Добрый день.
Пользователи начали жаловаться на плохой интернет. Для начала я начал разбираться, кто из пользователей сколько тянет интернета с помощью функции Torch, т.к. у меня проблем с ним не возникает. С помощью этой же Torch обнаружил на интерфейсе, которому подключен основной провайдер, много бегающего трафика с незнакомыми адресами (скриншот ниже)
Я правильно понимаю - это они используют в качестве DNS-сервера наш микротик??
На кануне у провайдера были проблемы с их DNS-ами и я прописал гугловские вот скриншот:
Настройки подключения к провайдеру:
Мой микротик используют в качестве DNS?
-
- Сообщения: 38
- Зарегистрирован: 09 авг 2014, 10:12
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
-
- Сообщения: 38
- Зарегистрирован: 09 авг 2014, 10:12
Vlad-2 писал(а):кратко отвечая на вопрос в теме - ДА! А точнее его атакую и ДДосят!
Закрывайте порт(ы) срочно.
Спасибо!
Я закрыл входящие на порт 53 на интерфейсе провайдера и на его же pppoe соединении.
Также отключил Allow remote requests в настройках DNS
Но трафик не уменьшился на протяжении часа, картина та же...
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
SANER писал(а):Спасибо!
Я закрыл входящие на порт 53 на интерфейсе провайдера и на его же pppoe соединении.
Также отключил Allow remote requests в настройках DNS
Но трафик не уменьшился на протяжении часа, картина та же...
А зачем закрывать 53 порт и потом ещё и отключать ДНС (сняв галочку вы ВООБЩЕ его отключили для локальных пользователей в том числе)?
А атаки будут идти...со временем уменьшаться...
Если у вас динамический адрес, порвите сессию и заново подымите её.
-
- Сообщения: 38
- Зарегистрирован: 09 авг 2014, 10:12
Значит я плохо Вас понял из фразы "Закрывайте порт(ы) срочно."
Я после Вашего ответа начал гуглить и мне первые результаты выдало о DNS-flood и закрыл порты. Или Вы имели в виду закрыть все порты и оставить нужные?
Я после Вашего ответа начал гуглить и мне первые результаты выдало о DNS-flood и закрыл порты. Или Вы имели в виду закрыть все порты и оставить нужные?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Закрываем 53 порт (TCP и UDP) на внешних интерфейсах.
С локальных интерфейсов, с локальных адресации он должен быть доступен и галочка должна быть установлена.
С локальных интерфейсов, с локальных адресации он должен быть доступен и галочка должна быть установлена.
-
- Сообщения: 38
- Зарегистрирован: 09 авг 2014, 10:12
Vlad-2 писал(а):Закрываем 53 порт (TCP и UDP) на внешних интерфейсах.
С локальных интерфейсов, с локальных адресации он должен быть доступен и галочка должна быть установлена.
Закрыл 53й порт на внешних интерфейсах, галку Allow remote requests поставил. Результат тот же... Посмотрите пожалуйста на скрин правильно разве я неправильно закрыл порты?
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
SANER писал(а):Закрыл 53й порт на внешних интерфейсах, галку Allow remote requests поставил. Результат тот же... Посмотрите пожалуйста на скрин правильно разве я неправильно закрыл порты?
Мне по картинке не понятно. Лучше конфиг покажите.
Подскажите, а почему вы не пользуетесь принципом "что надо (знаю) - разрешаю, а остальное все запрещаю" ? На мой взгляд
то и проще и правильнее.
Александр
-
- Сообщения: 38
- Зарегистрирован: 09 авг 2014, 10:12
algerka писал(а):SANER писал(а):Закрыл 53й порт на внешних интерфейсах, галку Allow remote requests поставил. Результат тот же... Посмотрите пожалуйста на скрин правильно разве я неправильно закрыл порты?
Мне по картинке не понятно. Лучше конфиг покажите.
Подскажите, а почему вы не пользуетесь принципом "что надо (знаю) - разрешаю, а остальное все запрещаю" ? На мой взгляд
то и проще и правильнее.
ip firewall filter
Не запрещаю все, т.к. в офисе используют jabber/icq/skype/vpn/rdp/sip и др. а там у всех свои порты...
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
SANER писал(а):Не запрещаю все, т.к. в офисе используют jabber/icq/skype/vpn/rdp/sip и др. а там у всех свои порты...
ну так и разрешите с интерфейса офиса все в цепочке forward, остальное блокируйте.
но проблема у вас не в forward, а в input цепочке.
вот в input и разрешить все с интерфейса локальной сети, а остальное блокируйте с логированием и смотрите чего еще нужно разрешить.
по конфигу вы блокируете 53 порт для интерфейсов ether10wan2, pppoe-out1, pppoe-out2, ether1wan1. но получается у вас все остальное разрешено. видимо где-то пропустили, ибо на данный момент на адресе 195.24.146.98 отрыт dns resolver для всех ! срочно закрывайте !
поставьте последним правилом логирование и смотрите лог. не можете сами - обратитесь к профессионалу.
но в вашем случае настоятельно рекомендую воспользоваться предложенным принципом. видя как вы "плаваете" в вопросе последствия могут быть очень печальными.
ps: надеюсь в маскарадинге у вас корректно указан исходящий интерфейс.
Александр