Искать где у вас в локальной сети стоит этот кинетик. Пока в свойствах DHCP-сервера на микротика укажите Autoritative=yes
СПС, счас сделаю, а так чтоб его куда-то задвинуть и заблокировать не получиться? просто у меня 3 24-х портовых коммутатора d-link DES-... в общем простые и 3 DGS-1100- 24, 26, 24P - эти коммутаторы с веб-интерфейсом и на них я поищу МАС адрес гаденыша. Ну а с остальными - по очереди буду порты дергать и сканировать ... - пропал или нет. Ес?
СПС, все сделал - посегментно сетку прошкурил и нашел - кто-то этот router d-link с поднятым DHCP как свич хотел использовать и еще спрятали его между стенкой и боковиной стола. Весело одним словом. Илья, просвети, плиз, можно ли на микротике, в порты которого подключены медики от кросов оптики, на противоположной стороне которой коммутаторы (программируемые d-link dgs-1100 ..) раздают интернет своим клиентам, сделать на каждом порту VLANы, чтобы если в какой-то подсети появится левый DHCP он не мог пипедронить всю сетку?
Можно. Или VLAN-ы с разными подсетями нарезать, или объединить порты в бридж и далее Bridge Filters или Use IP Firewall и блокировать DHCP на Forward, или если в микротике хороший Switch-chip (например серия CRS), то фильтровать на свитч-чипе.
я уже "дозреваю" по этой теме, счас еще немного поработаю над своей головой, посмотрю твои статьи (блин времени почти нет...) и тогда изложу свой план.
Есть правило, chain=input action=drop protocol=udp in-interface=RT dst-port=53 log=no log-prefix="" и вот такая неутешительная картинка... получается, что провайдер продолжает считать входящий мне трафик как этот трафик вообще остановить ?
Только обратившись к провайдеру. Ибо для того, чтобы вы могли заблокировать трафик, он все равно должен сначала до вас дойти.
Илья спасибо за ответ. А можно вообще закрыть порт 53, чтобы он был не доступен из интернета? я правильно понимаю, что если порт закрыт, то он ничего и не принимает?
Никто не мешает отправить пакет на закрытый порт. Да, он в итоге не вернется, но отправить его можно.
Илья добрый вечер ! только только купили микротик, взамен кошки. С настройкой сталкиваюсь второй раз, и вот сегодня зайдя на микрот обнаружил то, что описано в топике. Трафик был под 20 мегабит (весь наш канал). Убрал быстренько галочку в настройках DNS (allow remote запросы), трафик упал до полумегабита, причем локальная сеть ничего не генерит. стало легче. набросал фильтр, закрывающий 53 порт, похожий на парой топиков выше., из 1 строчки. Галку вернул, траффик держится около полумегабита, примерно 1300 пакетов в сек. Если убрать правило и не убирать галку - сразу под 20 мегабит забивает. Ну с этим можно пока выдохнуть. Но есть вопрос. Я как вы уже поняли довольно мало имел дело с роутер ОС, вот фильтр приходится вешать на интерфейс bridge_local1 вместо WAN1. При попытке повесить на WAN1 - ругается, что bridge_local1 это мастер интерфейс и вешать надо на него. Настраивал по мануалу, где где создается бридж 1 для объеденения wifi и проводных интерфесов. Было бы логичнее повесить на WAN1, т.е порт смотрящие непосредственно в коммутатор провайдера. В чем моя ошибка ? И почему то, фильтр фильтром, но на входящие и дропнутые пакеты по 53 порту генерится точно такое же кол-во пакетов. Это отсыл инфы пославшему о том что пакет не дошел? p.s микроты брали у вас, только что доехало на каком форуме нахожусь ) у Ильи Т...а сегодня привезли
У вас по умолчанию микротик настроен как WAN это первый порт, остальные LAN. На WAN висит дефолтный файрвол, который вполне неплохо блокирует доступ снаружи.
доброй ночи Илья ) на микроте родного фаера не осталось, все было удалено и настроено с мануала. ведь пользуясь дефолтными значениями вряд ли можно рассчитывать на дальнейшее свое развитие ) да, трафик идет конечно сначала через wan1, там физический линк. Но потом идет через бридж1. Нет ли возможности повесить правило фаервола именно на wan1 ? кстати, немного изменил правило, первое добавляет отправивших запросы в лист на час, второе - дропает, и тут второй вопрос - как я понимаю функцию дроп - это не совсем корректный разрыв соеденения, ничего не должно отсылаться, этакая помойка без обратной связи. Но пакеты все равно генерятся, и выглядет как ответ. Но я же дроп поставил а не реджект.
доброе утро, Илья. конфиг под спойлером. на скрине видно, сколько за ночь отбило трафика. (2-3 строки сверху в правилах) пакеты - количество и скорость - на инетфейсах WAN1 b bridge_local1 при нулевой активности лок.сети - странно. но как уже и говорил, вроде фильтр пашет, если убрать - то канал сразу забивает на всю толщину (20 мегабит) Спойлер /export # jan/19/2017 08:39:48 by RouterOS 6.37.3 # software id = UI44-3T6Y # /interface bridge add name=bridge1_local /interface ethernet set [ find default-name=ether1 ] name=LAN1-Master set [ find default-name=ether2 ] master-port=LAN1-Master name=LAN2-Slave set [ find default-name=ether3 ] master-port=LAN1-Master name=LAN3-Slave set [ find default-name=ether4 ] master-port=LAN1-Master name=LAN4-Slave set [ find default-name=ether5 ] master-port=LAN1-Master name=LAN5-Slave set [ find default-name=ether10 ] mac-address=20:AA:4B:81:75:80 name=WAN1 poe-out=off set [ find default-name=sfp1 ] disabled=yes /interface wireless set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=2ghz-g/n channel-width=20/40mhz-Ce comment=\ "xxx, xxx" disabled=no distance=indoors frequency=auto guard-interval=long mode=ap-bridge ssid=xxx \ wireless-protocol=802.11 wps-mode=disabled add comment="xxxx" keepalive-frames=disabled mac-address=6E:3B:6B:F2:BB:A7 master-interface=wlan1 mode=ap-bridge \ multicast-buffering=disabled name=wlan2 ssid=Nokia7100 wds-cost-range=0 wds-default-cost=0 wps-mode=disabled /interface wireless manual-tx-power-table set wlan1 comment="xxx, xxx" set wlan2 comment="xxxxxx" /ip neighbor discovery set wlan1 comment="xxx, xxx" set wlan2 comment="xxxxxx" /interface wireless nstreme set wlan1 comment="xxx, xxx" set wlan2 comment="xxxxxx" /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys wpa2-pre-shared-key=zzzzzzz /ip pool add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.254 /ip dhcp-server add address-pool=dhcp_pool1 disabled=no interface=bridge1_local lease-time=1h40m name=dhcp1 /system logging action set 3 remote=192.168.0.143 src-address=192.168.0.144 add name=proxylog2 remote=192.168.0.143 src-address=192.168.0.144 target=remote /interface bridge port add bridge=bridge1_local interface=LAN2-Slave add bridge=bridge1_local interface=LAN3-Slave add bridge=bridge1_local interface=LAN4-Slave add bridge=bridge1_local interface=LAN5-Slave add bridge=bridge1_local interface=ether6 add bridge=bridge1_local interface=ether7 add bridge=bridge1_local interface=ether8 add bridge=bridge1_local interface=ether9 add bridge=bridge1_local interface=WAN1 add bridge=bridge1_local interface=sfp1 add bridge=bridge1_local interface=LAN1-Master add bridge=bridge1_local add bridge=bridge1_local interface=wlan1 /interface wireless cap # stopped because not all interfaces available set bridge=bridge1_local discovery-interfaces=LAN1-Master enabled=yes interfaces=*C /ip address add address=192.168.1.1/24 interface=bridge1_local network=192.168.1.0 add address=1.1.1.2/30 interface=WAN1 network=1.1.1.2 /ip dhcp-server network add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.1 /ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4 /ip firewall filter add chain=input dst-port=8291 protocol=tcp add action=add-src-to-address-list address-list=53_FLOOD address-list-timeout=30m chain=input dst-port=53 in-interface=bridge1_local \ log-prefix=53_DROPP protocol=udp add action=drop chain=input log-prefix=53_BLOCK src-address-list=53_FLOOD add action=drop chain=input comment="drop invalid connections" connection-state=invalid add action=accept chain=input comment="allow related connections" connection-state=related add action=accept chain=input comment="allow established connections" connection-state=established add action=accept chain=input comment="allow remote ssh" dst-port=22 in-interface=bridge1_local protocol=tcp add action=accept chain=input in-interface=bridge1_local src-address=192.168.1.0/24 add action=accept chain=output comment="accept everything to internet" out-interface=bridge1_local add action=accept chain=output comment="accept everything to non internet" out-interface=bridge1_local add action=accept chain=output comment="accept everything" add action=drop chain=forward comment="drop invalid connections" connection-state=invalid add action=accept chain=forward comment="allow already established connections" connection-state=established add action=accept chain=forward comment="allow related connections" connection-state=related add action=drop chain=forward src-address=0.0.0.0/8 add action=drop chain=forward dst-address=0.0.0.0/8 add action=drop chain=forward src-address=127.0.0.0/8 add action=drop chain=forward dst-address=127.0.0.0/8 add action=drop chain=forward src-address=224.0.0.0/3 add action=drop chain=forward dst-address=224.0.0.0/3 add action=jump chain=forward jump-target=tcp protocol=tcp add action=jump chain=forward jump-target=udp protocol=udp add action=jump chain=forward jump-target=icmp protocol=icmp add action=drop chain=tcp comment="deny TFTP" dst-port=69 protocol=tcp add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 protocol=tcp add action=drop chain=tcp comment="deny RPC portmapper" dst-port=135 protocol=tcp add action=drop chain=tcp comment="deny NBT" dst-port=137-139 protocol=tcp add action=drop chain=tcp comment="deny cifs" dst-port=445 protocol=tcp add action=drop chain=tcp comment="deny NFS" dst-port=2049 protocol=tcp add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 protocol=tcp add action=drop chain=tcp comment="deny NetBus" dst-port=20034 protocol=tcp add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 protocol=tcp add action=drop chain=tcp comment="deny DHCP" dst-port=67-68 protocol=tcp add action=drop chain=udp comment="deny TFTP" dst-port=69 protocol=udp add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 protocol=udp add action=drop chain=udp comment="deny PRC portmapper" dst-port=135 protocol=udp add action=drop chain=udp comment="deny NBT" dst-port=137-139 protocol=udp add action=drop chain=udp comment="deny NFS" dst-port=2049 protocol=udp add action=drop chain=udp comment="deny BackOriffice" dst-port=3133 protocol=udp add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp add chain=input connection-state=established,related add chain=input protocol=icmp add action=drop chain=input in-interface=bridge1_local add action=drop chain=forward connection-state=invalid /ip firewall nat add action=masquerade chain=srcnat comment="xxx" out-interface=\ bridge1_local add action=dst-nat chain=dstnat comment="xxx" dst-port=5918 protocol=tcp \ src-address=3.3.3.3 to-addresses=192.168.1.107 to-ports=5900 add action=dst-nat chain=dstnat comment="xxx" dst-port=5918 protocol=tcp \ src-address=3.3.3.3 to-addresses=192.168.1.107 to-ports=5900 add action=redirect chain=dstnat comment="FOR WEB-PROXY; DISABLED" disabled=yes dst-port=80 in-interface=bridge1_local protocol=tcp \ to-ports=8080 add action=dst-nat chain=dstnat comment="1.104 - \D0\E8\F2\E0" dst-port=5919 protocol=tcp to-addresses=192.168.1.104 to-ports=5900 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set h323 disabled=yes set sip disabled=yes set udplite disabled=yes set dccp disabled=yes set sctp disabled=yes /ip route add distance=1 gateway=1.1.1.2 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /ip traffic-flow set enabled=yes /ip traffic-flow target add dst-address=192.168.0.143 port=9999 /lcd set time-interval=hour /system clock set time-zone-name=Europe/Moscow /system logging add action=proxylog2 topics=web-proxy /system routerboard settings set protected-routerboot=disabled /tool mac-server set [ find default=yes ] disabled=yes /tool sniffer set only-headers=yes streaming-server=192.168.0.143 [dima812@MikroTik] >
