Страница 5 из 6
Re: Маршрутизатор Mikrotik RB915G-2HnD нужна помощь по настр
Добавлено: 20 июл 2015, 13:34
podarok66
53 порт закройте, тут на тему этого порта не один раз писали
Re: Маршрутизатор Mikrotik RB915G-2HnD нужна помощь по настр
Добавлено: 20 июл 2015, 20:21
djgroove
Так будет правильно?
ip firewall filter add chain=input in-interface=ether1-gateway protocol=udp port=53 action=drop
ether1-gateway - интерфейс в Интернет!
Re: Маршрутизатор Mikrotik RB915G-2HnD нужна помощь по настр
Добавлено: 20 июл 2015, 22:38
podarok66
Код: Выделить всё
ip firewall filter add action=drop chain=input dst-port=53 in-interface=ether1-gateway protocol=udp
Закройте так, а потом уже смотреть будете, что там и как.
Если провайдер будет иметь претензии и далее, пусть хоть логи покажет, подробнее пояснит, что там флудит от Вас. А то как-то голословно получается.
Re: Маршрутизатор Mikrotik RB915G-2HnD нужна помощь по настр
Добавлено: 22 июл 2015, 20:39
djgroove
провайдер на мою просьбу, написал вот что:
"Пропишите наши DNS сервера (212.7.9.34, 212.7.0.34) на своем сервере, и
интернет будет работать после убирания галочки "Allow Remote Requests" в
настройках DNS.
Отправляем часть отчета по Вашему запросу:"
Example DNS responses from your resolver during this attack are given
below.
Date/timestamps (far left) are UTC.
2015-07-20 06:00:20.015642 IP (tos 0x28, ttl 47, id 28042, offset 0,
flags [+], proto UDP (17), length 1476) 84.52.26.246.53 >
66.150.214.x.40052: 41590| 22/0/0 cpsc.gov. RRSIG[|domain]
0x0000: 4528 05c4 6d8a 2000 2f11 704d 5434 1af6 E(..m.../.pMT4..
0x0010: 4296 d669 0035 9c74 1007 4213 a276 8380 B..i.5.t..B..v..
0x0020: 0001 0016 0000 0000 0463 7073 6303 676f .........cpsc.go
0x0030: 7600 00ff 0001 c00c 002e 0001 0000 1c82 v...............
0x0040: 011c 0033 0702 0000 5460 55b4 4e26 55ab ...3....T`U.N&U.
0x0050: 0596 ..
2015-07-20 06:00:20.018181 IP (tos 0x28, ttl 47, id 28043, offset 0,
flags [+], proto UDP (17), length 1476) 84.52.26.246.53 >
66.150.214.x.40052: 41590| 22/0/0 cpsc.gov. Type51, cpsc.gov.[|domain]
0x0000: 4528 05c4 6d8b 2000 2f11 704c 5434 1af6 E(..m.../.pLT4..
0x0010: 4296 d669 0035 9c74 1007 468a a276 8380 B..i.5.t..F..v..
0x0020: 0001 0016 0000 0000 0463 7073 6303 676f .........cpsc.go
0x0030: 7600 00ff 0001 c00c 0033 0001 0000 1c82 v........3......
0x0040: 0009 0100 000c 04aa bbcc ddc0 0c00 2e00 ................
0x0050: 0100 ..
2015-07-20 06:00:20.020600 IP (tos 0x28, ttl 47, id 28044, offset 0,
flags [+], proto UDP (17), length 1476) 84.52.26.246.53 >
66.150.214.x.40052: 41590| 22/0/0 cpsc.gov. RRSIG[|domain]
0x0000: 4528 05c4 6d8c 2000 2f11 704b 5434 1af6 E(..m.../.pKT4..
0x0010: 4296 d669 0035 9c74 1007 36d9 a276 8380 B..i.5.t..6..v..
0x0020: 0001 0016 0000 0000 0463 7073 6303 676f .........cpsc.go
0x0030: 7600 00ff 0001 c00c 002e 0001 0000 1c82 v...............
0x0040: 011c 001c 0702 0000 5460 55b4 4e26 55ab ........T`U.N&U.
0x0050: 0596
Насчет - "убирания галочки "Allow Remote Requests" - давно известно, убери и инета не будет.
Сервера и так прописаны автоматом.
Что посоветуете?
Заранее благодарю.
Re: Маршрутизатор Mikrotik RB915G-2HnD нужна помощь по настр
Добавлено: 22 июл 2015, 21:10
podarok66
Попробуйте в цепочке input хлопнуть всё ненужное. Как самый жесткий вариант:
Код: Выделить всё
ip firewall filter add chain=input in-interface=wan protocol=icmp action=accept
ip firewall filter add chain=input in-interface=wan connection-state=established,related action=accept
ip firewall filter add chain=input in-interface=wan action=drop
Если нужны какие-то сервисы снаружи, их прописывают выше правила дропа.
Re: Маршрутизатор Mikrotik RB915G-2HnD нужна помощь по настр
Добавлено: 22 июл 2015, 21:12
gmx
Вам же выше уже ответили. Проблема должна уйти.
Но можно еще: выключить DNS на микротике (снять ту самую галочку). В свойствах DHCP сервера на микротике назначить DNS провайдера, чтобы эти адреса отдавались клиентам, можно и Google, например. На клиентах, у которых адреса IP и DNS назначаются вручную, если таковые есть, назначить в качестве DNS не микротик, а вышеуказанные сервера.
Re: Маршрутизатор Mikrotik RB915G-2HnD нужна помощь по настр
Добавлено: 22 июл 2015, 21:57
djgroove
gmx
я очень благодарен всем кто помогает.
Мне не понятно ваше "Вам же выше уже ответили". Если бы помогло, поблагодарил бы и забыл проблему. Но проблема осталась.
Я вам мешаю своими вопросами?
Re: Маршрутизатор Mikrotik RB915G-2HnD нужна помощь по настр
Добавлено: 22 июл 2015, 22:31
podarok66
Никто никому не мешает. Продолжаем...
Кстати, по логам вроде именно 53 порт флудит. Кто у нас логи читает нормально? Я с трудом, тем более вырванные из контекста.
Re: Маршрутизатор Mikrotik RB915G-2HnD нужна помощь по настр
Добавлено: 23 июл 2015, 08:45
gmx
djgroove писал(а):Если бы помогло, поблагодарил бы и забыл проблему. Но проблема осталась.
Я вам мешаю своими вопросами?
Никто никому не мешает. Проблема в том, что вы не пишите ничего, что вы сделали.
А просто задаете один и тот же вопрос.
То есть от вас только одни вопросы, нету обратной связи о том, что вы сделали.
Вот мы и гадаем.
Хотя у вас в первую очередь должен возникнуть вопрос: "Что я делают не так? Почему советы из форума мне не помогают?". "Может я не правильно их применяю?", "а вот мои действия и вот мой конфиг, поглядите коллеги, может я чего напутал???"
Я предложил вам вообще отказаться от DNS сервера в вашей сети, это по определению не может не помочь. Флуд по 53 порту должен прекратится мгновенно, как только вы снимите галочку Allow remote requests. И я вам на пальцах объяснил, как заставить клиентов обращаться к другим DNS серверам (публичным или провайдерским). И вы вместо того, чтобы попробовать (а это дело трех минут) нашли силы и время, чтобы уличить меня в невежестве и неуважении.
Почему нашлось время писать пост сюда, но не нашлось времени на два щелчка в WinBox???
Не стоит считать свои проблемы с микротиком уникальными. На многие из них есть давно отработанные решения, которыми с вами с радостью поделились.
Re: Маршрутизатор Mikrotik RB915G-2HnD нужна помощь по настр
Добавлено: 23 июл 2015, 09:22
vqd
У местных любовь мусолить темы которые яйца выеденного не стоят и в которых ТС не внимает рекомендациям. Интелектуалные мазахисты наверное
