Russian Users MikroTik | Форум пользователей MikroTik

Добрый день.
Имеется mikrotik RB850Gx2 белый внешний IP настроено на нем следующее:
Разрешаем пинги


---Разрешаем установленные подключения

---Разрешаем связанные подключения

---Разрешаем все подключения из нашей локальной сети

---Обрубаем инвалидные подключения

---Обрубаем все остальные входящие подключения

---Разрешаем доступ из локальной сети в интернет

---Обрубаем все остальные подключения


И настроен проброс порта 25 на почтовый сервер из вне и настроено подключение vpv по pptp для пользователей и l2tp для удаленных офисов. И все больше ничего не настроено.
Проблема такая как только я включаю микротик к сети интернет, на мой почтовик сразу валить куча спама с множественными подключениям к почтовому серверу и он перестает принимать и отправлять корпоративную почту т.к. очередь писем забита запросами спамеров и spam relay от динамических прокси сервером из китая и тайвани. Но если я вместо микротика ставлю D-Link DI-824VUP с точно такими же настройками, по все нормально сперы и relay отваливают и почтовик работает нормально.
Вчем проблема mikrotika что он так себя ведет? или неправильные настройки на нем или чего то не хватает в настройках? Подскажи те как решить эту проблему?
Спасибо.

53 порт в цепочке input закрыть на входящем интерфейсе

Сделал так и почта из вне перестала вообще ходить, получилось что запросы dns отбрасываются и почтовые сервера не могут доставить почту т.к. нет ответа.

Ну уж проверяйте.
Отключаем все правила. Потом включаем только это и проверяем:

Если ситуация нормализовалась, ищем косяк в своих правилах (я их не анализирую, любите копипастить, любИте и вникать в скопированное)

то что входящий интерфейс указан другой это то я понимаю, что указывается тот который у меня (и он назван у меня ether-wan). А если разница, что я его поставлю самым первым в списке фильтров или мне его ставить самым последним, нде все остальные запрещающие стоят. Сперва я так понял идут разрежающие а потом запрещающие, или я ошибаюсь?

Правила срабатывают по порядку. Еще раз повторяю, отключаем ВСЕ правила и включаем одно указанное. Проверяем, ушла ли проблема. Если ушла, садимся читать про фаервол (iptables) в линуксе в целом и в RouterOs в частности. Я про то, что ваши правила как-то странно смотрятся и читаются. Фаервол вообще лучше настраивать с пониманием. Копипаст или гадание на кофейной гуще до добра не доводят.

Вообщем по экспериментировал с правилами и с посмотрев логи понял, что то правило, что Вы написали не работает ни в одном случае, а работают вот такие правила
add action=drop chain=input dst-port=53 in-interface=ether-wan1 protocol=udp
add action=drop chain=input dst-port=53 in-interface=ether-wan1 protocol=tcp
И начинает правильно работать если их поставить первыми перед разрешающими правилами. и все ок.

Ну и чем эти правила отличаются от ваших? Тем, что в моих в качестве исходящего указан МОЙ интерфейс , который я использую для выхода в сеть? Ну так сударь мой, уж в чем-то вы должны сами головой варить.
Ну хоть работать стало и ладно.
P.S.: Кстати, у меня правило для tcp-протокола отсутствует. И флуда я не наблюдал никогда по этому протоколу.

В этом то и проблема, что как только добавил еще и tcp все прекратилось сразу, по udp когда было одно только правило все равно флуд был не маленький, добавил еще и tcp и полностью все прекратилась, при этом все сервисы пока работа в нормальном режиме, буду наблюдать.
PS. Я почему в Вашем правиле думал что стоить не input а forward. А по поводу интерфейсов тут и так понятно, что как его обзовешь тот и выбираешь (в терминале он сам подставляет по tab) :)
Спасибо за помощь. Помогло точно. :)

Удачи