Zdravím vás,
mám prosbičku. Na Mikrotiku, kde jsem nyní řešil dva WANy jsem si všiml, že mi během noci u pravidla na DNS (bylo místo forward -> input) naskočilo docela dosti paketů a ještě velké množství dat (viz. příloha). Dokážete mi prosím poradit co to může způsobovat a jak tomu problému zabránit? Děkuji
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Mikrotik - útoky na DNS?
To nevíme, když neznáme tvůj firewall. To pravidlo vypadá podivně.
Ale jinak je to normální. Dobře se to používá pro DDoS. Na inputu máš mít DNS zakázané kompletně z WAN.
Ale jinak je to normální. Dobře se to používá pro DDoS. Na inputu máš mít DNS zakázané kompletně z WAN.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Ano, chápu, ve vláknu https://ispforum.cz/viewtopic.php?f=5&t=19086 jsem dával konfigurák.
V příloze jsem ukázal pravidla, které mám na firewallu. Problém je, že pokud zakážu pravidla z internetu do WAN1 a WAN2, nefunguje mi načítání některých webových aplikací na serveru (když přistupuji z internetu).
V příloze jsem ukázal pravidla, které mám na firewallu. Problém je, že pokud zakážu pravidla z internetu do WAN1 a WAN2, nefunguje mi načítání některých webových aplikací na serveru (když přistupuji z internetu).
- Přílohy
-
0 x
Díval jsem se i na ochranu proti DDos, ale všude se manuály něčím liší. Myslel jsem, že se udělá jedno "DROP" pravidlo a to by odstřihávalo zbytečné požadavky.
0 x
1. established, related
2. povolení toho, co má fungovat
3. zákaz všeho.
a tak to vlastně máš ... V případě domácí/firemní sítě se oboje dělá jak na inputu (jako ochrana routeru), tak na forwardu (ochrana stanic). A ze strany LAN se většinou nezakazuje nic (ono si pohrát s tím, co je potřeba a co není je docela dřina), jen to přicházející z WAN je nutné považovat za škodlivé všechno.
Útoku nezabráníš tím, že to na firewallu blokneš. Ten paket prostě vždy přijde a bude napočítán. Jen neudělá další škodu.
2. povolení toho, co má fungovat
3. zákaz všeho.
a tak to vlastně máš ... V případě domácí/firemní sítě se oboje dělá jak na inputu (jako ochrana routeru), tak na forwardu (ochrana stanic). A ze strany LAN se většinou nezakazuje nic (ono si pohrát s tím, co je potřeba a co není je docela dřina), jen to přicházející z WAN je nutné považovat za škodlivé všechno.
Útoku nezabráníš tím, že to na firewallu blokneš. Ten paket prostě vždy přijde a bude napočítán. Jen neudělá další škodu.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Je nutné pochopit, co znamená conntrack a tedy stavový firewall. Pak to bude jasné. Povolení ESTABLISHED na začátku totiž znamená propuštění všech paketů, které přijdou v rámci již existující konexe. Takže pokud máš jen tohle a drop hned poté, tak jsou povolené jen konexe které byly vyvolány z routeru (jde-li o input). Nikdo tedy není schopen navázat spojení na ten router (nijak ... zbude ti jen RS232 konzole). Na forwardu to platí samozřejmě také. Proto tam musí být před dropem ACCEPT paketů přicházejících z LAN, aby se ta konexe vůbec byla schopná vytvořit.
Konexe není myšlena jako probíhající TCP spojení. Pak nejde do hlavy pochopení konexe UDP, ICMP atp. Konexe znamená záznam o provozu PROTOKOL:IP:PORT->IP:PORT (zjednodušeně píšu, porty všude nejsou). Čili ji vytvoří hned první paket. A končí buď nějakým timeoutem, není-li přes ní už provoz, nebo prakticky okamžitě, lze-li to poznat (např. u TCP protokolu).
Konexe není myšlena jako probíhající TCP spojení. Pak nejde do hlavy pochopení konexe UDP, ICMP atp. Konexe znamená záznam o provozu PROTOKOL:IP:PORT->IP:PORT (zjednodušeně píšu, porty všude nejsou). Čili ji vytvoří hned první paket. A končí buď nějakým timeoutem, není-li přes ní už provoz, nebo prakticky okamžitě, lze-li to poznat (např. u TCP protokolu).
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.