Zamezení odesílání packetů virů

[Argos]

Ahoj,
s RouterOS (taktéž s mikrotikem) jsem začátečník, prozatím jsem se pohyboval pouze v routerech jako je asus nebo wrt nebo třeba ten ošklivý ovislink. Nicméně stále větší průtok dat s viry směrem ze sítě (a následné vypínání internetu od poskytovatele) mě donutil udělat firewall na asusu, který blokuje všechny porty které nesouvisí přímo s internetem - staticky, což se samozřejmě nelíbí uživatelům.
Dozvěděl jsem se tedy, že viry se dají poznat například podle toho, že po nějakém portu odchází mnoho (třeba 100x víc než je obvyklé? nebo kolik je mnoho?) malých paketů. Pro zamezení takovýchto paketů jsem pořídil Mikrotik, po doporučení, že s ním by to mělo jít vyřešit.

Tedy otázka(možná až dost všeobjímající. ale opravdu netuším jak to blíže specifikovat):
Jak mohu blokovat pakety na libovolném portu po tom, co jich uživatel odešle enormě velké množství za malou časovou jednotku?

Diky za jakékoliv návrhy (čím podrobněji rozepsané tím lépe - tuším že existuje nějaký mangle na označení packetů, stejně jako se v iptables takto označené pakety dají dále spravovat ale jak se to dělá v praxi je mi záhadou - hlavně ten mangle)
Nebo je jiná možnost jak řešit tento problém? Děkuji Martin

[Krabík]

Jedine, co ja kontroluji, je rozesilani spamu. Predejdes tim tomu, ze spadnes na nejaky blacklist spamhausu, spamcopu atd... Jakou mas verzi MT? 2.9.xx nebo 3.xx?

[Argos]

Je to 3.0rc10 - jinak RB333 ale to je myslím v téhle chvíli nepodstatné...
aha, takže jenom smtp - dík - to vím jak omezit pomocí iptables, nicméně pokud by někdo věděl jak docílit toho co jsem psal v předchozím příspěvku, sem s tím. omezování pouze smtp a některých portů si nechávám až selžou všechny pokusy.

Každý další návrh vítám a děkuji za něj .

[jirk]

http://wiki.mikrotik.com/wiki/Protecting_your_customers

[reset]

http://wiki.mikrotik.com/wiki/Protecting_your_customers

zajimave reseni

[reset]

ale

Kód: Vybrat vše

add chain=forward action=accept protocol=tcp dst-port=80 comment="Allow HTTP"
add chain=forward action=accept protocol=tcp dst-port=25 comment="Allow SMTP"
add chain=forward protocol=tcp comment="allow TCP"
add chain=forward protocol=icmp comment="allow ping"
add chain=forward protocol=udp comment="allow udp"
add chain=forward action=drop comment="drop everything else"

neni uplne idealni, povolenych protokolu je potreba mit vice, jako napriklad tunely atd.
Na siti typy protokolu filtruji taky.

[michal.siman]

ale

Kód: Vybrat vše

add chain=forward action=accept protocol=tcp dst-port=80 comment="Allow HTTP"
add chain=forward action=accept protocol=tcp dst-port=25 comment="Allow SMTP"
add chain=forward protocol=tcp comment="allow TCP"
add chain=forward protocol=icmp comment="allow ping"
add chain=forward protocol=udp comment="allow udp"
add chain=forward action=drop comment="drop everything else"

neni uplne idealni, povolenych protokolu je potreba mit vice, jako napriklad tunely atd.
Na siti typy protokolu filtruji taky.

vsak taky pisou:

We can now simply add rules allowing the traffic that we want and then drop everything else

NOTE THAT THE LAST RULE WILL BLOCK OR DROP ALL TRAFFIC THAT IS NOT EXPLICITLY ALLOWED THROUGH BY PREVIOUS RULES!

[Argos]

Dík za všechny návrhy, nicméně zmíněný odkaz mi vytvoří statický firewall s politikou denny ne? - tedy například hry které jdou po více portech a tyto porty nebudou zrovna povoleny (u některých her třeba 100 portů - to se mi nechce povolovat všechno po jednom... ) prostě nepůjdou a dostanu se tam kde jsem teď(uživatelům se to nebude líbit že mají pouze základní služby) ne?
Dík za odpověd

[reset]

Dík za všechny návrhy, nicméně zmíněný odkaz mi vytvoří statický firewall s politikou denny ne? - tedy například hry které jdou po více portech a tyto porty nebudou zrovna povoleny (u některých her třeba 100 portů - to se mi nechce povolovat všechno po jednom... ) prostě nepůjdou a dostanu se tam kde jsem teď(uživatelům se to nebude líbit že mají pouze základní služby) ne?
Dík za odpověd

za blokaci portu dostanes od useru spise peknyho jebaka, kazdej te bude buzerovat, ze mu neco nefunguje .
Defaultne nech "vsechno" povoleno

[mikro]

Zdravím, koukám, že už je tohle téma delší dobu mrtvé, ale doufám, že se někdo chytne.
Cca před 3 dny sem si tady podle jednoho demo MK (zřejmě nastaveného podle tohoto návodu = http://wiki.mikrotik.com/wiki/Protecting_your_customers) nastavil kontrolu komunikace na konkrétní porty jako očistu před červíky.

1) A chtěl bych se zeptat jestli má někdo podobné statistiky jako já?
2) Zajímalo by mě jak se dá zjistit, jestli je to všechno snaha o připojení z venku nebo odchozí ze vnitř sítě.

Statistika komunikace na červoidních portech, co jsem tak koukal na to demo MK, tak je plus mínus stejná až na porty MyDoom.

[zuki]

dej si misto drop log a nejakej prefix a pak koukni do logu mikrotiku a hned budes vedet.