Страница 1 из 2
Мой микротик используют в качестве DNS?
Добавлено: 21 мар 2017, 14:51
SANER
Добрый день.
Пользователи начали жаловаться на плохой интернет. Для начала я начал разбираться, кто из пользователей сколько тянет интернета с помощью функции Torch, т.к. у меня проблем с ним не возникает. С помощью этой же Torch обнаружил на интерфейсе, которому подключен основной провайдер, много бегающего трафика с незнакомыми адресами (скриншот ниже)

Я правильно понимаю - это они используют в качестве DNS-сервера наш микротик??
На кануне у провайдера были проблемы с их DNS-ами и я прописал гугловские вот скриншот:

Настройки подключения к провайдеру:

Re: Мой микротик используют в качестве DNS?
Добавлено: 21 мар 2017, 15:03
Vlad-2
кратко отвечая на вопрос в теме - ДА! А точнее его атакую и ДДосят!
Закрывайте порт(ы) срочно.
Re: Мой микротик используют в качестве DNS?
Добавлено: 21 мар 2017, 17:10
SANER
Vlad-2 писал(а):кратко отвечая на вопрос в теме - ДА! А точнее его атакую и ДДосят!
Закрывайте порт(ы) срочно.
Спасибо!
Я закрыл входящие на порт 53 на интерфейсе провайдера и на его же pppoe соединении.

Также отключил Allow remote requests в настройках DNS
Но трафик не уменьшился на протяжении часа, картина та же...

Re: Мой микротик используют в качестве DNS?
Добавлено: 21 мар 2017, 18:09
Vlad-2
SANER писал(а):Спасибо!
Я закрыл входящие на порт 53 на интерфейсе провайдера и на его же pppoe соединении.
Также отключил Allow remote requests в настройках DNS
Но трафик не уменьшился на протяжении часа, картина та же...
А зачем закрывать 53 порт и потом ещё и отключать ДНС (сняв галочку вы ВООБЩЕ его отключили для локальных пользователей в том числе)?
А атаки будут идти...со временем уменьшаться...
Если у вас динамический адрес, порвите сессию и заново подымите её.
Re: Мой микротик используют в качестве DNS?
Добавлено: 21 мар 2017, 18:22
SANER
Значит я плохо Вас понял из фразы "Закрывайте порт(ы) срочно."
Я после Вашего ответа начал гуглить и мне первые результаты выдало о DNS-flood и закрыл порты. Или Вы имели в виду закрыть все порты и оставить нужные?
Re: Мой микротик используют в качестве DNS?
Добавлено: 21 мар 2017, 18:36
Vlad-2
Закрываем 53 порт (TCP и UDP) на внешних интерфейсах.
С локальных интерфейсов, с локальных адресации он должен быть доступен и галочка должна быть установлена.
Re: Мой микротик используют в качестве DNS?
Добавлено: 22 мар 2017, 18:47
SANER
Vlad-2 писал(а):Закрываем 53 порт (TCP и UDP) на внешних интерфейсах.
С локальных интерфейсов, с локальных адресации он должен быть доступен и галочка должна быть установлена.
Закрыл 53й порт на внешних интерфейсах, галку Allow remote requests поставил. Результат тот же... Посмотрите пожалуйста на скрин правильно разве я неправильно закрыл порты?

Re: Мой микротик используют в качестве DNS?
Добавлено: 22 мар 2017, 19:23
algerka
SANER писал(а):Закрыл 53й порт на внешних интерфейсах, галку Allow remote requests поставил. Результат тот же... Посмотрите пожалуйста на скрин правильно разве я неправильно закрыл порты?
Мне по картинке не понятно. Лучше конфиг покажите.
Подскажите, а почему вы не пользуетесь принципом "что надо (знаю) - разрешаю, а остальное все запрещаю" ? На мой взгляд
то и проще и правильнее.
Re: Мой микротик используют в качестве DNS?
Добавлено: 22 мар 2017, 19:32
SANER
algerka писал(а):SANER писал(а):Закрыл 53й порт на внешних интерфейсах, галку Allow remote requests поставил. Результат тот же... Посмотрите пожалуйста на скрин правильно разве я неправильно закрыл порты?
Мне по картинке не понятно. Лучше конфиг покажите.
Подскажите, а почему вы не пользуетесь принципом "что надо (знаю) - разрешаю, а остальное все запрещаю" ? На мой взгляд
то и проще и правильнее.
ip firewall filter
/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=ether10wan2 protocol
=tcp
add action=drop chain=input dst-port=53 in-interface=ether10wan2 protocol
=udp
add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=
udp
add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=
tcp
add action=drop chain=input dst-port=53 in-interface=pppoe-out2 protocol=
udp
add action=drop chain=input dst-port=53 in-interface=pppoe-out2 protocol=
tcp
add action=drop chain=input dst-port=53 in-interface=ether1wan1 protocol=
tcp
add action=drop chain=input dst-port=53 in-interface=ether1wan1 protocol=
udp
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input disabled=yes dst-port=1723 protocol=tcp
add chain=input disabled=yes protocol=gre
add action=drop chain=input disabled=yes dst-port=8080 in-interface=\
pppoe-out1 protocol=tcp
add action=drop chain=input disabled=yes dst-port=8080 in-interface=\
pppoe-out2 protocol=tcp
Не запрещаю все, т.к. в офисе используют jabber/icq/skype/vpn/rdp/sip и др. а там у всех свои порты...
Re: Мой микротик используют в качестве DNS?
Добавлено: 22 мар 2017, 19:50
algerka
SANER писал(а):Не запрещаю все, т.к. в офисе используют jabber/icq/skype/vpn/rdp/sip и др. а там у всех свои порты...
ну так и разрешите с интерфейса офиса все в цепочке forward, остальное блокируйте.
но проблема у вас не в forward, а в input цепочке.
вот в input и разрешить все с интерфейса локальной сети, а остальное блокируйте с логированием и смотрите чего еще нужно разрешить.
по конфигу вы блокируете 53 порт для интерфейсов ether10wan2, pppoe-out1, pppoe-out2, ether1wan1. но получается у вас все остальное разрешено. видимо где-то пропустили, ибо на данный момент на адресе
195.24.146.98 отрыт dns resolver для всех ! срочно закрывайте !
поставьте последним правилом логирование и смотрите лог. не можете сами - обратитесь к профессионалу.
но в вашем случае
настоятельно рекомендую воспользоваться предложенным принципом. видя как вы "плаваете" в вопросе последствия могут быть очень печальными.
ps: надеюсь в маскарадинге у вас корректно указан исходящий интерфейс.