхода в сеть? Ну так сударь мой, уж в чем-то вы должны сами головой варить.
Ну хоть работать стало и ладно.
P.S.: Кстати, у меня правило для tcp-протокола отсутствует. И флуда я не наблюдал никогда по этому протоколу.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
admt
Сообщения: 20
Зарегистрирован: 20 апр 2016, 12:42

В этом то и проблема, что как только добавил еще и tcp все прекратилось сразу, по udp когда было одно только правило все равно флуд был не маленький, добавил еще и tcp и полностью все прекратилась, при этом все сервисы пока работа в нормальном режиме, буду наблюдать.
PS. Я почему в Вашем правиле думал что стоить не input а forward. А по поводу интерфейсов тут и так понятно, что как его обзовешь тот и выбираешь (в терминале он сам подставляет по tab) :)
Спасибо за помощь. Помогло точно. :)


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Удачи


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить