Russian Users MikroTik | Форум пользователей MikroTik

Не так давно приобрел микротик, можно сказать по работе, к сожалению опыта работы с ним нет, а проблемы решать нужно уже сейчас Счастью моему не было предела ибо тут я нашел все то о чем мечтал в своих недосисадминских мечтах
Но тут встал вопрос безопасности и начал я с малого, сначала озаботился тупым дропом пакетов на мой IP, нашлось решение, запилил, если пакетов больше 50 в секунду - блочить спамера на 10 мин и вносить в лист. Далее я озаботился портами, нашел сайты по скану портов и действительно 2 порта были видны, далее нашел защиту от скана портов, прописал в свой микротик, сканил и действительно, больше ничего открытого не нашло, как я не извращался, но все порты были закрыты. И тут же вылезла очередная проблема. Как я понимаю метод просто отбрасывает каждый скан порта, т.е. он получает пакеты, отвечает, мол чувак тут никого нет, но вот диллема, обработка пакетов работает как DDoS, когда запускаю скан не с 1, а с 5-10 и более вкладок начинает тупить инет, т.е. по сути если на комп пустят скан с 10 IP то да, порты они не найдут, но какой никакой DDoS получится, я уже молчу что будет, если мне 100 закинут, думаю встанет все колом.

Результат работы всего каких-то 5 старничек с последовательным сканом портов:


После отключения всех сканов:


Вопрос, как мне отрубать вот таких сканеров портов на корню, что бы даже пакеты от них не шли, т.е. смотрим, что идет скан 10 портов с 1 го IP за последние N минут - блочим на N минут по IP и вносим их в свой IP лист (желательно с пометкой), т.е. что бы он вообще мне на порты не стучались и не "морозили" мне комп?

Привожу настройки, той приблуды что закрывает порты от скана:
/ip firewall filter
add chain=input in-interface=Internet protocol=tcp tcp-flags=syn action=reject reject-with=icmp-network-unreachable
add chain=input in-interface=Internet protocol=tcp tcp-flags=fin,syn,ack action=reject reject-with=icmp-network-unreachable

В итоге получил:
Интерфейсы:

1)






2)

User123 писал(а):Вопрос, как мне отрубать вот таких сканеров портов на корню, что бы даже пакеты от них не шли, т.е. смотрим, что идет скан 10 портов с 1 го IP за последние N минут - блочим на N минут по IP и вносим их в свой IP лист (желательно с пометкой), т.е. что бы он вообще мне на порты не стучались и не "морозили" мне комп?

Наверное с помощью ножниц - приходите к отправляющему и обрезаете кабель или еще чего....

А если серьезно, то либо договоритесь с провайдером что бы он это резал (что мало вероятно), либо примите как есть. Если пакет вам отправлен, то микротик его примет, а что он с ним сделает это уже другой вопрос.

Ну например лимит на кол-во соединений в секунду с одного внешнего источника

summit писал(а):

User123 писал(а):Вопрос, как мне отрубать вот таких сканеров портов на корню, что бы даже пакеты от них не шли, т.е. смотрим, что идет скан 10 портов с 1 го IP за последние N минут - блочим на N минут по IP и вносим их в свой IP лист (желательно с пометкой), т.е. что бы он вообще мне на порты не стучались и не "морозили" мне комп?

Наверное с помощью ножниц - приходите к отправляющему и обрезаете кабель или еще чего....

А если серьезно, то либо договоритесь с провайдером что бы он это резал (что мало вероятно), либо примите как есть. Если пакет вам отправлен, то микротик его примет, а что он с ним сделает это уже другой вопрос.

Да мне как бы это не только для себя, но и по работе. Т.е. невозоможно заблокировать прием пакетов на уровне микротика? Я правильно понимаю? А что-то вообще можно с таким трафиком сделать?

(провел ориентировочное тестирование, опрос идет 24 порта в час, от неизвестных источников)

User123 писал(а):Т.е. невозоможно заблокировать прием пакетов на уровне микротика?

можно только купить железку по мощнее и канал пошИрше...
пакеты Вы заблокировать можете, хоть все... но чтобы на порт Вашего Микротика не лился "вредный" трафик - тут Вы сделать ничего не сможете (как на улице: можете зонтиком от дождя прикрыться, а зонтик от дождя защищать уже нечем )...
как вариант: собрать доказательную базу того, что этим трафиком спамят Вас и то, если с постоянных IP адресов - и тогда можно попытаться поговорить с провайдером... а если сыпится с постоянно меняющихся/разных IP - то тут и провайдер Вам весь инет заблокировать не может

И дело тут не в Микротике, что он не может чего-то, такая ситуация действенна для любой железки.

TS, у Вас неправильное представление работы сети. Провод это не водопроводная труба, где перекрыв кран у потребителя поток остановиться и у источника. Если пакет был отправлен, то он обязательно дойдёт до адреса, что-бы Вы не пытались сделать с этим (я не рассматриваю ситуации потери, - это другая ситуация). Единственный способ, как сказали выше, - найти хулигана и отрезать ему кабель интернета.
Что касается провайдера, - он не будет нагружать своё оборудование и резать конкретно для Вас трафик.. А вот другой момент более реальный. Если атака идёт с конкретного IP, то достаточно предоставить фотографии (не скриншоты) и в большинстве случаев провайдер принимает меры, и достаточно быстро.
Когда у меня был инет не достаточно быстрым, и роутер стоял Длинк, меня часто атаковали, в частности мои игровые сервера и почти всегда, после отправки фотографии логов подключений и разговора по телефону с провайдером, атака прекращалась в течении несколько десятков минут. Уж не знаю что они делали, отключали абонента до выяснения обстоятельств, или просто резали трафик на мой IP, но факт остаётся фактом. Главное при разговоре показать что Вы не чайник

А вообще, если это атака <1000 пакетов в секунду, лично я привык не замечать, ибо они постоянны, и режу подобное фаерволом.