classic.ISPforum.cz

Dobrý den, vlastním mikrotik RB450G. Ten je nastaven následovně: Modem Zyxell - Mikrotik - Lan. Naše společnost má přidělenu veřejnou IP adresu a v posledních dnech jsem byl informován providerem, že na našich prvcích probíhá nadměrný tok dat. Když otevřu Firewall / connection, tak opravdu z některých počítačů tečou data z místní IP adresy: port 45000- 60000 na náhodné veřejné adresy porty 3389, nebo porty 80. Antivir nic nenašel.

Nastavení Mikrotiku je následující: 1. port je připojen modem, 2-5. port je bridge, do kterého je přivedena LAN.
Na Firewallu pravidla:
input established a related na port 1 accept
input port 1 drop

V natu
maskarada srcnat port 1
a pak dstnat dstnat port 8080 protocol 6ctp opět port 1


Měl jsem dojem, že takto je celá síť zavřená a povolený je jen ten port 8080, ale jak tak sleduji ty přenášená data, tak asi ne. V extremech je to v noci i třeba 1Gb za večer. Nevím co mám špatně nastaveno. Poradíte mi prosím?

PS: na Wikipedii Mikrotiku jsme viděl ještě pravidla pro forward, ale to jsem nevěděl k čemu je dobré. A hlavně nemám k tomu prvku fyzicky přístup, nastavuji přes web rozhraní vzdáleně, tak bych nerad se nějak odpojil.

Jestli chápu dobře, co píšeš ... tak se hlavně z toho mikrotiku neodhlašuj a pořád něco dělej. Jak ti konexe zmizí, už se tam nedostaneš.

INPUT je opravdu jen vstup, pakety co přijdou na zařízení a také tam skončí. Ty potřebuješ i ten forward.

Ochrana jen maškarádou je polovičatá. Sice možnost napadení je spíš v teoretické rovině (i když nevíme, jak to ten provider má - pro napadení potřebuješ mít přístup v rámci jednoho segmentu), ale na ovládání třeba bota by to stačilo

To co máš na INPUT dej i na FORWARD. Dokud nedáš to poslední "drop všechno", pojede to. Jenom tam přidej pravidlo (před drop), které povolí provoz (a ve firmách je dobrým zvykem nepovolovat vše) zevnitř ven.

Port 3389 je "vzdálená plocha", mohl by to být nějaký malware. S portem 80 už je to ale horší ... Doporučuji použít utilitku tcpview.exe (ke stažení z microsoftu) na těch počítačích a vysledovat, jaký proces to způsobuje.

Děkuji, nastavil jsem tedy pravidla na forward related, established, invalid connection a jump na virus chain (podle wiki mikrotik). Na drop všechno ostatní se odhodlávám, protože mikrotik mi plní fce. dhcp serveru v intranetu. Před drop jsem si přidal pro jistotu pravidlo pro komunikaci na portu 8291 z vyhrazeného segmentu veřejných adres, ale nevím, jestli když ponechám tyto 4 pravidla nenaruším chod intranetu (neodříznu DHCP).

A pak ještě jedna poznámka: po nastavení forward jump virus mi na daném pravidle proteklo za uplynulých 12 hodin 560 Mib. Znamená to, že naše síť je napadána nějakým virem?

nevím co máš v tom virus chainu ... a jak je dělaný ten odskok. To se špatně radí.

DHCP je INPUT tam, kde ten server běží. Pravidly na forward to neovlivníš.

x2007x píše:Děkuji, nastavil jsem tedy pravidla na forward related, established, invalid connection a jump na virus chain (podle wiki mikrotik). Na drop všechno ostatní se odhodlávám, protože mikrotik mi plní fce. dhcp serveru v intranetu. Před drop jsem si přidal pro jistotu pravidlo pro komunikaci na portu 8291 z vyhrazeného segmentu veřejných adres, ale nevím, jestli když ponechám tyto 4 pravidla nenaruším chod intranetu (neodříznu DHCP).

A pak ještě jedna poznámka: po nastavení forward jump virus mi na daném pravidle proteklo za uplynulých 12 hodin 560 Mib. Znamená to, že naše síť je napadána nějakým virem?

Ten vyhrazený segment veřejných adres mi není zrovna jasný. Z nich totiž vlastně žádný provoz nemáš ... buď ti dělá NAT mikrotik, nebo ten Zyxel. Takže s nimi vlastně nepracuješ ... zajímají tě jen interní IP.

pokud bude před posledním DROPem všeho pravidlo "chain=forward out-interface=wan action=ACCEPT" (píšu to z hlavy, přesnou syntaxi ti hledat nebudu), tak provoz z intranetu ven bude komplet povolen.

Asi by to chtělo trochu nastudovat iptables na linuxu.

forward je nastaven:

ludvik píše:Ten vyhrazený segment veřejných adres mi není zrovna jasný. Z nich totiž vlastně žádný provoz nemáš ... buď ti dělá NAT mikrotik, nebo ten Zyxel. Takže s nimi vlastně nepracuješ ... zajímají tě jen interní IP.

Protože se jedná o pobočku, kde nejsem fyzicky, mám port 8291 povolený na inputu z vyjmenovaných veřejných IP adres (sídlo firmy).

O iptables na linuxu jsem něco četl, ale stejně mi pořád není zcela jasný ten forward. Podle schématu:

data ---- input -------forward------ Output
+ +
+ ------- kontrola ------- +

Mám prostě pořád pocit, že nepotřebuju na forward vůbec nic.

Četl jsi špatně Input je prostě input. Forward je forward. To co ty myslíš platilo mám takový pocit u předchůdce netfilteru - ipchains.

Do chainu VIRUS ti padá prostě naprosto všechno, proto tam vidíš tolik dat.

Před drop tedy přidej add chain=forward out-interface="wan" action=accept

Pro přístup opačně, z internetu do firmy, tě pak zajímá DNAT. To je jen jeden řádek, na provoz pak zabere to established a related.
Pokud NAT dělá zyxel, tak přidáváš pravidla do filter forward s povolením - in-interface bude WAN.

x2007x píše:forward je nastaven:

Kód: Vybrat vše

/ip firewall filter
add chain=forward connection-state=established comment="allow established connections" 
add chain=forward connection-state=related comment="allow related connections"
add chain=forward connection-state=invalid action=drop comment="drop invalid connections" 

Kód: Vybrat vše

add chain=virus protocol=tcp dst-port=135-139 action=drop comment="Drop Blaster Worm"
add chain=virus protocol=udp dst-port=135-139 action=drop comment="Drop Messenger Worm"   
add chain=virus protocol=tcp dst-port=445 action=drop comment="Drop Blaster Worm"
add chain=virus protocol=udp dst-port=445 action=drop comment="Drop Blaster Worm"
add chain=virus protocol=tcp dst-port=593 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1024-1030 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1080 action=drop comment="Drop MyDoom"
add chain=virus protocol=tcp dst-port=1214 action=drop comment="________"
add chain=virus protocol=tcp dst-port=1363 action=drop comment="ndm requester"
add chain=virus protocol=tcp dst-port=1364 action=drop comment="ndm server"
add chain=virus protocol=tcp dst-port=1368 action=drop comment="screen cast"
add chain=virus protocol=tcp dst-port=1373 action=drop comment="hromgrafx"
add chain=virus protocol=tcp dst-port=1377 action=drop comment="cichlid"
add chain=virus protocol=tcp dst-port=1433-1434 action=drop comment="Worm"
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Bagle Virus"
add chain=virus protocol=tcp dst-port=2283 action=drop comment="Drop Dumaru.Y"
add chain=virus protocol=tcp dst-port=2535 action=drop comment="Drop Beagle"
add chain=virus protocol=tcp dst-port=2745 action=drop comment="Drop Beagle.C-K"
add chain=virus protocol=tcp dst-port=3127-3128 action=drop comment="Drop MyDoom"
add chain=virus protocol=tcp dst-port=3410 action=drop comment="Drop Backdoor OptixPro"
add chain=virus protocol=tcp dst-port=4444 action=drop comment="Worm"
add chain=virus protocol=udp dst-port=4444 action=drop comment="Worm"
add chain=virus protocol=tcp dst-port=5554 action=drop comment="Drop Sasser"
add chain=virus protocol=tcp dst-port=8866 action=drop comment="Drop Beagle.B"
add chain=virus protocol=tcp dst-port=9898 action=drop comment="Drop Dabber.A-B"
add chain=virus protocol=tcp dst-port=10000 action=drop comment="Drop Dumaru.Y"
add chain=virus protocol=tcp dst-port=10080 action=drop comment="Drop MyDoom.B"
add chain=virus protocol=tcp dst-port=12345 action=drop comment="Drop NetBus"
add chain=virus protocol=tcp dst-port=17300 action=drop comment="Drop Kuang2"
add chain=virus protocol=tcp dst-port=27374 action=drop comment="Drop SubSeven"
add chain=virus protocol=tcp dst-port=65506 action=drop comment="Drop PhatBot, Agobot, Gaobot"

Kód: Vybrat vše

add chain=forward action=jump jump-target=virus comment="jump to the virus chain"

ludvik píše:Ten vyhrazený segment veřejných adres mi není zrovna jasný. Z nich totiž vlastně žádný provoz nemáš ... buď ti dělá NAT mikrotik, nebo ten Zyxel. Takže s nimi vlastně nepracuješ ... zajímají tě jen interní IP.

Protože se jedná o pobočku, kde nejsem fyzicky, mám port 8291 povolený na inputu z vyjmenovaných veřejných IP adres (sídlo firmy).

O iptables na linuxu jsem něco četl, ale stejně mi pořád není zcela jasný ten forward. Podle schématu:

data ---- input -------forward------ Output
+ +
+ ------- kontrola ------- +

Mám prostě pořád pocit, že nepotřebuju na forward vůbec nic.

Děkuji, teď už jsou snad pravidla nastavena správně.