Доброго времени суток.
Помогите пожалуйста разобраться с проблемой, уже весь мозг сломал.
Mikrotik RB750.
Загрузка процессора-100% Еле откликается, работать даже в WinBox не комфортно.
Постоянно идут пакеты с разных IP. При проверке выясняется китай, сша, украина и т.д. Ботнет ?
Заблокировать проблематично - слишком их много.
Настройки файрвола. На текущий момент, ибо много чего уже перепробывал
Интерфейсы
Ресурсы
Торч
Обновил прошивку на последнюю.
Отключил ДНС (Allow Remote Request)
Пробовал в разных вариациях файрвол настраивать.
Куда копать дальше? Помогите решить коллегиально задачу.
Заранее спасибо.
Атака на Wan, требуется помощь
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Наведите порядок в правилах файервола. перед изменением сделайте бэкап. настройку лучше делать с интерфейса bridge-LAN.
Для начала отключите (а лучше удалите) все что на input и добавьте:
Код: Выделить всё
/ip firewall filter
add chain=input action=drop connection-state=invalid comment="drop invalid"
add chain=input action=accept connection-state=established,related comment="accept established,related"
add chain=input action=accept in-interface=bridge-LAN
add chain=input action=accept protocol=icmp comment="accept ICMP"
add chain=input action=drop comment="drop all other"
Далее, наведите порядок с forward.
Ну и потом с output. Не знаю вашу задачу, но у меня он обычно пустой.
ЗЫ: вообще сложно советовать, ибо конфиг вы не показали, задачу которую выполнят маршрутизатор не обрисовали. Я уж теряюсь в догадках зачем вам такое кол-во правил.
Александр
-
- Сообщения: 5
- Зарегистрирован: 29 май 2018, 14:18
Это микротик установленный в ресторане. Раздает 2 сети по WiFi (служебная сеть и хот спот). Он же соединен по ipsec с офисом.
Правила добавлялись, перемешивались в поисках решения.
Сама точка находится в 400 км. от меня, нужна осторожность :)
Трафик идет именно на either-gateway.
PS: пытался настроить так что бы дропнутые айпишники в адрес лист добавлялись. Почему то не работает.
Пробовал подсеть блокировать: input - src (222.0.0.0/8) - drop. Почему то не работает. Что я не так делаю ? Нуб я в микротиках
Правила добавлялись, перемешивались в поисках решения.
Сама точка находится в 400 км. от меня, нужна осторожность :)
Трафик идет именно на either-gateway.
PS: пытался настроить так что бы дропнутые айпишники в адрес лист добавлялись. Почему то не работает.
Пробовал подсеть блокировать: input - src (222.0.0.0/8) - drop. Почему то не работает. Что я не так делаю ? Нуб я в микротиках
-
- Сообщения: 536
- Зарегистрирован: 03 сен 2017, 03:08
- Откуда: Marienburga
10,11 в самый верх.
6.7 - не нужно
Перед изменениям мжно включть <Safe Mode> , если что не так и потеряется связь, востановится прежняя конфигурация.
edit :
IP -> Services -> IP Service list оставить только Winbox , остальные "disable".
6.7 - не нужно
Перед изменениям мжно включть <Safe Mode> , если что не так и потеряется связь, востановится прежняя конфигурация.
edit :
IP -> Services -> IP Service list оставить только Winbox , остальные "disable".
-
- Сообщения: 5
- Зарегистрирован: 29 май 2018, 14:18
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Не надо нагружать маршрутизатор бессмысленными правилами. Поймите каждое правило это нагрузка на проц.Dreamer_UFA писал(а): ↑30 май 2018, 12:54 PS: пытался настроить так что бы дропнутые айпишники в адрес лист добавлялись. Почему то не работает.
Пробовал подсеть блокировать: input - src (222.0.0.0/8) - drop.
Разрешите только то что нужно (в том числе доступ с 92.50.158.182 и ipsec), остальное заблокируйте одним правилом. не уверен - включите safe mode.
Александр
-
- Сообщения: 5
- Зарегистрирован: 29 май 2018, 14:18
Спасибо. Все лишнее пока за дизейблил.
Не пойму все же почему так много трафика идет на 8080 порт.
Скрин с Торча. актуальный
Где мне прибить порт 8080. Вроде бы все по рекомендациям. Все порты служебные отключены кроме Винбокса. Доступ тоже к админке по http нету.
Отуда генерится вот это сообщение:
"ERROR: Unauthorized
While trying to retrieve the URL http://194.186.150.18:8080/:
There is a loop in network for HTTP traffic. Check your network topology and proxy & firewall configuration
Your cache administrator is webmaster.
Generated Wed, 30 May 2018 11:18:27 GMT by 194.186.150.18 (Mikrotik HttpProxy)"
Подскажите какой конфиг и что показать еще.
PS: добавил правило input-tcp-8080-either1-gateway drop. Нагрузка сразу упала до 10-15%. Проверил с ПК удаленного доступ к интернету и сервисам - все ок.
Правильно я понимаю что дропаются пакеты входящие на WAN интерфейс микротика. А изнутри наружу все будет ок ?
Не пойму все же почему так много трафика идет на 8080 порт.
Скрин с Торча. актуальный
Где мне прибить порт 8080. Вроде бы все по рекомендациям. Все порты служебные отключены кроме Винбокса. Доступ тоже к админке по http нету.
Отуда генерится вот это сообщение:
"ERROR: Unauthorized
While trying to retrieve the URL http://194.186.150.18:8080/:
There is a loop in network for HTTP traffic. Check your network topology and proxy & firewall configuration
Your cache administrator is webmaster.
Generated Wed, 30 May 2018 11:18:27 GMT by 194.186.150.18 (Mikrotik HttpProxy)"
Подскажите какой конфиг и что показать еще.
PS: добавил правило input-tcp-8080-either1-gateway drop. Нагрузка сразу упала до 10-15%. Проверил с ПК удаленного доступ к интернету и сервисам - все ок.
Правильно я понимаю что дропаются пакеты входящие на WAN интерфейс микротика. А изнутри наружу все будет ок ?
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Зачем спрашивать если вы все равно не слушаете?
Возьмите шаманский бубен и кроличью лапку.. и продолжайте экспериментировать
Александр
- podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Александр, мы спокойны...
Просто куда-то пропала вся ветка для новичков. Видимо кто-то из модеров случайно потер. Вместе с ней ушли на покой и наши любимые правила публикации вопросов. Работаем без них пока. На поиск тоже по понятным причинам не сошлешься.
To TS: Пожалуйста, прислушайтесь к советам Александра. Он опытный админ, у него весьма приличный опыт, в том числе и в части написания всяческих мануалов. Его советам можно доверять и надо к ним прислушиваться.
Просто куда-то пропала вся ветка для новичков. Видимо кто-то из модеров случайно потер. Вместе с ней ушли на покой и наши любимые правила публикации вопросов. Работаем без них пока. На поиск тоже по понятным причинам не сошлешься.
To TS: Пожалуйста, прислушайтесь к советам Александра. Он опытный админ, у него весьма приличный опыт, в том числе и в части написания всяческих мануалов. Его советам можно доверять и надо к ним прислушиваться.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 5
- Зарегистрирован: 29 май 2018, 14:18
Парни, я не из тех кто в случае чего начинает постить просьбы о помощи. Я сначала курю мануалы, ищу решение на вопросы и пытаюсь самостоятельно решить вопросы. Но все что я попробовал из того что нашел, в том числе и на этом замечательном форуме, не привело к положительному результату. Поэтому я писатель. Я бы давно обнулил железку и прошил ее заново, есть опыт в этом деле. НО точка находится в другой области, отправиться туда тоже не могу резко.
С одной стороны висящий Микрот и не синхронизирующееся ПО, с другой стороны начальство.
Правило добавил - стало возможным работать. Есть тайм аут на дальнейшее решение вопроса.
Я человек новый в этой организации. У меня таких точек около 30. И все в разной степени удаленности. Изучая вчера проблему с ДДОС атакой проверил остальные маршрутизаторы - оказалось что почти все они открыты миру, достучатся можно как по WAN так и по LAN через браузер. Сегодня закрою все.
Не обессудьте. Если есть RTFM куда послать, с удовольствием почитаю
С одной стороны висящий Микрот и не синхронизирующееся ПО, с другой стороны начальство.
Правило добавил - стало возможным работать. Есть тайм аут на дальнейшее решение вопроса.
Я человек новый в этой организации. У меня таких точек около 30. И все в разной степени удаленности. Изучая вчера проблему с ДДОС атакой проверил остальные маршрутизаторы - оказалось что почти все они открыты миру, достучатся можно как по WAN так и по LAN через браузер. Сегодня закрою все.
Не обессудьте. Если есть RTFM куда послать, с удовольствием почитаю