classic.ISPforum.cz

Viete nejak pomoct co s tym? Jeden klient ma trafic na porte NTP - 123, kde zdrojom je jeho IP v lokalnej sieti a port 123 a cielom su rozne servery po svete s nahodnymi portami ako 54674 a pod. Najvetsia sranda je, ze som skusal vsetky mozne foltrovacie a zachytavacie funkcie Mikrotiku ale nic to nie je platne, pretoze sa ten traffic nezobrazuje v coon tracku. Zacvhytit ide len cast, par paketov, detto aj Simple qeueu aj mangle a QT. Je jedo ci zadavam lokalnu IP toho pc alebo verejne Ip kde to posiela.
Ale zaujimave ze mangle a QT od ISPadmina to zachyti a ukociruje na nastavenej rychlosti napr. 5M. Najvetsia sranda je ze na Eth RB kde je klient pripojeny to generuje 50-60Mbps z toho pc na IP von do netu, ale na WLAN rozhrani uz lezie oshapovane co regyuluje ISPA mangle a QT na hranicnom routri. Som z toho jelen.

Klient má zavirovanej komp a je spučástí bootnetu. Okamžitě bych ho odpojil do vyřešení (reinstalování).
Tady máš k tomu detaily - http://blog.cloudflare.com/understandin ... os-attacks

sub_zero píše:Klient má zavirovanej komp a je spučástí bootnetu. Okamžitě bych ho odpojil do vyřešení (reinstalování).
Tady máš k tomu detaily - http://blog.cloudflare.com/understandin ... os-attacks

Jasne ze som ho odpojil, ale zaujima ma to, preco FW mrkvotiku tie pakety prakticky nezachyti.? je to akoby transparentne pren.

keksik píše:

sub_zero píše:Klient má zavirovanej komp a je spučástí bootnetu. Okamžitě bych ho odpojil do vyřešení (reinstalování).
Tady máš k tomu detaily - http://blog.cloudflare.com/understandin ... os-attacks

Jasne ze som ho odpojil, ale zaujima ma to, preco FW mrkvotiku tie pakety prakticky nezachyti.? je to akoby transparentne pren.

Pokud to zkousis blokovat na routeru, kde je conntrack zapnuty, musi to ji. Taky bacha na to, ze pokud je to TCP komunikace a na tom routeru i NATujes a udelas pravidlo ze vse z portu 123 klienta zahodit, uplatni se to jen na nove spojeni. Ty, ktere byly navazany driv nez jsi to pravidlo udelal to nedropne. Takze udelej pravidlo:

nasledne vymaz conn tabulku a sleduj, co se bude dit.

sub_zero píše:Klient má zavirovanej komp a je spučástí bootnetu. Okamžitě bych ho odpojil do vyřešení (reinstalování).
Tady máš k tomu detaily - http://blog.cloudflare.com/understandin ... os-attacks

rekl bych, ze neni zavirovanej ale ma spatne nastavenou NTP sluzbu a tak je zneuzivan k DOS utoku (pokud se nepletu tak open NTP je lepsi apmlifikator nez open DNS). Cili by melo stacit u klienta ten NTP server vypnout nebo nastavit tak, aby se na nej nedalo z venku pripojit. Pripadne bloknout 123 smerem k zakaznikovi

V uvodnom poste pisem a znova opakujem,v conn track tabulke sa ten traffic portu 123 nezobrazuje. Takze mangle ci firewall pravidlo ho nezachytava.
Vid screenshot tuna. Preto som z toho jelen.

Máš ten ether1 a wlan1 v bridgi, že? Pak je jasné, že normálně neprochází přes conntrack a firewall pod /ip firewall, protože se ti provoz přehodí už na L2 a do firewallu nedojde. Takže to buď musíš řezat pomocí "/interface bridge filter" nebo si zapnout aby bridgovaný provoz procházel přes IP firewall a pak ho tma můžeš prznit (/interface bridge settings set use-ip-firewall=yes). Nebo třetí je, že budeš mezi ether a wlan routovat a pak to tím ip firewallem můžeš kazit přímo.

Majklik píše:Máš ten ether1 a wlan1 v bridgi, že? Pak je jasné, že normálně neprochází přes conntrack a firewall pod /ip firewall, protože se ti provoz přehodí už na L2 a do firewallu nedojde. Takže to buď musíš řezat pomocí "/interface bridge filter" nebo si zapnout aby bridgovaný provoz procházel přes IP firewall a pak ho tma můžeš prznit (/interface bridge settings set use-ip-firewall=yes). Nebo třetí je, že budeš mezi ether a wlan routovat a pak to tím ip firewallem můžeš kazit přímo.

Ano je tam bridge, ale skusal som to aj na dalsich routerboardoch v ceste trafficu von po nasej sieti, kde neboli bridge, a tiez to neslo filtrovat... no mozno som nieco zle nastavil na tych dalsich, pravdou je ze laboroval som hlavne na tom kde je ten bridge, aj som ho chcel zrusit .. no ..komplikace by boli.. tak som to nahal tak a napisal sem ci na to niekto kapne .
Dakujem za odpoved co ma posunula dalej.

V tom případě můžeš zkusit na tom koncovém RB u něj (kde je ten bridge mezi ether1 a wlan1) něco jako:
/interface bridge filter
add action=drop chain=forward in-interface=ether1 mac-protocol=ip ip-protocol=udp src-port=123 dst-port=!123

Majklik píše:V tom případě můžeš zkusit na tom koncovém RB u něj (kde je ten bridge mezi ether1 a wlan1) něco jako:
/interface bridge filter
add action=drop chain=forward in-interface=ether1 mac-protocol=ip ip-protocol=udp src-port=123 dst-port=!123

Takuto sialenost by som v zivote nevymyslel. SI BOH. FUNGUJEE.
Co pijes?