Атака на Wan, требуется помощь

[Dreamer_UFA]

Доброго времени суток.
Помогите пожалуйста разобраться с проблемой, уже весь мозг сломал.

Mikrotik RB750.
Загрузка процессора-100% Еле откликается, работать даже в WinBox не комфортно.
Постоянно идут пакеты с разных IP. При проверке выясняется китай, сша, украина и т.д. Ботнет ?
Заблокировать проблематично - слишком их много.

Настройки файрвола. На текущий момент, ибо много чего уже перепробывал


Интерфейсы


Ресурсы


Торч


Обновил прошивку на последнюю.
Отключил ДНС (Allow Remote Request)
Пробовал в разных вариациях файрвол настраивать.

Куда копать дальше? Помогите решить коллегиально задачу.

Заранее спасибо.

[algerka]

Куда копать дальше? Помогите решить коллегиально задачу.

Наведите порядок в правилах файервола. перед изменением сделайте бэкап. настройку лучше делать с интерфейса bridge-LAN.
Для начала отключите (а лучше удалите) все что на input и добавьте:

Код: Выделить всё

/ip firewall filter 
add chain=input action=drop connection-state=invalid comment="drop invalid"
add chain=input action=accept connection-state=established,related comment="accept established,related"
add chain=input action=accept in-interface=bridge-LAN
add chain=input action=accept protocol=icmp comment="accept ICMP"
add chain=input action=drop comment="drop all other"

Это минимум который закроет полностью доступ к машрутизатору, за исключением с интерфейса bridge-LAN (если нужен доступ для настройки или к dns). Если вас грузят трафиком снаружи, то это уже поможет.
Далее, наведите порядок с forward.
Ну и потом с output. Не знаю вашу задачу, но у меня он обычно пустой.

ЗЫ: вообще сложно советовать, ибо конфиг вы не показали, задачу которую выполнят маршрутизатор не обрисовали. Я уж теряюсь в догадках зачем вам такое кол-во правил.

[Dreamer_UFA]

Это микротик установленный в ресторане. Раздает 2 сети по WiFi (служебная сеть и хот спот). Он же соединен по ipsec с офисом.
Правила добавлялись, перемешивались в поисках решения.
Сама точка находится в 400 км. от меня, нужна осторожность :)

Трафик идет именно на either-gateway.

PS: пытался настроить так что бы дропнутые айпишники в адрес лист добавлялись. Почему то не работает.
Пробовал подсеть блокировать: input - src (222.0.0.0/8) - drop. Почему то не работает. Что я не так делаю ? Нуб я в микротиках

[mafijs]

10,11 в самый верх.
6.7 - не нужно


Перед изменениям мжно включть <Safe Mode> , если что не так и потеряется связь, востановится прежняя конфигурация.

edit :
IP -> Services -> IP Service list оставить только Winbox , остальные "disable".

[Dreamer_UFA]

Сделал.
Пока вот так выглядит. Похоже на правду ?


На правилах сканирования 0, 4 трафик появился. Но все равно загрузка еще 100%.
Нужно ли ребутнуть роутер что бы сбросить коннекты ?

[algerka]

PS: пытался настроить так что бы дропнутые айпишники в адрес лист добавлялись. Почему то не работает.
Пробовал подсеть блокировать: input - src (222.0.0.0/8) - drop.

Не надо нагружать маршрутизатор бессмысленными правилами. Поймите каждое правило это нагрузка на проц.
Разрешите только то что нужно (в том числе доступ с 92.50.158.182 и ipsec), остальное заблокируйте одним правилом. не уверен - включите safe mode.

[Dreamer_UFA]

Спасибо. Все лишнее пока за дизейблил.
Не пойму все же почему так много трафика идет на 8080 порт.

Скрин с Торча. актуальный


Где мне прибить порт 8080. Вроде бы все по рекомендациям. Все порты служебные отключены кроме Винбокса. Доступ тоже к админке по http нету.
Отуда генерится вот это сообщение:

"ERROR: Unauthorized
While trying to retrieve the URL http://194.186.150.18:8080/:

There is a loop in network for HTTP traffic. Check your network topology and proxy & firewall configuration
Your cache administrator is webmaster.

Generated Wed, 30 May 2018 11:18:27 GMT by 194.186.150.18 (Mikrotik HttpProxy)"

Подскажите какой конфиг и что показать еще.

PS: добавил правило input-tcp-8080-either1-gateway drop. Нагрузка сразу упала до 10-15%. Проверил с ПК удаленного доступ к интернету и сервисам - все ок.
Правильно я понимаю что дропаются пакеты входящие на WAN интерфейс микротика. А изнутри наружу все будет ок ?

[algerka]

PS: добавил правило input-tcp-8080-either1-gateway drop.

Зачем спрашивать если вы все равно не слушаете?
Возьмите шаманский бубен и кроличью лапку.. и продолжайте экспериментировать

[podarok66]

Александр, мы спокойны...
Просто куда-то пропала вся ветка для новичков. Видимо кто-то из модеров случайно потер. Вместе с ней ушли на покой и наши любимые правила публикации вопросов. Работаем без них пока. На поиск тоже по понятным причинам не сошлешься.
To TS: Пожалуйста, прислушайтесь к советам Александра. Он опытный админ, у него весьма приличный опыт, в том числе и в части написания всяческих мануалов. Его советам можно доверять и надо к ним прислушиваться.

[Dreamer_UFA]

Парни, я не из тех кто в случае чего начинает постить просьбы о помощи. Я сначала курю мануалы, ищу решение на вопросы и пытаюсь самостоятельно решить вопросы. Но все что я попробовал из того что нашел, в том числе и на этом замечательном форуме, не привело к положительному результату. Поэтому я писатель. Я бы давно обнулил железку и прошил ее заново, есть опыт в этом деле. НО точка находится в другой области, отправиться туда тоже не могу резко.
С одной стороны висящий Микрот и не синхронизирующееся ПО, с другой стороны начальство.
Правило добавил - стало возможным работать. Есть тайм аут на дальнейшее решение вопроса.
Я человек новый в этой организации. У меня таких точек около 30. И все в разной степени удаленности. Изучая вчера проблему с ДДОС атакой проверил остальные маршрутизаторы - оказалось что почти все они открыты миру, достучатся можно как по WAN так и по LAN через браузер. Сегодня закрою все.

Не обессудьте. Если есть RTFM куда послать, с удовольствием почитаю