Непонятная проблема с трафиком в Megogo

Обсуждение оборудования и его настройки
Ответить
Magarjoba
Сообщения: 5
Зарегистрирован: 09 дек 2018, 19:16

Всем доброго времени . Суть такова взял для mibox3 Микрот для родителей
Mikrotik hAP ac lite (RB952Ui-5ac2nD)

настраивал все по мануалам. вроде не первый раз. скорость инета порядка 50 мб.

Но столкнулся с проблемой , тестирую приложуху Megogo , и все действия удаленно делаю. т.к нахожусь в другом городе и очень далеко

Смысл в том что начало все тормозить спустя 2 дня, инет проверял все в порядке, но в фаэрволле сделал фильтрацию по приставке и наблюдал
как дропаются пакеты со стороны. .. я не эксперт конечно. . но отключал фэрволл .все-равно дропы коннектов присутствуют, Не могу понять
Причина в настройках, либо в чем-то другом

Я конфиг чуть ниже покажу. в нем я разделил сеть на гостевую 2g одну 5ghz и одну для родителей приставка подключается к 5ghz
 Конф для RB952Ui
/interface bridge
add arp=reply-only fast-forward=no name=Bridge-guest-wifi
add arp=reply-only name=bridge1
/interface ethernet
set [ find default-name=ether1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
eth1-WAN
set [ find default-name=ether2 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
eth2-lan
set [ find default-name=ether3 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
eth3-lan
set [ find default-name=ether4 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
eth4-lan
set [ find default-name=ether5 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
eth5-lan
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=ukraine disabled=no frequency=auto mode=ap-bridge \
ssid=@@BEST-2G wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac country=ukraine disabled=no frequency=5785 mode=ap-bridge \
ssid=@@BEST-5G wireless-protocol=802.11 wps-mode=disabled
/interface wireless nstreme
set wlan2 enable-nstreme=yes
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=\
MikroTik wpa-pre-shared-key=ЧСВпароль wpa2-pre-shared-key=ЧСВпароль
add name=profile supplicant-identity=MikroTik wpa-pre-shared-key=ЧСВпароль2 wpa2-pre-shared-key=ЧСВпароль2
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=guest \
supplicant-identity="" wpa2-pre-shared-key=gostidorogie
/interface wireless
add disabled=no mac-address=BA:69:F4:40:FD:75 master-interface=wlan1 name=wlan3 security-profile=guest ssid=\
@@Guests@@ wps-mode=disabled
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.250
add name=pool_gust_wi-fi ranges=10.0.0.2-10.0.0.10
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge1 name=dhcp1
add add-arp=yes address-pool=pool_gust_wi-fi disabled=no interface=Bridge-guest-wifi lease-time=30m name=\
dhcp-guest
## КОнтрольскорости для Вафли
/queue simple
add burst-limit=1M/10M burst-threshold=500k/3M burst-time=10s/10s max-limit=512k/4M name=Guest_wi-fi target=\
10.0.0.0/24
add burst-limit=2M/15M burst-threshold=990k/9900k burst-time=10s/10s max-limit=1M/10M name=Home_wifi target=\
wlan1
## Запрет доступа с Гостевой сети нырять в общую и наоборот
/interface bridge filter
add action=drop chain=forward in-interface=wlan3
add action=drop chain=forward out-interface=wlan3
/interface bridge port
add bridge=bridge1 interface=eth2-lan
add bridge=bridge1 interface=eth3-lan
add bridge=bridge1 interface=eth4-lan
add bridge=bridge1 interface=eth5-lan
add bridge=bridge1 interface=wlan2
add bridge=bridge1 interface=wlan1
add bridge=Bridge-guest-wifi interface=wlan3
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set tcp-syncookies=yes
/interface list member
add interface=eth1-WAN list=WAN
add interface=bridge1 list=LAN
/ip address
add address=192.168.88.1/24 interface=eth2-lan network=192.168.88.0
add address=10.0.0.1/24 interface=wlan3 network=10.0.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=eth1-WAN
/ip dhcp-server network
add address=10.0.0.0/24 dns-server=10.0.0.1,8.8.8.8 gateway=10.0.0.1 netmask=24
add address=192.168.88.0/24 dns-server=192.168.88.1,8.8.4.4 gateway=192.168.88.1 netmask=24
## Фильтра брал со статей, своего ничего не выдумывал
## https://gregory-gost.ru/sozdanie-domash ... a-dostupa/
/ip firewall filter
add action=accept chain=forward comment="1.1. Forward and Input Established and Related connections" \
connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1d chain=input comment=\
"1.2. DDoS Protect - Connection Limit" connection-limit=100,32 in-interface-list=WAN protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp src-address-list=ddos-blacklist
add action=jump chain=forward comment="1.3. DDoS Protect - SYN Flood" connection-state=new jump-target=\
SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=WAN jump-target=SYN-Protect protocol=tcp \
tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp tcp-flags=syn
add action=drop chain=input comment="1.4. Protected - Ports Scanners" src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=none-dynamic chain=input \
in-interface-list=WAN protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="1.5. Protected - WinBox Access" src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List Winbox" address-list-timeout=none-dynamic chain=\
input connection-state=new dst-port=8291 in-interface-list=WAN log=yes log-prefix="BLACK WINBOX" protocol=\
tcp src-address-list="Winbox Stage 3"
add action=add-src-to-address-list address-list="Winbox Stage 3" address-list-timeout=1m chain=input \
connection-state=new dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list="Winbox Stage 2"
add action=add-src-to-address-list address-list="Winbox Stage 2" address-list-timeout=1m chain=input \
connection-state=new dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list="Winbox Stage 1"
add action=add-src-to-address-list address-list="Winbox Stage 1" address-list-timeout=1m chain=input \
connection-state=new dst-port=8291 in-interface-list=WAN protocol=tcp
add action=accept chain=input dst-port=8291 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="1.8. Access Normal Ping" in-interface-list=WAN limit=50/5s,2:packet \
protocol=icmp
add action=drop chain=input comment="1.9. Drop All Other" in-interface-list=WAN
add action=drop chain=forward comment="Teredo TCP" dst-port=3544 protocol=tcp
add action=drop chain=forward comment="Teredo UDP" dst-port=3544 protocol=udp
add action=drop chain=forward comment=6to4 protocol=ipv6
/ip firewall mangle
add action=change-ttl chain=prerouting new-ttl=increment:1 passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat comment="LAN to WAN" out-interface=eth1-WAN src-address=192.168.88.0/24
/ip firewall raw
add action=drop chain=prerouting dst-port=137,138,139 in-interface-list=WAN protocol=udp
/ip route rule
add action=unreachable dst-address=192.168.88.0/24 src-address=10.0.0.0/24
add action=unreachable dst-address=10.0.0.0/24 src-address=192.168.88.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge1 type=internal
add interface=eth1-WAN type=external
/system clock
set time-zone-name=Europe/Zaporozhye
/system logging
add topics=!wireless
add topics=!dhcp
add action=disk topics=firewall
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Есть еще непонятное поведения трафика на WAN
 Непонятное мне поведения
Dec/09/2018 17:44:00 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto UDP, 217.217.178.54:40811->Мой Внешник Вана:53, len 68
Dec/09/2018 17:44:00 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto UDP, 217.217.178.54:40811->Мой Внешник Вана:53, len 68
Dec/09/2018 17:44:00 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto UDP, 217.217.178.54:40811->Мой Внешник Вана:53, len 68
Dec/09/2018 17:44:00 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto UDP, 217.217.178.54:40811->Мой Внешник Вана:53, len 68
Dec/09/2018 17:44:00 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto UDP, 217.217.178.54:40811->Мой Внешник Вана:53, len 68
Dec/09/2018 17:44:00 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto TCP (SYN), 178.150.229.232:48217->Мой Внешник Вана:1556, len 40
Dec/09/2018 17:44:01 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto UDP, 217.217.178.54:44699->Мой Внешник Вана:53, len 68
Dec/09/2018 17:44:01 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto UDP, 217.217.178.54:44699->Мой Внешник Вана:53, len 68
Dec/09/2018 17:44:01 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto UDP, 217.217.178.54:44699->Мой Внешник Вана:53, len 68
Dec/09/2018 17:44:06 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto UDP, 217.217.178.54:24->Мой Внешник Вана:53, len 68
Dec/09/2018 17:44:06 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto UDP, 217.217.178.54:24->Мой Внешник Вана:53, len 68
Dec/09/2018 17:44:06 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto UDP, 217.217.178.54:24->Мой Внешник Вана:53, len 68
Dec/09/2018 17:44:06 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto UDP, 217.217.178.54:24->Мой Внешник Вана:53, len 68
Dec/09/2018 17:44:06 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto UDP, 217.217.178.54:24->Мой Внешник Вана:53, len 68
Dec/09/2018 17:44:06 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto UDP, 217.217.178.54:24->Мой Внешник Вана:53, len 68
Dec/09/2018 17:44:13 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto TCP (SYN), 91.241.39.135:20848->Мой Внешник Вана:8181, len 40
Dec/09/2018 17:44:13 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto TCP (SYN), 91.241.39.135:7241->Мой Внешник Вана:8880, len 40
Dec/09/2018 17:44:13 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto TCP (SYN), 91.241.39.135:4113->Мой Внешник Вана:8089, len 40
Dec/09/2018 17:44:13 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto TCP (SYN), 91.241.39.135:60310->Мой Внешник Вана:8082, len 40
Dec/09/2018 17:44:13 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto TCP (SYN), 91.241.39.135:7519->Мой Внешник Вана:8080, len 40
Dec/09/2018 17:44:13 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto TCP (SYN), 91.241.39.135:64668->Мой Внешник Вана:82, len 40
Dec/09/2018 17:44:13 firewall,info 1,3 Дроп СИН SYN-Protect: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto TCP (SYN), 91.241.39.135:8495->Мой Внешник Вана:8081, len 40
Dec/09/2018 17:44:13 firewall,info 1,3 Дроп СИН SYN-Protect: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto TCP (SYN), 91.241.39.135:5937->Мой Внешник Вана:81, len 40
Dec/09/2018 17:44:13 firewall,info 1,3 Дроп СИН SYN-Protect: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto TCP (SYN), 91.241.39.135:15206->Мой Внешник Вана:80, len 40
Dec/09/2018 17:44:14 firewall,info 1.9 Дропать что не в списке inp: in:eth1-WAN out:(unknown 0), src-mac 90:e2:ba:00:4f:a5, proto UDP, 217.217.178.54:27874->Мой Внешник Вана:53, len 68
Вопрос, корректно ли настроено, и насчет дропов, из логов фаэрволла, то что постоянно 53 порт так херачится это норма.
Что самое главное Процессор Выше отметки 6% не грузится

В общем картинка тормозит , а в чем проблема мне не известна


Magarjoba
Сообщения: 5
Зарегистрирован: 09 дек 2018, 19:16

Сорри не в ту ветку ветку написал, заранее извиняюсь


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Вас по 53 порту долбят просто. настройте фильтры в фаерволе

Проблему можно погуглить фразой "dns флуд микротик"


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Если настраивали по мануалам, то плохо списали:

1) ВиФи: зачем все бэнды включать? сразу и b/g/n - Вы понимаете, что Ваш ВиФи будет работать
на b-режиме, посмотрите в Интернете какая скорость будет? Оставляйте n-oly и проверяйте,
n-стандарту лет 8, а может и больше (лениво спеки гуглить)

2) У Вас есть бридж(и), у Вас DHCP, а адрес локальный роутеру Вы задаёте на ether2, но так как ether2 и остальные,
являются членами бриджа и уже не являются самостоятельными интерфейсами, то адресация должна
быть явно выставлена на бридже, а не на порту.
(справедливо и для другого и бриджа, и для второго DHCP-вифи).

3) в настройках DHCP сервера, в разделе DNS, Вы указываете ДНСы следующие:
dns-server=192.168.88.1,8.8.4.4
Вопрос Вам, как будет отрабатываться ДНС-сервер на микротике, если я в Вашем
конфиге строку его включения не увидел?
Где строчка: set allow-remote-requests=yes
То есть, Вы указали якобы ДНС микротика, а его не включили, тут и будет задержка в обращении при каждом запросе.

4) Опять же DHCP: на счёт времени аренды, для вифи Вы выставили данный параметр, а для основной сети = нету.
Я бы явно часа 3-6 тоже выставил, а не вечность.

5) Этот параметр я вообще считаю опасным и саму службу, я о
/ip upnp
set enabled=yes
Я бы добился явного понимая что кому какие порты нужны, руками их открыл и
всё.

6) Ну и банально-печально:
Вы в файрволе используете цепочку RAW, там закрываете SMB/CIFS протокол (порты), хотя они в глобале
достаточно редко бегают, а вот туда добавить популярные порты почему не сделали.
Вам надо закрывать 53 порт, после закрытия, обождать 2-4 дня, атаки должны стихнуть,
канал ваш восстановиться и уже можно снова тестировать сервис.
И да, я бы правила фильтрации портов 137,138,139 убрал в RAW. (Почему?)
Надо понимать, что у роутера есть порты, которые есть, которые надо закрывать и прикрывать,
а есть те порты, которые по-умолчанию нет. Портов 137,138,139 у роутера нету, данным правилам
Вы явно их открыли, и защищаете. Двояко получается......

P.S.
Конфиг как ласкутное одеяло, вроде не плохо на первый взгляд, но понимая у Вас
нету, не знаете основ, в частности что такое подчинённый интерфейс, и так далее.
Приводите к стандарту и к бест-практикс.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Magarjoba
Сообщения: 5
Зарегистрирован: 09 дек 2018, 19:16

Vlad-2 писал(а): 10 дек 2018, 12:13 Если настраивали по мануалам, то плохо списали:
C 1) - по 5) Все исправил , спасибо что подсказали
Тормоза на телике пропали!

Единственное Но, все-таки с Файрволлом не могу корректно разобраться .а именно
по поводу 53 порта начал тестись . смотрю фигарят на него что дурные с разных Ip

Поискав в инете , значит добавил и поднял в список вот так

Код: Выделить всё

/ip firewall filter
add action=drop chain=input comment="1.3.1. Protected - DNS Floods" src-address-list="dns flood"
add action=add-src-to-address-list address-list="dns flood" \
address-list-timeout=1h chain=input dst-port=53 in-interface-list=WAN protocol=udp
Но начал, замечать с основного нижнего фильтра ,там где дропать все остального,
там вообще охинея , Короче с разного рода ip пытаются с (60 - 68) порт долбить , правило отбрасывает.

Ну думаю оке,
Подскажите , раз такая котовасия, как сделать так, чтобы
у меня фильтра которые укажу ниже, например :

идет коннект либо скан. с адреса
177.177.22.3 :53
177.177.22.5 :68
177.147.22.3:16511
147.157.22.5:60

Сделать правило , которое добавляет в один общий лист эти адреса. банит их. если они попадаются часто, то он их заносит в лист вечного бана.
Либо что-бы не плодить правила, Есть общий лист куда попали адреса, так вот, если туда этот ip попал с правила Syn-protect .
то другой фильтр например DNS flod , смотрел в этот список и понимал что если будет с него флуд на 53 он его отсекал без анализа.

Возможно. я не так понимаю функцию/и саму фильтрацию , но хотел бы настроить .как подобает

---------------
И еще вопрос! )) Ребят кто-то делал так чтобы можно было посмотреть mac address vendor manufacturer
именно в lease client ну ли-бо где-нибудь еще в интерфейсе, то, есть, в интерфейсе только маки Видно, id и Имя устройства
Искал скрипты, вчера часа 2 ,чет нет упоминания
только такое есть для

Код: Выделить всё

https://aacable.wordpress.com/2018/02/20/freeradius-with-mikrotik-part-13-detecting-user-device-vendor-based-on-mac-address/
https://www.reddit.com/r/mikrotik/comments/52xln0/add_vendor_specific_ip_phones_to_address_list/
и в Dude

Ps.

На данный момент Пока фильтр таков, Если есть свои фильтра которые более умнее созданы скиньте . либо подскажите. если не затруднит вас
 
/ip firewall filter
add action=accept chain=forward comment="1.1. Forward and Input Established and Related connections" \
connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1d chain=input comment=\
"1.2. DDoS Protect - Connection Limit" connection-limit=100,32 in-interface-list=WAN protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp src-address-list=ddos-blacklist
add action=jump chain=forward comment="1.3. DDoS Protect - SYN Flood" connection-state=new jump-target=\
SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=WAN jump-target=SYN-Protect protocol=tcp \
tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp tcp-flags=syn
/ip firewall filter
add action=drop chain=input comment="1.3.1. Protected - DNS Floods" src-address-list="dns flood"
add action=add-src-to-address-list address-list="dns flood" \
address-list-timeout=1h chain=input dst-port=53 in-interface-list=WAN protocol=udp
add action=drop chain=input comment="1.4. Protected - Ports Scanners" src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=none-dynamic chain=input \
in-interface-list=WAN protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="1.5. Protected - WinBox Access" src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List Winbox" address-list-timeout=none-dynamic chain=\
input connection-state=new dst-port=8291 in-interface-list=WAN log=yes log-prefix="BLACK WINBOX" protocol=\
tcp src-address-list="Winbox Stage 3"
add action=add-src-to-address-list address-list="Winbox Stage 3" address-list-timeout=1m chain=input \
connection-state=new dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list="Winbox Stage 2"
add action=add-src-to-address-list address-list="Winbox Stage 2" address-list-timeout=1m chain=input \
connection-state=new dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list="Winbox Stage 1"
add action=add-src-to-address-list address-list="Winbox Stage 1" address-list-timeout=1m chain=input \
connection-state=new dst-port=8291 in-interface-list=WAN protocol=tcp
add action=accept chain=input dst-port=8291 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="1.8. Access Normal Ping" in-interface-list=WAN limit=50/5s,2:packet \
protocol=icmp
add action=drop chain=input comment="1.9. Drop All Other" in-interface-list=WAN
add action=drop chain=forward comment="Teredo TCP" dst-port=3544 protocol=tcp
add action=drop chain=forward comment="Teredo UDP" dst-port=3544 protocol=udp
add action=drop chain=forward comment=6to4 protocol=ipv6
/ip firewall mangle
add action=change-ttl chain=prerouting new-ttl=increment:1 passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=masquerade chain=srcnat comment="LAN to WAN" out-interface=eth1-WAN src-address=192.168.88.0/24
/ip firewall raw
add action=drop chain=prerouting dst-port=137,138,139 in-interface-list=WAN protocol=udp
/ip route rule
add action=unreachable dst-address=192.168.88.0/24 src-address=10.0.0.0/24
add action=unreachable dst-address=10.0.0.0/24 src-address=192.168.88.0/24


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Magarjoba писал(а): 12 дек 2018, 18:55 C 1) - по 5) Все исправил , спасибо что подсказали
Тормоза на телике пропали!
Это хорошо, это радует.
Magarjoba писал(а): 12 дек 2018, 18:55 Единственное Но, все-таки с Файрволлом не могу корректно разобраться .а именно
по поводу 53 порта начал тестись . смотрю фигарят на него что дурные с разных Ip
Вот держите правила по защите от Флуда по 53 порту.
Правила надо через терминал добавить в RAW таблицу.
Теперь опишу (чтобы Вы понимали).
1) первые две строчки сразу дропают запросы из списка тех IP что ранее (в течении последних 24 часа)
пытались "щупать" ДНС порты.
2) 3 и 4 строка = тут как раз и формируем защиту, ловим заходы на 53 порт (я ловлю для красоты и удобства по разным протоколам)
3) 5 и 6 строчка собирает (формирует) список с плохими адресами
4) 7 и 8 дропает плохих в первый раз.

Код: Выделить всё

/ip firewall raw
add action=drop chain=prerouting in-interface-list=WAN src-address-list="Log SRC-IP DNS atack TCP RAW=>"
add action=drop chain=prerouting in-interface-list=WAN src-address-list="Log SRC-IP DNS atack UDP RAW=>"
add action=jump chain=prerouting dst-port=53 in-interface-list=WAN jump-target=DNS_DROP_TCP_RAW protocol=tcp
add action=jump chain=prerouting dst-port=53 in-interface-list=WAN jump-target=DNS_DROP_UDP_RAW protocol=udp
add action=add-src-to-address-list address-list="Log SRC-IP DNS atack TCP RAW=>" address-list-timeout=1d chain=DNS_DROP_TCP_RAW
add action=add-src-to-address-list address-list="Log SRC-IP DNS atack UDP RAW=>" address-list-timeout=1d chain=DNS_DROP_UDP_RAW
add action=drop chain=DNS_DROP_TCP_RAW src-address-list="Log SRC-IP DNS atack TCP RAW=>"
add action=drop chain=DNS_DROP_UDP_RAW src-address-list="Log SRC-IP DNS atack UDP RAW=>"
И ещё, Вы можете этот же список плохих адресов использовать (вызывать) уже и в основном файрволе,
в закладке Filter Rules и защита будет ещё больше.

P.S.
Если атак много, да и ДНС снаружи нам не нужен, поэтому лучше это делать в RAW таблице,
так меньше нагрузка на роутер.
WAN параметр в коде = это адрес-лист внешнего интерфейса, если у Вас он иначе называется,
скорректируйте с учётом Вашего названия.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Magarjoba
Сообщения: 5
Зарегистрирован: 09 дек 2018, 19:16

Vlad-2 писал(а): 13 дек 2018, 05:20

--И ещё, Вы можете этот же список плохих адресов использовать (вызывать) уже и в основном файрволе,
в закладке Filter Rules и защита будет ещё больше.

P.S.
--Если атак много, да и ДНС снаружи нам не нужен, поэтому лучше это делать в RAW таблице,
так меньше нагрузка на роутер.
Спасибо, как токо применил фильтр, сразу 7 ip в бан на сутки кинул))

Так если мы в Raw таблицу, занесли смысл делать дублируешее правило в фильтре?

Кстати зашел по ссылке на тестовый микрот, от производителя
http://demo2.mt.lv/webfig/#IP:Firewall.Filter_Rules

Справа с верху есть терминал, можно выполнить export compact, не все выгружает, но все-таки

выгрузил список фильтров , интересно у них если посмотрите даже есть такое понятие как Check for well-known viruses ))

Я вот думаю , может добавить расширенную фильтрацию как у них, что скажите!?


-------------------
И еще посмотреть mac address vendor manufacturer ??!!


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Magarjoba писал(а): 15 дек 2018, 01:05 Спасибо, как токо применил фильтр, сразу 7 ip в бан на сутки кинул))
Радует что у Вас получилось.
Хочу лишь предупредить:
а) на больших атаках, при наличии 2-3х каналов у меня кол-во
записей атакующих IP в логах доходит до 1000-2000 записей.
б) в связи с тем, что записей может быть много, хотя и сомневаюсь что у Вас так будет,
в будущем надо возможно уменьшить время хранения записей в адрес-листе,
скажем вместо суток(24ч) сделать 12 часов.
Но это уже Вам надо смотреть и анализировать. (У моих роутеров оперативной памяти много....) :-)
Magarjoba писал(а): 15 дек 2018, 01:05 Так если мы в Raw таблицу, занесли смысл делать дублируешее правило в фильтре?
Я в целом указал Вам, что Вы можете как-то использовать в том или ином ввиде.
Не правила я дублирую, а данные которые есть в адрес-листе, можно уже
использовать как-то ещё.


По остальным Вашим вопросам (по части файрвола и определение мак-адреса)

а) файрвол и вирусы = не интересовался, да и если я правильно понимаю, чтобы
роутер находил вирусы, надо чтобы он "залезал" во внутрь данных....

б) на счёт мак-адресов и их определение, напишите производителю,
шанс мизерный, но а вдруг, мне интересно было, но я явно этим заниматься не буду,
да и сами понимаете, мак-адреса меняются, поэтому базу вендоров надо тоже содержать,
обновлять, поэтому надо чтобы такой функционал если и был, то нативный (родной от производителя).
Кстати, в том же сканере NMAP там вендор для МАС'ов показывается.

Удачи Вам, не забывайте делать бэкап данных(настроек) и обновлять роутер.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить