Russian Users MikroTik | Форум пользователей MikroTik

На порту eth1(и pptp client) Tx 7-9 Mbps. По остальным портам портам околонулевой трафик при этом. За 20 дней 600Гб ушло. Правильно я понимаю, что трафик генерит сам микротик раз по портам внутренней сети тишина? В скриптах пусто. Где еще посмотреть можно на предмет зловреда?

oleg.ohotnikov писал(а): ↑22 мар 2019, 15:23 На порту eth1(и pptp client) Tx 7-9 Mbps. По остальным портам портам околонулевой трафик при этом. За 20 дней 600Гб ушло. Правильно я понимаю, что трафик генерит сам микротик раз по портам внутренней сети тишина? В скриптах пусто. Где еще посмотреть можно на предмет зловреда?

Не правильно и вряд ли.
Вы бы описали сжато, а что порт1 делает? Это провайдер? или это локальная сеть/компьютер?
Если провайдер, то запроста могло всё что угодно набежать (запросы, DHCP, сканирование, атаки).
Да и если на одном интерфейсе много передано, на другом должно много прибыть (Rx),но не всегда.

Мало информации.

eth1 - провайдер. Поднято pptp соединение. eth2 - локальная сеть. Rx нигде не наблюдаю.

Включите поля другие:

Пример:
(нажмите на треугольник возле цифры 1) и попробуйте сделать как у меня.

Ну а теперь вопросы:

1) файрвол есть на роутере?
2) ДНС включен?
2.1) Если да - то стоит защита?
3) Прошивка (версия какая стоит) (вверху окна винбокса пишется)

Ну и вообще расскажите вводную....кто настраивал, как давно и прочее...?
Есть подозрение что роутер взломали и через него гонят внешний трафик.

4) Покажите что на диске у роутера? (нажмите в винбоксе слева кнопку Files)
5) Также надо проверить если ли скрипты у роутера (System-Scripts)
6) Прокси сервер включён?

IP:Firewall.Connections посмотрите.
Там видно, с кем и по каким портам микротик взаимодействует.

И количество ошибок на 1 порту из статистики проверьте.

Разбаланс TX/RX бывает из-за проблем с автоопределением скорости и дуплекса и состоянием кабеля. У меня было, когда устройства договаривались на гигабит/с, и начинали сыпаться ошибки. С перекосом в TX/RX (микротик по нескольку раз пытался пакеты передавать).
Вылечил принудительной установкой в 100 МБит/с на этой линии, но у меня управление устройствами с двух сторон было.

Vlad-2 писал(а): ↑22 мар 2019, 16:03 Ну а теперь вопросы:
1) файрвол есть на роутере?
2) ДНС включен?
2.1) Если да - то стоит защита?
3) Прошивка (версия какая стоит) (вверху окна винбокса пишется)

Ну и вообще расскажите вводную....кто настраивал, как давно и прочее...?
Есть подозрение что роутер взломали и через него гонят внешний трафик.

4) Покажите что на диске у роутера? (нажмите в винбоксе слева кнопку Files)
5) Также надо проверить если ли скрипты у роутера (System-Scripts)
6) Прокси сервер включён?

1. нет. Смотрю руководства по настройке. Во многих фигурирует:
"Разрешаем успешно установленные соединения для цепочек input и forward, командами:
add chain=input connection-state=established action=accept comment=”Accept established connections”
add chain=forward connection-state=established action=accept"
Это значит что если у меня уже есть плохие соединения я их разрешу?

2. Где смотреть?
3. 6.44.1. Настривал я пару месяцев назад. Использовал дефолтный конфиг.
4.

5. В скриптах пусто.
6.web proxy выключен.

Vlad-2 писал(а): ↑22 мар 2019, 16:03 IP:Firewall.Connections посмотрите.
Там видно, с кем и по каким портам микротик взаимодействует.

В Connections просто кошмар. 2000 соединений.

https://altcoinlog.com/virys-roytery-mikrotik/

очень похоже :))

oleg.ohotnikov писал(а): ↑22 мар 2019, 15:23 Где еще посмотреть можно на предмет зловреда?

Выполните п.5 правил форума, чтобы нам тут не ванговать.