Vela nezmyselných spojeni pri UDP:5060

[zvukarmiso]

Ahojte mam nasledovný problem:
Poslednom case si vsimam ze mi stupa packetloss (ale to len v case 19:00-21:00), Patram ako patram a nejak sa neviem dopatrat preco.
Sedim za tym tyzden a stale sa mi to nezda. vid obrazok

Moja adresa ktora ide do netu je x.x.x.193
z nejakeho dovodu sa mi na porte 5060 vela spojeni na moje verejne adresy ktore nepouzivam. Vid. obrazku, to je len cast, Ako zistujem tak nie je to len tym portom 5060 ale aj ine. V com by mohol byt problem, ved tieto IP ani neexistuju. z venku sa nedaju opingat ani z nutra siete. (Verejna IP z kadial to ide je jedneho provaidera co poskytuje IPtelefoniu, netusim kto to na sieti pouziva.)
Ako by som vedel tento bordel vycistit ? Staci ak mi to pojde len na tu jednu adresu s ktorou idem von
ako tomu zabranit ?
skuksil som spravit vo firewalle pravidlo:

Kód: Vybrat vše

add action=drop chain=forward dst-address=x.x.x.200/29 dst-port=5060 protocol=udp


Ale nejak to nepomaha. max pribudnu 3-4 packety za hod ale tie spojenia tam su.
Skuste ma nejak nakopnut ako by sa to dalo, popripade co je rozumne spravit aby som tomuto zabranil.

Ďakujem

[ludvik]

Spojení je informace z conntrack tabulky linuxu (resp jeho netfilter). A je tam od prvního paketu, co se objeví v routeru. Žádným firewallem se toho nezbavíš (musel bys na něčem "před"). A to spojení je tam do té doby, než vyprší timeout - lze nastavit, otázkou je, zda je to úplně vhodné zmenšit. Pro TCP máš možnost REJECT společně s TCP-RESET, což by mohlo pomoci, ale pro UDP ne.

Pokud to jde z venku, ty se toho prostě nezbavíš. Nemáš jak.

[zvukarmiso]

No len ako zistujem tak UDP len s tymto problem je cca 5-9 tis. Co sa mi vidi neskutocne vela.
Vnoci som na to cumel a dosahoval som cisla UDP na IP ktoré nebezia okolo 4 tis. Spičkach to musi byt aspon 2 nasobne viac.

Co by bolo vhodne spravit ? Nejaky firewall pred to ?

[krtko]

scanner na sip servre.

[ludvik]

Jo ... ale ten samý problém budeš mít na tom firewallu. Leda nějaký L3 switch a seknout to v hardwarovém ACL. Otázkou je, proč. Stejně ty pakety k tobě přijdou. Způsobuje to nějaké problémy jiné, než že toho vidíš prostě moc? Mohla by tě toho zbavit akce NOTRACK v RAW tabulce.

Co by bolo vhodne spravit ? Nejaky firewall pred to ?

[zvukarmiso]

Osobne mam pocit ze mi to sposobuje problem s packetloss

Všimni si grafy

Vysvetlim ako je to zapojene

ISP (graf stredny) =====Switch 1000M ====== R1 x.x.x.193 (graf prvy) tu mam cca 100 zakaznikov
|=========== R2 x.x.y.x (graf spodny) tu cca 30

Vymenil som switch som si myslel ze to bude v tom, nie je to v tom. Vymenil som roter R1 ani tak nepomohlo, prehadzovali sme porty

Skusal som vselico mozne ci tam bolo cisco, alebo mikrotik, uz sa pohravam s nejakym linuxom ale fakt neviem preco

na tom R2 v spicke cca do 1500 spojeni na R1 to ide do 10-12 tis comu nechapem preco

[ludvik]

Tím to asi nebude. 12 tisíc záznamů v conntracku není nic extra. A i ty tvoje pakety - timeout máš víc jak 20 minut (nějak moc ... udp timeouty na mikrotiku jsou 10 vteřin, případně generic s 10 minutami). Tedy pokud máš 12 tisíc záznamů tohodle, tak to jsou dva pakety za vteřinu.

[zvukarmiso]

To su len UDP.
TCP som neratal.
V čom by mohol byt problém ?
Nejak mi to nedava zmysel. Bol som presvedceny ze toto by mohol byt moj problem.

este ma napada
mam nat spraveny takto

Kód: Vybrat vše

add action=src-nat chain=srcnat out-interface="ether1 - internet" src-address-list=net to-addresses=x.x.x.193
address list
add address=192.168.0.0/16 list=net


nebolo by radsej spravit namiesto src-nat -> masquerade ???

Alebo mate niekto iny napad v com by to mohlo byt ?

[ludvik]

Ti to bylo řečeno ... někdo hledá SIP servery.

maškaráda je speciální varianta SRC-NAT, kdy si bere IP adresu z rozhraní a ne z definice. Použití je tedy vhodné pro dynamické připojení, třeba tunely či vytáčená připojení. Pokud je adresa pevná, není k maškarádě žádný důvod.

Definici srcnat máš teoreticky správně. Prakticky špatně - potřebuješ zajistit, aby od tebe nešly žádné privátní adresy. Omezení na src-address je většinou zbytečně restriktivní. Ale může taková situace nastat - pokud budeš mít těch natů víc. Ale i tak je vhodné končit jedním obecným pravidlem. Nebo alespoň jinde zajistit, aby adresy bez natu neprošly. To ovšem asi není tvůj případ.

[zvukarmiso]

Tie sip servery som pochopil

Len problem je nasledovny jedna mensia firmicka od tej firmy vyuciva IPTelefóniu. Takze tu IP neviem zablokovat.
Dalsi problem co si vsimam je vela spojeni na verejne adresy ktore nepingam, napr x.x.x.200/29 tento segment nevyuzivam ale pri tom sa tam tvoria spojenia. To sa mi nedari blokovat.

Ako narastaju spojenia vo vecernych hodinach tcp aj udp tak zacina vznikat packet loss. (bohuzial doteraz som neprisiel vim to je)

Co sa tyka src-nat tak asi mas na mysli ze mi tam chybalo toto

Kód: Vybrat vše

add action=src-nat chain=srcnat src-address=192.168.0.0/16 to-addresses=x.x.x.193


Nat mam len jeden. Ale celkovo tomu uz prestavam chapat preco sa to deje.