Мой микротик используют в качестве DNS?

[SANER]

Добрый день.
Пользователи начали жаловаться на плохой интернет. Для начала я начал разбираться, кто из пользователей сколько тянет интернета с помощью функции Torch, т.к. у меня проблем с ним не возникает. С помощью этой же Torch обнаружил на интерфейсе, которому подключен основной провайдер, много бегающего трафика с незнакомыми адресами (скриншот ниже)

Я правильно понимаю - это они используют в качестве DNS-сервера наш микротик??


На кануне у провайдера были проблемы с их DNS-ами и я прописал гугловские вот скриншот:

Настройки подключения к провайдеру:

[Vlad-2]

кратко отвечая на вопрос в теме - ДА! А точнее его атакую и ДДосят!
Закрывайте порт(ы) срочно.

[SANER]

кратко отвечая на вопрос в теме - ДА! А точнее его атакую и ДДосят!
Закрывайте порт(ы) срочно.

Спасибо!
Я закрыл входящие на порт 53 на интерфейсе провайдера и на его же pppoe соединении.

Также отключил Allow remote requests в настройках DNS
Но трафик не уменьшился на протяжении часа, картина та же...

[Vlad-2]

Спасибо!
Я закрыл входящие на порт 53 на интерфейсе провайдера и на его же pppoe соединении.
Также отключил Allow remote requests в настройках DNS
Но трафик не уменьшился на протяжении часа, картина та же...

А зачем закрывать 53 порт и потом ещё и отключать ДНС (сняв галочку вы ВООБЩЕ его отключили для локальных пользователей в том числе)?
А атаки будут идти...со временем уменьшаться...
Если у вас динамический адрес, порвите сессию и заново подымите её.

[SANER]

Значит я плохо Вас понял из фразы "Закрывайте порт(ы) срочно."
Я после Вашего ответа начал гуглить и мне первые результаты выдало о DNS-flood и закрыл порты. Или Вы имели в виду закрыть все порты и оставить нужные?

[Vlad-2]

Закрываем 53 порт (TCP и UDP) на внешних интерфейсах.
С локальных интерфейсов, с локальных адресации он должен быть доступен и галочка должна быть установлена.

[SANER]

Закрываем 53 порт (TCP и UDP) на внешних интерфейсах.
С локальных интерфейсов, с локальных адресации он должен быть доступен и галочка должна быть установлена.

Закрыл 53й порт на внешних интерфейсах, галку Allow remote requests поставил. Результат тот же... Посмотрите пожалуйста на скрин правильно разве я неправильно закрыл порты?

[algerka]

Закрыл 53й порт на внешних интерфейсах, галку Allow remote requests поставил. Результат тот же... Посмотрите пожалуйста на скрин правильно разве я неправильно закрыл порты?

Мне по картинке не понятно. Лучше конфиг покажите.

Подскажите, а почему вы не пользуетесь принципом "что надо (знаю) - разрешаю, а остальное все запрещаю" ? На мой взгляд
то и проще и правильнее.

[SANER]

Закрыл 53й порт на внешних интерфейсах, галку Allow remote requests поставил. Результат тот же... Посмотрите пожалуйста на скрин правильно разве я неправильно закрыл порты?

Мне по картинке не понятно. Лучше конфиг покажите.

Подскажите, а почему вы не пользуетесь принципом "что надо (знаю) - разрешаю, а остальное все запрещаю" ? На мой взгляд
то и проще и правильнее.

ip firewall filter

 

/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=ether10wan2 protocol
=tcp
add action=drop chain=input dst-port=53 in-interface=ether10wan2 protocol
=udp
add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=
udp
add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=
tcp
add action=drop chain=input dst-port=53 in-interface=pppoe-out2 protocol=
udp
add action=drop chain=input dst-port=53 in-interface=pppoe-out2 protocol=
tcp
add action=drop chain=input dst-port=53 in-interface=ether1wan1 protocol=
tcp
add action=drop chain=input dst-port=53 in-interface=ether1wan1 protocol=
udp
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input disabled=yes dst-port=1723 protocol=tcp
add chain=input disabled=yes protocol=gre
add action=drop chain=input disabled=yes dst-port=8080 in-interface=\
pppoe-out1 protocol=tcp
add action=drop chain=input disabled=yes dst-port=8080 in-interface=\
pppoe-out2 protocol=tcp

Не запрещаю все, т.к. в офисе используют jabber/icq/skype/vpn/rdp/sip и др. а там у всех свои порты...

[algerka]

Не запрещаю все, т.к. в офисе используют jabber/icq/skype/vpn/rdp/sip и др. а там у всех свои порты...

ну так и разрешите с интерфейса офиса все в цепочке forward, остальное блокируйте.

но проблема у вас не в forward, а в input цепочке.
вот в input и разрешить все с интерфейса локальной сети, а остальное блокируйте с логированием и смотрите чего еще нужно разрешить.

по конфигу вы блокируете 53 порт для интерфейсов ether10wan2, pppoe-out1, pppoe-out2, ether1wan1. но получается у вас все остальное разрешено. видимо где-то пропустили, ибо на данный момент на адресе 195.24.146.98 отрыт dns resolver для всех ! срочно закрывайте !
поставьте последним правилом логирование и смотрите лог. не можете сами - обратитесь к профессионалу.

но в вашем случае настоятельно рекомендую воспользоваться предложенным принципом. видя как вы "плаваете" в вопросе последствия могут быть очень печальными.

ps: надеюсь в маскарадинге у вас корректно указан исходящий интерфейс.