IP spoofing

[FE501]

Zdravím! Nedávno jsme si pěkně zavařili připojili jsme člena ve spěchu a on neměl žádný antivir.. problém na sebe nenechal dlouho čekat.. Nějaký útočník z internetu podvrhuje v hlavičce protokolu IP adresu kterou sice dál nepustí firewall na hlavním routeru ale pravidelné hlášky jednou za 50 minut, že byl blokovan paket je tam už týden. Řešení by prý mělo být takové, že se kontroluje zda z daného interfacu chodí jen ty adresy které mají.. (i public by neměla přijít IP vnitřních rozsahů) nemáte někdo tucha jakým způsobem to ošetřit v MikroTiku?

[pepo_p]

Takéto niečo som riešil spôsobom, že mám omarkované všetky zariadenia v sieti a ak sa vyskytne nejaká iná IP okrem mnou zadaných označím ju ako Neznáma_IP a tomuto pravidlu dám DROP do netu. Z času na čas sa zam poukazujú nejaké verejné adresy.

[miract]

Panove, na to co jsem ted zazil, vam nepomuze zadne pravidlo, proste klintsky pc zacne uploadovat z vymyslene verejne IP na jinou verejnou IP. Tim padem pres router nic neproleze a lidi nadavaji proc maji tak pomalej net. Dokud jsem se nepodival primo na provoz dane karty AP, nic zvlastniho jsem nevidel. Nesetkal jste se stim nekdo?


Mira

[FE501]

Děkuji za reakce.. zkoušel jsem s tím trošku laborovat a asi by stačilo jednoduchý pravidlo

Kód: Vybrat vše

chain=forward in-interface=wlan_AP src-address=!192.168.xx.xx/xx action=drop


Svázání jen tohoto rozsahu s daným interfacem.

Ten můj problém byla nakonec naprostá hloupost nějaké klientské zařízení (v transparentním režimu) se svojí vlastní IP na kterou už dávno každý zapomněl chtělo nějaký DNS překlad a na APčku bylo pravidlo forward UDP pro všechny na začátku -> na routeru už je to jinak.. proto se to na hlavním routeru zahazovalo a psalo do logu.. samozřejmě na tu IP nešlo pingovat protože nebylo pravidlo accept na daném AP.. Chybami se člověk učí