Stránka 1 z 1
omezeni poctu paketu
Napsal: 21 Sep 2017 19:43
od Konycz
hoj, tohle uz v nove verzi mikrotik OS nelze pouzit a musi se pouzit layer7
Kód: Vybrat vše
;;; maximum 300 spojeni na jednu ip
chain=forward action=drop p2p=all-p2p protocol=tcp connection-limit=300,32mohl by mi prosim nekdo porad, jak muzu omezit pocet paketu kazde IP adrese v siti ???
Mam vsechny IP zapsany v SQ kde jim omezuji rychlost, ale potrebuji jeste kazdymu omezit pocet paketu, treba na 200 paketu za sekundu
Dekuji mockrat za kazdou radu
Re: omezeni poctu paketu
Napsal: 21 Sep 2017 20:10
od ludvik
Re: omezeni poctu paketu
Napsal: 21 Sep 2017 20:15
od Konycz
to jsem uz prochazel ,nikde tam neni o tom jak omezit pocet paketu na IP adresu, nebo jsem slepej
Re: omezeni poctu paketu
Napsal: 21 Sep 2017 20:18
od ludvik
Hledej slovo limit. Je tam jen sedmkrát ... Nebo sousloví packet rate, to je tam jen jednou.
Re: omezeni poctu paketu
Napsal: 21 Sep 2017 20:24
od Konycz
zkousim ruzne, ale porad nic, porad to neomezuje
Re: omezeni poctu paketu
Napsal: 21 Sep 2017 20:50
od ludvik
Jsou dvě možnosti. Buď jsi našel mikrotikům chybu - a bylo by záhodno ji reportovat. Nebo něco děláš špatně - a můžeš zkusit reportovat to sem. Křišťálovou kouli ovšem nikdo nevlastní, takže bez výpisu konfigurace můžeme jen hádat.
Re: omezeni poctu paketu
Napsal: 21 Sep 2017 20:59
od Konycz
Kód: Vybrat vše
# sep/21/2017 20:57:46 by RouterOS 6.41rc11
# software id = DVN2-3LN6
#
# model = 2011UiAS-2HnD
# serial number = 727A06BD6C5E
/ip firewall address-list
add address=88.150.148.189 list=SAT
add address=88.150.148.188 list=SAT
add address=149.202.92.139 list=SAT
add address=69.30.251.30 list=SAT
add address=103.61.236.150 list=SAT
add address=173.208.145.243 list=SAT
add address=183.61.164.150 list=SAT
add address=192.99.168.158 list=SAT
add address=64.237.40.126 list=SAT
add address=174.128.245.7 list=SAT
add address=37.48.64.176 list=SAT
add address=206.221.181.190 list=SAT
add address=149.202.53.11 list=SAT
add address=149.202.53.110 list=SAT
add address=37.187.248.28 list=SAT
add address=23.252.162.202 list=SAT
add address=23.62.120.133 list=SAT
add address=104.20.39.172 list=SAT
add address=23.252.165.129 list=SAT
add address=92.223.0.0/16 list=SAT
add address=37.252.248.75 list=SAT
/ip firewall filter
add action=accept chain=forward in-interface=ether1-wan protocol=icmp
add action=accept chain=forward comment=\
"Povoleni prichoziho portu 1021 (FTP server)" dst-port=1021 in-interface=\
ether1-wan protocol=tcp
add action=accept chain=forward comment="Povoleni prichoziho portu 5900 (VNC)" \
dst-port=5800-5900 in-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment=\
"Povoleni prichoziho portu 500,4500,1701 (PPTP)" dst-port=500,4500,1701 \
in-interface=ether1-wan protocol=udp
add action=accept chain=forward comment="Povoleni prichoziho portu 5900 (VNC)" \
dst-port=5800-5900 in-interface=ether1-wan protocol=udp
add action=accept chain=forward comment=\
"Povoleni prichoziho portu 9981 (DVB-T server)" dst-port=9981,9982 \
in-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment=\
"Povoleni prichoziho portu 9981 UDP(DVB-T server)" dst-port=9981,9982 \
in-interface=ether1-wan protocol=udp
add action=accept chain=forward comment=\
"Povoleni prichoziho portu 80(www server)" dst-port=80 in-interface=\
ether1-wan protocol=tcp
add action=accept chain=forward comment=\
"Povoleni prichoziho portu 2005-2010 (FTP server PASSIV)" dst-port=\
2005-2010 in-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment=\
"Povoleni prichozi port 222 (SSH na server)" dst-port=222 in-interface=\
ether1-wan protocol=tcp
add action=accept chain=forward connection-state=established in-interface=\
ether1-wan
add action=drop chain=forward connection-limit=200,32 protocol=tcp
add action=drop chain=forward comment="Blokovani IP adres v address listu" \
dst-address-list=SAT
add action=accept chain=forward connection-state=related in-interface=\
ether1-wan
add action=accept chain=forward out-interface=ether1-wan
add action=drop chain=input dst-port=53 in-interface=ether1-wan protocol=udp
add action=drop chain=forward in-interface=ether1-wan
/ip firewall nat
add action=masquerade chain=srcnat src-address=172.16.10.0/24
add action=masquerade chain=srcnat src-address=192.168.0.0/24
add action=dst-nat chain=dstnat comment="SSH server" dst-address=XXX.XXX.XXX.XXX \
dst-port=222 protocol=tcp to-addresses=172.16.10.2 to-ports=222
add action=dst-nat chain=dstnat comment=VNC dst-address=XXX.XXX.XXX.XXX dst-port=\
5900 protocol=tcp to-addresses=172.16.10.3 to-ports=5900
add action=dst-nat chain=dstnat comment=VNC dst-address=XXX.XXX.XXX.XXX dst-port=\
5900 protocol=udp to-addresses=172.16.10.3 to-ports=5900
add action=dst-nat chain=dstnat comment=DVB-T dst-address=XXX.XXX.XXX.XXX \
dst-port=9981-9982 protocol=tcp to-addresses=172.16.10.20 to-ports=\
9981-9982
add action=dst-nat chain=dstnat comment="DVB-T UDP" dst-address=XXX.XXX.XXX.XXX \
dst-port=9981-9982 protocol=udp to-addresses=172.16.10.20 to-ports=\
9981-9982
add action=dst-nat chain=dstnat comment=SMTP dst-address=XXX.XXX.XXX.XXX \
dst-port=25 protocol=tcp to-addresses=172.16.10.2 to-ports=25
add action=dst-nat chain=dstnat comment=SMTP dst-address=XXX.XXX.XXX.XXX \
dst-port=25 protocol=udp to-addresses=172.16.10.2 to-ports=25
add action=dst-nat chain=dstnat comment="www server" dst-address=XXX.XXX.XXX.XXX \
dst-port=80 protocol=tcp to-addresses=172.16.10.2 to-ports=80
add action=dst-nat chain=dstnat comment=VOIP dst-address=XXX.XXX.XXX.XXX \
dst-port=4000-6000 protocol=tcp to-addresses=172.16.10.2 to-ports=5000-6000
add action=dst-nat chain=dstnat comment=VOIP dst-address=XXX.XXX.XXX.XXX \
dst-port=10000-20000 protocol=tcp to-addresses=172.16.10.2 to-ports=\
10000-20000
add action=dst-nat chain=dstnat comment=VOIP dst-address=XXX.XXX.XXX.XXX \
dst-port=10000-20000 protocol=udp to-addresses=172.16.10.2 to-ports=\
10000-20000
add action=dst-nat chain=dstnat comment=VOIP dst-address=XXX.XXX.XXX.XXX \
dst-port=4000-6000 protocol=udp to-addresses=172.16.10.2 to-ports=5000-6000
add action=dst-nat chain=dstnat comment="FTP server - passive" dst-address=\
XXX.XXX.XXX.XXX dst-port=2005-2010 protocol=tcp to-addresses=172.16.10.2 \
to-ports=2005-2010
add action=dst-nat chain=dstnat comment="FTP server - passive" dst-address=\
XXX.XXX.XXX.XXX dst-port=2005-2010 protocol=udp to-addresses=172.16.10.2 \
to-ports=2005-2010
add action=dst-nat chain=dstnat comment="FTP server" dst-address=XXX.XXX.XXX.XXX \
dst-port=1021 protocol=tcp to-addresses=172.16.10.2 to-ports=1021
/ip firewall service-port
set ftp ports=211
Re: omezeni poctu paketu
Napsal: 21 Sep 2017 21:08
od Selič
Dělá špatně tohle: "p2p=all-p2p". Tohle omezuje aplikaci pravidla jen na prehistorické torrenty, které už nikdo nepoužívá.
Re: omezeni poctu paketu
Napsal: 21 Sep 2017 21:28
od Konycz
ale to tam prece vubec nemam.... protoze to hnedka winbox oznaci cervene
Re: omezeni poctu paketu
Napsal: 21 Sep 2017 23:34
od ludvik
první nákuk:
accept established,related - a) na první místo, b) omezení na interface je minimálně zbytečné (a možná to má i jiné, teď nedomyšlené důsledky).
jelikož končíš DROP všeho, nemají smysl zakazovací pravidla (snad až na výjimku toho connection-limit).
povolení provozu forward s odchozím interface je také logický nesmysl. Dělá se to obráceně - accept forward in-interface LAN.
chceš omezovat počty paketů a tvrdíš, že to nefunguje - ani nemůže, když to tam nemáš.
connection-limit lze vztáhnout myslím na všechny protokoly (tedy nevím jestli to MK uměle neomezuje, ale TCP/UDP jde).
Také je dobře myslet na to, že forward a input je ve filteru něco jiného. Forward jsou pakety, co jdou zkrz router. Input ty, co na něm končí. Output ty, co na něm začínají. Je to i dobré pro to, že si to tak můžeš srovnat a nemotat to zmateně všechno dohromady, čitelnosti to nepřispívá.
-----
nástin:
input accept related,established
input accept služby in-interface=wan - ty které chceš vystavit z router do internetu
input accept in-interface=LAN (nechceš-li si komplikovat práci ... jinak to můžeš spojit s WAN - prostě neuvedeš in-interface)
input drop
forward accept related, established
...na tohle místo by přišly případná pravidla omezující provoz LAN (tedy např connlimit)
forward accept in-interface=LAN (chceš-li povolit z vnitřku ven vše)
forward accept povolené služby, in-interface=WAN - tedy to, co ti běží uvnitř sítě a chceš mít přístupné z internetu (ve spolupráci s DNAT)
forward drop in-interface=WAN (a všechno ostatní z internetu chceš zakázat).
Re: omezeni poctu paketu
Napsal: 22 Sep 2017 00:03
od Konycz
Poslal jsem ti PM... hrozne moc bych byl rad kdyby ses mi na to mohl podivat. Diky moc
Re: omezeni poctu paketu
Napsal: 22 Sep 2017 01:05
od ludvik
Kód: Vybrat vše
/ip firewall filter
add action=accept chain=input src-address=127.0.0.0/8
add action=accept chain=input connection-state=established,related
add action=jump chain=input connection-state=new jump-target=ICMP protocol=icmp
#pristup z LAN na tento router asi moc neomezovat (ale bezpecnosti se meze nekladou ... myslim ovsem, ze vsechny sluzby lze omezit primo v jejich definici, neni uplne nutne je delat firewallem - krome DNS a mozna i NTP serveru).
#ale lze to ochranit pred "zahlcenim" castym pripojovanim, vysledek je povoleni nebo zablokovani takove sluzby. Pocitani je na SRC-IP, cili vsechny tam "poslane" sluzby soucasne. Takto napsane to tedy povoli pristup i z WAN
add action=jump chain=input connection-state=new dst-port=22,8291 jump-target=sshchain protocol=tcp
add action=accept chain=input in-interface=ETHER-LAN
#co potrebuje byt vystaveno z tohoto routeru do WAN povolit zde. Asi moc takovych sluzeb nebude.
#pozor hlavne na DNS, to musi zustat z WAN zakazane dej se co dej.
#a nasledne VSE zakazat
add action=drop chain=input
#-------------------------
#na toto misto musis nadefinovat ten LIMIT (nebo DST-LIMIT). Ja nevim vlastne, jak se to pise ...
#jelikoz kdekoliv jinde za established,related by to nic nepocitalo - nikdy by tam ten paket "neprosel"
#tohle by melo nepovolit prekroceni 100 paketu za sekundu smerem z wan do lan. Ale VSECH!!! Cili je vlastne nutne to psat zvlast alespon na skupiny sluzeb/IP.
add action=drop chain=forward in-interface=ether1-wan limit=100,5:packet
#nebo pouzit tu druhou moznost, ktera to rovnou pocita na kazdou DST adresu zvlast. Takhle napsano to je zase smer z WAN do LAN.
add action=drop chain=forward dst-limit=100,5,dst-address/1m40s in-interface=ether1-wan
#tohle funguje tak, ze prvni paket pokousejici se projit routerem (skupina SRC,DST,SPORT,DPORT,PROTOCOL) neni ani navazane, ani k necemu patrici spojeni
#tedy tento radek nezabere a paket je testovan dal. Pokud je akceptovan, tak vsechny ostatni (i ty opacnym smerem) uz jsou navazane a tedy povolene timto pravidlem.
add action=accept chain=forward connection-state=established,related
add action=jump chain=forward connection-state=new jump-target=ICMP protocol=icmp
add action=accept chain=forward comment="VNC" dst-port=5800-5900 in-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment="VNC" dst-port=5800-5900 in-interface=ether1-wan protocol=udp
add action=accept chain=forward comment= "PPTP" dst-port=500,4500,1701 in-interface=ether1-wan protocol=udp
add action=accept chain=forward comment="DVB-T server" dst-port=9981,9982 in-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment="DVB-T server" dst-port=9981,9982 in-interface=ether1-wan protocol=udp
add action=accept chain=forward comment="www server" dst-port=80,443 in-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment="FTP server" dst-port=1021 in-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment="FTP server PASSIV" dst-port= 2005-2010 in-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment="SSH na server" dst-port=222 in-interface=ether1-wan protocol=tcp
#nektere veci je lepsi zakazat sakumprdum
add action=drop chain=forward comment="blokace exploitable services" connection-state=new dst-port=1900 log=yes log-prefix="DDOS: " protocol=udp
add action=drop chain=forward connection-state=new dst-port=19 log=yes log-prefix="DDOS: " protocol=udp
add action=drop chain=forward connection-state=new dst-port=19 log=yes log-prefix="DDOS: " protocol=tcp
add action=drop chain=forward connection-state=new dst-port=17 log=yes log-prefix="DDOS: " protocol=tcp
add action=drop chain=forward connection-state=new dst-port=17 log=yes log-prefix="DDOS: " protocol=udp
#ja to delam rozdelene, ven i dovnitr z LAN zvlast. Jde o hlidani MAX poctu konexi.
#na tomto miste se to netyka provozu povoleneho/zakazaneho extra pred temito radky.
add action=reject chain=forward comment="konexe tcp" connection-limit=300,32 connection-state=new in-interface=ETHER-LAN protocol=tcp reject-with=tcp-reset
add action=reject chain=forward connection-limit=100,32 connection-state=new in-interface=ETHER-LAN protocol=udp reject-with=icmp-admin-prohibited
add action=reject chain=forward connection-limit=100,32 connection-state=new out-interface=ETHER-LAN protocol=tcp reject-with=tcp-reset
add action=reject chain=forward connection-limit=50,32 connection-state=new out-interface=ETHER-LAN protocol=udp reject-with=icmp-admin-prohibited
#tohle mi neni jasne ... blokovat provoz smerem k tem serverum? nema to byt obracene?
add action=drop chain=forward comment="Blokovani IP adres v address listu (bych si to popsal asi lepe ...)" dst-address-list=SAT
#vsechno smerem z LAN do WAN chci povolit?
add action=accept chain=forward in-interface=ETHER-LAN
#a naopak pristup z WAN do LAN komplet zakazat (pro jistotu bez definovani interface)
add action=drop chain=forward
#----------------------
#filtruji i ICMP
add action=accept chain=ICMP icmp-options=8:0-255 protocol=icmp
add action=accept chain=ICMP icmp-options=3:0-255 protocol=icmp
add action=accept chain=ICMP icmp-options=4:0-255 protocol=icmp
add action=accept chain=ICMP icmp-options=11:0-255 protocol=icmp
add action=accept chain=ICMP icmp-options=12:0-255 protocol=icmp
add action=drop chain=ICMP log=yes log-prefix=ICMP protocol=icmp
#---------------------------
#je vhodne si IP spravce povolit zapsanim do zmineho address listu. Nutne to samozrejme neni.
add action=drop chain=sshchain comment="SSH prevent brute force" src-address-list=sys_ssh_blacklist
add action=accept chain=sshchain comment="whitelist" src-address-list=NEJAKY_ADDRESS_LIST
add action=add-src-to-address-list address-list=sys_ssh_blacklist address-list-timeout=3d chain=sshchain connection-state=new src-address-list=sys_ssh_stage3
add action=add-src-to-address-list address-list=sys_ssh_stage3 address-list-timeout=1m chain=sshchain connection-state=new src-address-list=sys_ssh_stage2
add action=add-src-to-address-list address-list=sys_ssh_stage2 address-list-timeout=1m chain=sshchain connection-state=new src-address-list=sys_ssh_stage1
add action=add-src-to-address-list address-list=sys_ssh_stage1 address-list-timeout=1m chain=sshchain connection-state=new
add action=accept chain=sshchain
ETHER-LAN si nahraď správným názvem.
Je to trošku zjednodušené než používám já, ale pro tebe jako zjevného začátečníka to musí stačit.
Jde o princip "firemní síť". Tedy: co není povoleno, je zakázáno. Princip "ISP" by se psal obráceně ...
A jak už jsem jednou řekl, omezovat počty paketů za vteřinu je prostě pitomé. Špatně se to definuje, co počítat, co radši ne ... a také rozhodnout, co je správný počet. Kromě toho to možná bude zbytečně náročné pro router (to connection-limit také, ale dle mě méně).
Také jsem koukal, že v DNAT máš třeba i SMTP server. Ten ovšem ve filteru nepovoluješ. Kromě toho ten jede jen na TCP. A pro www servery bych asi udělal i port 443.
edit: snad jsem po sobě všechny chyby napravil. Můžeš zkoušet. Ale doporučuji nastudovat si principy stavových firewallů. Nemusíš přímo mikrotik, linuxový netfilter (iptables) je to samé. Já většinou dodržuji pořekadlo: dej hladovému rybu, nasytíš ho dnes. Nauč ho lovit, nasytíš ho do konce života. Akorát jsem ho teď dost porušil ... A také neradím osobně, raději mám veřejnou pomoc. Nejsi jediný na světě ...
Re: omezeni poctu paketu
Napsal: 28 Sep 2017 22:56
od ludvik
Alespoň informaci, že to je špatně nebo dobře bych si zasloužil. Když už jsi nabízel peníze.
Konycz píše:.
Re: omezeni poctu paketu
Napsal: 28 Sep 2017 23:03
od Konycz
promin za neodpoved. Nahodil jsem to a cely router zakazal komplet pristup do iNetu. (Resim tedka problemy s manzelkou.. pred 15 ti dnama jsme se brali a pri svatebnim dnu jsme ji odvezl na pohotovost s tim ze ji je spatne a do ted ji jeste nemam doma. nechali si ji na ARU, takze mam neskutecny problemy jinaci nez je sit...), ale musel jsem tvuj postup vypustit... zatim nemam cas hledat kde by mohl byt problem...