NAS stále vytěžuje síť

[Dominiktoreto]

Prosím najde se někdo kdo mi dokáže poradit,mám v domácí síti NAS Synology a router od MT.Poslední týden mi NAS posílá něco ven ze sítě a tím mi padne celé internetové připojení.Snažil jsem se vypátrat co to může být,na nic jsem ale nepřišel.
Dokonce jsem se i pokusil zakázat IP adresu NASu a tok tam stále byl a dle firewall connections to posila na port 53.Pomůže až NAS vypnout,pak spadne zatížení MT a funguje internet.
Na MT mám port 22,23,53 nastaven na drop

[pgb]

super, postni sem fw pravidla, třeba ti řekneme že 53 máš droplé na inputu a ne na forwardu (to vypadá jako kdyby ti někdo zneužíval na k dns amplification útoku)

[Defender]

na tomhle portu DNS bych rekl ze to temer urcite bude zneuzity

[Dominiktoreto]

Tak nastavení pro firewall mám nastaveno:

add action=accept chain=forward comment="default configuration" in-interface=ether1-gateway \
protocol=icmp
add action=accept chain=forward comment="Accept established,related" connection-state=\
established,related in-interface=ether1-gateway
add action=accept chain=input comment="Accept established,related" connection-state=\
established,related in-interface=ether1-gateway
add action=accept chain=input comment=Winbox dst-port=8291 in-interface=ether1-gateway \
protocol=tcp
add action=fasttrack-connection chain=forward comment=" fasttrack" connection-state=\
established,related
add action=drop chain=forward comment="Drop Invalid" connection-state=invalid in-interface=\
ether1-gateway
add action=drop chain=input comment="Drop Invalid" connection-state=invalid in-interface=\
ether1-gateway
add action=drop chain=input comment="drop all from WAN" in-interface=ether1-gateway
add action=drop chain=forward comment="Drop all from WAN not DSTNATed" connection-nat-state=\
!dstnat connection-state=new in-interface=ether1-gateway
add action=drop chain=input comment="Block TCP port 53" dst-port=53 \
in-interface=ether1-gateway protocol=tcp
add action=drop chain=input comment="Block TCP port 22" dst-port=22 \
in-interface=ether1-gateway protocol=tcp
add action=drop chain=input comment="Block UDP port 22" dst-port=22 \
in-interface=ether1-gateway protocol=udp
add action=drop chain=input comment="Block UDP port 23" dst-port=23 \
in-interface=ether1-gateway protocol=udp
add action=drop chain=input comment="Block TCP port 23" dst-port=23 \
in-interface=ether1-gateway protocol=tcp
add action=drop chain=input comment="Block UDP port 53" dst-port=53 \
in-interface=ether1-gateway protocol=udp

[ludvik]

Jestli máš DNAT na ten NAS, tak kdokoliv z internetu může cokoliv ... včetně přístupu na jeho DNS, která na něm zjevně běží.

Kdo ti tohle napsal? Přečti si těch asi threadů zde o tvorbě firewallů. Už jenom to, že to máš pro oko špatně poskládaný do toho vnáší možné chyby ...

[Dominiktoreto]

Ano mám tam nasměrovány porty jako WEB,DSM,VPN.
Krom těch portů co jsem blokoval sám je to výchozí nastavení tak jak byl router zakoupený.
Nejsem žádný profik takže jsem to neřešil

[ludvik]

Mám takový pocit, že jsem to psal někomu včera:

Input, output a forward jsou tři bloky (chain), co na sobě nejsou závislé. Paket, který se objeví na inputu, ten na routeru končí. Nikdy se neobjeví i na forward. Atp.
Každý paket je porovnáván v těch blocích odshora dolů, dokud nějaké pravidlo paket nezablokuje, nebo nepovolí.

Input tedy chrání ten router samotný. Forward sítě okolo něho. Output většinou nikoho nezajímá.

Čili si rozvrhni firewall na dvě části (input, forward), kvůli čitelnosti. A v obou blocích dodržuj pořadí, kdy co nejpřesněji povolíš služby a na konci použiješ drop na všechno.

1. accept established, related. Bez omezení.
2. Povolení všeho z LAN interface

3. Z Wan už musíš rozlišovat. Na inputu nemusí být obecně nic, dobré je povolit icmp. Na forwardu přesně to, co na vnitřních strojích vystavíš do internetu (v kombinaci s dnat). Zde si pomáháš vstupním interfacem.
4. Drop v obou blocích.

Pro jistotu je dobré upravit i nastavení ip/services. Zakázat telnet, zbytek povolit jen těm co to mohou používat - pro jednoduchost celá LAN.

---
Další rady:
Pokud bude ten divný provoz z NAS stále pokračovat, bude pravděpodobné, že máš na něm už nějaký malware nainstalovaný ... můj názor. Ale pro všechny případy lze takovým zařízením zakázat komplet přístup na internet. Nepotřebují ho, většinou. Nejjednodušší řešení je vytvořit si address-list s názvem třeba "bezInternetu", tam ty IP napsat - a do bodu 2 vepsat výjimku "src-address-list=!bezInternetu".

V případě opravdu hodně otravného provozu je dobré využít tabulku RAW ve firewallu a seknout to tam. Bude to stát méně prostředků routeru.

Každé pravidlo má u sebe counter, počítadlo. To je první ukazatel, že to něco dělá.

[Dominiktoreto]

add action=drop chain=input in-interface=ether1-gateway src-address-list="NAS-BEZ Internetu"

Teď jsi nejsem jist za dobře chápu ten bod 2

[ludvik]

action=accept chain=input in-interface=LAN

action=accept chain=forward in-interface=LAN

[Dominiktoreto]

A nebude mi to vše směrovat do vnitřní sítě?
Já tam spíš ten provoz potřebuji zakázat...

[iTomB]

A nebude mi to vše směrovat do vnitřní sítě?
Já tam spíš ten provoz potřebuji zakázat...

RTFM
https://www.root.cz/clanky/stavime-firewall-1/

mas tam 3 cele clanky

[ludvik]

První paket každého spojení, který přijde je ve stavu NEW.
Čili první pravidlo established, related není pravdou a porovnávání pokračuje dál.
Je-li ten paket ze strany LAN (in-interface), je povolen (accept). Porovnávání končí, paket jde dál (do aplikace, třeba winbox v případě inputu, nebo ven v případě forwardu).
Tedy není-li paket příchozí z LAN, je zablokován tím posledním pravidlem.

Všechny ostatní pakety TOHOTO SPOJENÍ jsou již buď established (navázané) nebo related. Jsou tedy povoleny hned tím prvním pravidlem. To se týká i paketů co jdou obráceně. Proto se tomu říká stavový firewall, ví o stavu spojení a je schopen rozpoznat kam ten který paket patří.

Pokud je takto jednoduše nastaven INPUT, je router (jeho služby) dostupný ze VŠECH strojů na LAN straně a z ŽÁDNÉHO ze strany internetu.

Forward je vlastně to samé, jenom tam dáváme výjimky, které nám určují, které stroje v LAN budou přístupné z WAN (čili testujeme hodnotu in-interface). Nedáme-li žádnou výjimku, firewall povolí strojům na LAN vyvolat jakékoliv spojení ven do internetu, ale nepovolí ŽÁDNÉ které vznikne na internetu a bude se snažit dostat do LAN.

[Dominiktoreto]

Tak firewall jsem nastavil dle instrukcí a už jsem si myslel že je to v pořádku.Včera jsem byl nucen na NASu zapnout QuickConnect a dnes opět stejný problém,MT vytížený na 98%.Po restartu NASu opět v pořádku zatížení do 5%.
Napadá tedy někoho jak to vyřešit? samozřejmě krom vypnutí této služby?

[ludvik]

Pokud služba generuje takový provoz, že to zahltí router ... tak jaksi nevidím jiný způsob, než ji nepoužívat.

Shoď tomu NAS port na 10 Mbit, třeba to pak už routeru tolik vadit nebude. Tobě to vadit sice bude, ale budeš mít možná možnost to analyzovat.

[K3NY]

utok na portu poznas vetsinou tak ze k tobe prichazi spousta paketu s minimalni velikosti a odchazi sposta s maximalni velikosti, typicky pripad je UDP port 53 (DNS). Pokud si pridal do FW pravidlo na drop komunikace na tomto portu a data behaji dal je potreba smazat connection tracking, nasledne by mel datovy tok opadnout. Pokud ne, mas to pravidlo napsane ve FW spatne. A otazka nakonec, dela to urcite ten NAS? MK to muze delat taky, je potreba se podivat kam az to cili. Vzhledem k tomu ze nemas na MK DST-NAT port 53 smer NAS, hledal bych chybu v nastaveni MK. Zkus do MK zadat prikaz: ip dns set allow-remote-requests=no;