Атака на Wan, требуется помощь

Обсуждение оборудования и его настройки
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Dreamer_UFA писал(а): 31 май 2018, 07:15почти все они открыты миру, достучатся можно как по WAN так и по LAN через браузер
У тебя не просто открыты, а похоже предыдущий админ сделал гадость и открыл публичный прокси для всех, или просто не понимал что делал.

Еще раз повторю, как бы я делал:

Обрати внимание все эти действия только на input, т.е. на трафик к маршрутизатору. Трафик из локальной сети в интернет и обратно это цепочка forward. Этими действиями ты её никак не тронешь.

1. на сколько я понял подключаешься к микротам ты по публичному адресу. тогда первым делом узнаешь свой внешний адрес. например на 2ip.ru. Предположим он у тебя 95.50.158.182
2. подключаешься к микротику, включаешь safe mode. рекомендую его всегда использовать перед внесением изменений.
3. в winbox открываешь ip firewall - filter rules, выбираешь только input
4. все отключаешь, а лучше удаляешь (надеюсь у тебя пароль нормальный)
5. через терминал (new terminal) добавляешь правила

Код: Выделить всё

/ip firewall filter 
add chain=input action=drop connection-state=invalid comment="drop invalid"
add chain=input action=accept connection-state=established,related comment="accept established,related"
add chain=input action=accept protocol=icmp comment="accept ICMP"
add action=accept chain=input src-address=95.50.158.182
6. добавляешь правило запрещающее все что выше не разрешено. оно должно быть последним !

Код: Выделить всё

add chain=input action=drop comment="drop all other"
Если после этого правила, потерял связь с микротом, то значит ты подключаешься не с 95.50.158.182. Благодаря safe mode все вернется как было, и сможешь начинать с п.2, исправя свою ошибку.

7. если связь с микротиком не потеряна, то отключаешь safe mode

8. далее, уже через винбокс добавляешь правило для ipsec. ты в упор не хочешь показать конфиг (есть такая команда export), поэтому не знаю как он у тебя реализован. если у тебя на этом микротике только l2tp клиент с ipsec, то никаких дополнительных правил не нужно.

9. далее, если нужен доступ к микротику из локальной сети (днс держишь на МТ или еще чего), к примеру для bridge-LAN нужно добавить правило
/ip firewall filter add chain=input action=accept in-interface=bridge-LAN place-before=0

place-before=0 показывает что его нужно расположить первым, но я бы его передвинул перед drop all. это ты легко можешь сделать в winbox.
Это самый простой вариант правила. в идеале добавить только нужные порты, чтобы из локалки тебя не взломали.

10. далее смотришь что не работает и добавляешь нужные правила. узнать что не работает можно в правиле drop all кратковременно включить логирование, и тогда увидишь все пакеты которые запрещаются, вдруг среди них есть и нужные.

Наведя порядок с input, берешься за forward, по такому же принципу.

ЗЫ: вряд ли всегда будет существовать инструкция по конкретно твоему случаю. есть сайт wiki.mikrotik.com там достаточно информации.


Александр
Аватара пользователя
romsandj
Сообщения: 143
Зарегистрирован: 17 янв 2017, 08:27
Откуда: Ростовская область

Выложи конфиг. Дай команду в терминале /export compact file=MUM.rsc Потом из Files вытяни получившийся файл mum.rsc к себе на рабочий стол. Отредактируй его (затри пассы, стат адреса) и потом содержимое кинь сюда.
Ну сложно выяснять что да как, как правильно заметили, может действительно обиженый админ пакость оставил, ,или до сих пор пакостит. Кстати вкурсе, что если на МТ прошивка младше 6.42 то открытый порт 8291 "на улицу" покажет все твои логины пароли с помощью скрипта.


Я бы изменил мир, но Бог не даёт исходники...
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
Ответить