Постоянный исходящий трафик на ether1

[csq]

Добрый день, есть hAP ax^3 c ROS 7.16.1. На ether1 подключен интернет от провайдера, ghjcnj etherner с идентификацией по MAC-адресу. Больше проводных подключений нет.
Наблюдаю, что на ether1 есть постоянный исходящий трафик, но не могу понять, что его генерит.



На Bridge ничего такого нет, стандартное домашнее потребление инета по WiFi.



Есть какие идеи, что это может быть?

На всякий случай вот конфигурация роутера (затёр MACи и IP внешний)

 

Код: Выделить всё

[admin@MikroTik] > /export hide-sensitive 
# 2025-03-30 17:09:04 by RouterOS 7.16.1
# software id = BDPA-SZJ9
#
# model = C53UiG+5HPaxD2HPaxD
# serial number = XXXXXX
/disk
set usb1 media-interface=none media-sharing=no
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridge
/interface wifi
set [ find default-name=wifi1 ] channel.skip-dfs-channels=10min-cac configuration.country=Russia .mode=ap .ssid="HomeXXX5" disabled=no security.authentication-types=\
    wpa2-psk,wpa3-psk .ft=yes .ft-over-ds=yes
set [ find default-name=wifi2 ] channel.skip-dfs-channels=10min-cac configuration.country=Russia .mode=ap .ssid="HomeXXX2" disabled=no security.authentication-types=\
    wpa2-psk,wpa3-psk .ft=yes .ft-over-ds=yes
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=default-dhcp interface=bridge lease-time=10m name=defconf
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/ip smb
set enabled=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wifi1
add bridge=bridge comment=defconf interface=wifi2
/ip firewall connection tracking
set udp-timeout=10s
/interface detect-internet
set detect-interface-list=all
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server lease
add address=192.168.88.200 comment="NAS" mac-address=XX:XX:XX:XX:XX:XX server=defconf
add address=192.168.88.188 comment="TV" mac-address=XX:XX:XX:XX:XX:XX server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan type=A
/ip firewall filter
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=forward connection-nat-state=dstnat connection-state=new in-interface=ether1
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=forward connection-nat-state=dstnat connection-state=new in-interface=ether1
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=8080 in-interface=ether1 protocol=tcp to-addresses=192.168.88.200 to-ports=8080
add action=dst-nat chain=dstnat dst-port=2622 in-interface=ether1 protocol=tcp to-addresses=192.168.88.200 to-ports=2622
add action=dst-nat chain=dstnat dst-port=6880 in-interface=ether1 protocol=tcp to-addresses=192.168.88.200 to-ports=6880
add action=dst-nat chain=dstnat dst-port=6881 in-interface=ether1 protocol=tcp to-addresses=192.168.88.200 to-ports=6881
add action=dst-nat chain=dstnat dst-port=6680-6999 in-interface=all-ethernet protocol=udp to-addresses=192.168.88.200 to-ports=6681-6999
add action=dst-nat chain=dstnat dst-port=6881 in-interface=bridge protocol=udp to-addresses=192.168.88.200 to-ports=6881
add action=dst-nat chain=dstnat dst-port=443 in-interface=ether1 protocol=tcp to-addresses=192.168.88.200 to-ports=443
add action=dst-nat chain=dstnat dst-port=8081 in-interface=ether1 protocol=tcp to-addresses=192.168.88.200 to-ports=8081
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=8081 in-interface=ether1 protocol=tcp to-addresses=192.168.88.200 to-ports=8081
add action=dst-nat chain=dstnat dst-port=2622 in-interface=ether1 protocol=tcp to-addresses=192.168.88.200 to-ports=2622
add action=dst-nat chain=dstnat dst-port=5000 in-interface=ether1 protocol=tcp to-addresses=192.168.88.200 to-ports=5000
add action=dst-nat chain=dstnat dst-port=21 in-interface=ether1 protocol=tcp to-addresses=192.168.88.200 to-ports=21
add action=dst-nat chain=dstnat dst-port=5001 in-interface=ether1 protocol=tcp to-addresses=192.168.88.200 to-ports=5001
add action=dst-nat chain=dstnat dst-port=1723 in-interface=ether1 protocol=tcp to-addresses=192.168.88.200 to-ports=1723
add action=dst-nat chain=dstnat dst-port=1701 in-interface=ether1 protocol=udp to-addresses=192.168.88.200 to-ports=1701
add action=dst-nat chain=dstnat dst-port=6881 in-interface=ether1 protocol=tcp to-addresses=192.168.88.200 to-ports=6881
add action=dst-nat chain=dstnat disabled=yes dst-port=6881 in-interface=ether1 protocol=udp to-addresses=192.168.88.200 to-ports=6881
add action=dst-nat chain=dstnat dst-port=4433 in-interface=ether1 protocol=tcp to-addresses=192.168.88.200 to-ports=4433
add action=dst-nat chain=dstnat dst-port=6880 in-interface=ether1 protocol=tcp to-addresses=192.168.88.200 to-ports=6882
add action=dst-nat chain=dstnat dst-port=6969 in-interface=ether1 protocol=tcp to-addresses=192.168.88.200 to-ports=6969
add action=dst-nat chain=dstnat dst-port=6969 in-interface=ether1 protocol=udp to-addresses=192.168.88.200 to-ports=6969
add action=dst-nat chain=dstnat dst-port=6880 in-interface=ether1 protocol=udp to-addresses=192.168.88.200 to-ports=6882
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
add action=dst-nat chain=dstnat comment="www interfavce" dst-port=3131 in-interface-list=WAN protocol=tcp to-addresses=192.168.88.1 to-ports=3131
add action=dst-nat chain=dstnat comment=winbox dst-port=8291 in-interface-list=WAN protocol=tcp to-addresses=192.168.88.1 to-ports=8291
/ip ipsec profile
set [ find default=yes ] dpd-interval=2m dpd-maximum-failures=5
/ip service
set www port=3131
set www-ssl address=0.0.0.0/0 disabled=no
set winbox address=0.0.0.0/0
/ip smb shares
set [ find default=yes ] directory=/pub disabled=no
add directory=/usb1 name=share1
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ppp secret
add name=vpn
/system clock
set time-zone-name=Europe/Moscow
/system note
set show-at-login=no
/system ntp client servers
add address=ntp.msk-ix.ru
add address=pool.ntp.org
add address=ntp0.ntp-servers.net
add address=time.nist.gov
add address=time.google.com
add address=time.windows.com
add address=time.apple.com
add address=ru.pool.ntp.org
add address=ntp.neel.ch
add address=ntp.neu.edu.cn
add address=ntp1.ntp-servers.net
add address=ntp.se
add address=ntp.ntsc.ac.cn
add address=zeit.fu-berlin.de
add address=stdtime.gov.hk
add address=ntp.iranet.ir
add address=ntp.day.ir
add address=ntp.metas.ch
add address=ntp.nict.jp
add address=ntp.time.nl
add address=ntp1.tencent.com
add address=ntp1.vniiftri.ru
add address=time.aws.com
add address=ntp3.fau.de
/tool graphing interface
add
17:09:04 echo: system,error,critical login failure for user admin from 103.154.87.34 via api
17:09:07 echo: system,error,critical login failure for user admin from 103.102.230.3 via api
17:09:08 echo: system,error,critical login failure for user admin from 103.102.230.3 via api
17:09:08 echo: system,error,critical login failure for user admin from 103.102.230.3 via api
17:09:08 echo: system,error,critical login failure for user admin from 103.102.230.3 via api
17:09:08 echo: system,error,critical login failure for user admin from 103.102.230.3 via api
17:09:09 echo: system,error,critical login failure for user admin from 103.102.230.3 via api
17:09:25 echo: system,error,critical login failure for user root from 103.143.238.184 via ssh
17:09:41 echo: system,error,critical login failure for user admin from 103.154.87.34 via api
[admin@MikroTik] > 

 

[gmx]

Достаточно выбрать ether1, щёлкнуть по нему дважды и нажать кнопку Torch и все станет ясно.

[csq]

Спасибо, вижу, что трафик идёт, но так и не понял, что это:

[gmx]

У вас же проблемы с паразитным исходящим трафиком? Так и смотрите исходящий. Как минимум будет видно, какой ip в локальной сети его генерирует. А дальше нужно уже разбираться с этим устройством.

На скрине явно входящий трафик...

Хотя и так уже можно кое-что сказать: посмотрите, у вас на скрине весь входящий трафик - это dns. Скорее всего, ваш микротик тоже отвечает на запросы вышестоящих dns серверов. Ищите в Гугле про dns флуд на микротике.

Кстати, если заводская конфигурация на микротике не удалена, то там все правильно закрыто фаерволлом. Я глянул на ваш фаерволл одним глазком, там так всего много, очень много всяких пробросов и тому подобное... Где -то вы открыли 53 порт, наверное.

[csq]

Итак, по совету мастеров, добавил вот это правило, и трафик убрался:

Код: Выделить всё

/ip/firewall/filter
add chain=input in-interface-list=WAN protocol=udp dst-port=53 action=drop
add chain=input in-interface-list=WAN protocol=tcp dst-port=53 action=drop

Сейчас вот так:



А ну ещё заблокировал API, API-SSL, Winbox. Оставил WebFig на нестандартном порту.

[csq]

Я глянул на ваш фаерволл одним глазком, там так всего много, очень много всяких пробросов и тому подобное... Где -то вы открыли 53 порт, наверное.

Спасибо! Закрыл 53 порт, как отшептало!
Да, у меня там в конфиге не очень видимо секьюрно. Я не около роутеря, и буду не скоро, так что нельзя терять удалённый доступ.
А за роутером по WiFi (не спрашивайте почему так ) подключён NAS.

[seregaelcin]

Я не около роутеря, и буду не скоро, так что нельзя терять удалённый доступ
Уже пол инета посидело у вас в локалке Удаленный доступ есть, если микрот смотрит голой жопой в интернет.