classic.ISPforum.cz

zdravim, prikladam jeden screen - rovnaku vec som si vsimol uz vcera. Cely utok trva cca 5min. Pocas tejto doby mame naplno vyhuleny download na x86 routerboard - tamer 1Gbps.kym som si tovsimol a zareagoval, stahovanie skoncilo. Stihol som urobit akurat torch a nahodit firewall pravidlo pre output, src adress ta ktora je v screene - 208.67.... a action drop. Pakety mi naskakovali ze pravidlo bezi, ale nic sa nedropovalo, alebo to aspon nebolo vidno ani na upl, ani na downloade.

Mam niekde chybu, pripadne mozte poradit na zaklade screenu torchu ako ma byt to pravidlo nastavene?

ros 5.11 x86 - nechcel som upgradovat zatial ked vsetko fungovalo.dik

snad to přichází ne? takže input. output je ti na MKčku tak trochu na nic.

Ty máš na WAN otevřené input ??!!

hapi píše:snad to přichází ne? takže input. output je ti na MKčku tak trochu na nic.

vychadzal som z toho, ze na to aby vobec nieco stahoval, musi najskor niekam odosielat - neslo to do vnutra siete, tocilo sa to na uplinkovom interface. preto mi bolo divne, ze ak stopnem upload, tak stale vsetko bezalo.
kazdopadne dik, nahodil som si aj input pravidlo.

ef píše:Ty máš na WAN otevřené input ??!!

nechapem. prosim vysvetli, nie som profik, neviem co sa mi snazis povedat. dik

Služby které máš otevřené na mikrotiku snad zablokuji z WANu čili běžně 80,8291,20561,20-21,22, atd

ef píše:Služby které máš otevřené na mikrotiku snad zablokuji z WANu čili běžně 80,8291,20561,20-21,22, atd

pravdepodobne to chapem ale zle, pretoze sa mi zda nelogicke odstrihnut si cestu k brane zvonku. co ak budem chciet z mobilu nieco zkontrolovat?na verejnu ipku sa dostanem lahko, no ked si tam bloknem sluzby tak nic.

losos píše:

ef píše:Služby které máš otevřené na mikrotiku snad zablokuji z WANu čili běžně 80,8291,20561,20-21,22, atd

pravdepodobne to chapem ale zle, pretoze sa mi zda nelogicke odstrihnut si cestu k brane zvonku. co ak budem chciet z mobilu nieco zkontrolovat?na verejnu ipku sa dostanem lahko, no ked si tam bloknem sluzby tak nic.

Pokud chceš mít vše z WANu dostupné, tak doporučuji jenom to co potřebuješ a ještě bych doporučil přehodit SSH, Telnet atd. na jiné než standartní porty.

a jeste idealne povolit jen z IP ze kterych se budes pripojovat pokud to lze.

losos píše:zdravim, prikladam jeden screen - rovnaku vec som si vsimol uz vcera. Cely utok trva cca 5min. Pocas tejto doby mame naplno vyhuleny download na x86 routerboard - tamer 1Gbps.kym som si tovsimol a zareagoval, stahovanie skoncilo. Stihol som urobit akurat torch a nahodit firewall pravidlo pre output, src adress ta ktora je v screene - 208.67.... a action drop. Pakety mi naskakovali ze pravidlo bezi, ale nic sa nedropovalo, alebo to aspon nebolo vidno ani na upl, ani na downloade.

Mam niekde chybu, pripadne mozte poradit na zaklade screenu torchu ako ma byt to pravidlo nastavene?

ros 5.11 x86 - nechcel som upgradovat zatial ked vsetko fungovalo.dik

situacia sa prave zopakovala, napriek nahodenym pravidlam:

/ip firewall filter
add action=drop chain=input disabled=no src-address=208.67.237.237
add action=drop chain=input disabled=no dst-address=208.67.237.237
add action=drop chain=output disabled=no src-address=208.67.237.237
add action=drop chain=output disabled=no dst-address=208.67.237.237
kym neubehlo cca 5min tak valil uplink cez 900Mbit

nam stale nekdo scanuje / utoci na sit , uz mam na blacklistu pres tisic scanovacich adres ,
tuhle kdyz jsem prepinal nasi gw, udelal jsem tam mensi chybku (na 5-10minut) a nekdo se nam dokonce loupnul do nasi site , za tu dobu nam zkurvil interni gallerii a haknul se phpbb ,
proste sranda nad strandu

a opravdu by to dropování nemělo bejt ve forward rules?
tím cílem útoku (DST) je skutečně adresa GW?

koukám, že vytížení toku je přes ICMP. Máš ho na vstupu ošetřenej?

losos píše:

hapi píše:snad to přichází ne? takže input. output je ti na MKčku tak trochu na nic.

vychadzal som z toho, ze na to aby vobec nieco stahoval, musi najskor niekam odosielat - neslo to do vnutra siete, tocilo sa to na uplinkovom interface. preto mi bolo divne, ze ak stopnem upload, tak stale vsetko bezalo.
kazdopadne dik, nahodil som si aj input pravidlo.

ne, vycházej z toho že než něco brána samovolně odešle, musí něco přijít. Ale připadá mi to podle toho obrázku že na ní někdo útočí a router odesílá nějaký statusový hlášky zpět přes icmp něco jako "stop, brzi, nestíhám" nebo něco podobnýho. No každopádně to chce zastavit input.

radek1 píše:a opravdu by to dropování nemělo bejt ve forward rules?
tím cílem útoku (DST) je skutečně adresa GW?

koukám, že vytížení toku je přes ICMP. Máš ho na vstupu ošetřenej?

pokud je útok veden na službu v routeru, do forwardu nic nedoteče. Copak si nikdy nevyděl schéma kudy teče paket?

radek1 píše:a opravdu by to dropování nemělo bejt ve forward rules?
tím cílem útoku (DST) je skutečně adresa GW?

koukám, že vytížení toku je přes ICMP. Máš ho na vstupu ošetřenej?

neviem co myslis pod pojmom "osetrenej". vychadzaj z toho, ze nemam a odporuc co mam spravit:)a ano, ta IP na ktoru boli v torchu poziadavky je IP gw,