DNS флуд снаружи

Тема в разделе "Вопросы начинающих", создана пользователем ea100, 23 июл 2015.

  1. Илья Князев

    Илья Князев Администратор Команда форума

    Пакеты прошли. Вы получили ответ от Web-сервиса с 192.168.1.19. Далее копайте настройки 192.168.1.19
     
  2. vovix

    vovix Новый участник

    А внутри локальной сети, я захожу!
     
  3. Илья Князев

    Илья Князев Администратор Команда форума

    Вам же английским по белому написали что серверу не нравится адрес с которого произошло обращение.
     
    vovix и Денис Друженков нравится это.
  4. vovix

    vovix Новый участник

    Илья добрый вечер, спасибо за помощь в предыдущем вопросе, всё разобрался!
    Хотел бы спросить, я сделал переброс портов на регистратор, но хотелось бы чтобы могли заходить на это устройство (регистратор) клиенты только с определённых MAC адресов, подскажите, как это можно реализовать? Заранее спасибо!
     
  5. Илья Князев

    Илья Князев Администратор Команда форума

    MAC только внутри одного сегмента передается
     
  6. vovix

    vovix Новый участник

    Понял Илья свою ошибку, это бы сработало если бы клиенты подключались VPN клиентом к Mikrotik ?, а так только на конечном устройстве (видеорегистратор) можно реализовать доступ с помощью организации прав доступа!
     
  7. Илья Князев

    Илья Князев Администратор Команда форума

    Нет. В VPN обычно (если это не EoIP или VPLS) mac-и не передаются. Ибо L3.
     
  8. vovix

    vovix Новый участник

    Понял Илья СПАСИБО! Буду настраивать права доступа видеорегистратора! Не запретишь же по IP на мобильных он постоянно меняется!
     
  9. Илья Князев

    Илья Князев Администратор Команда форума

    Или покупать фиксированные IP на мобильные
    Или настраивать VPN с мобильных
    Или пробовать крутить Port Knocking.
     
  10. InfSub

    InfSub Новый участник

    Что-то после обновления прошивки до последней, у меня микротик стал "гадить" со своего внешнего ip на dns сервера прописанные в ip dns (на 8.8.8.8 и 4.2.2.2), просто поток какой-то обращений к dns
    кто подскажет, это баг прошивки или я чего-то не вижу? других подключений, в том числе запросов dns на микротик из вне - не вижу
     
  11. InfSub

    InfSub Новый участник

    кажется, нашел "троянского коня", все оказалось завязано на правиле или Address List'e взятым вот от сюда, при том правило вроде отключал - не помогало, только когда полностью удалил и правило и Address List - только после это роутер стал себя вести - так как должно...
    Если не сложно, объясните в чем косяк? В длине адрес-листа или в условии, прописанном в правило?
     
  12. Илья Князев

    Илья Князев Администратор Команда форума

    При добавлении в адрес-лист строки с доменным именем, RouterOS выполняет DNS-запрос и заносит ответ DNS-а в адрес-лист на время TTL данной А-записи. Если TTL маленький - запросы будут исполняться часто.
     
  13. InfSub

    InfSub Новый участник

    Илья Князев, спасибо
     
  14. Beast

    Beast Новый участник

    Здравствуйте, Илья. Я тоже столкнулся с проблемой dns-флуда. Не могли бы помочь разобраться?
    Использую модель 750Gr3 с последней прошивкой 6.41.2. Вот текущий список правил, которые у меня настроены:
    Код:
    /ip firewall filter
    add action=accept chain=input protocol=icmp
    add action=accept chain=forward protocol=icmp
    add action=accept chain=input connection-state=established log-prefix=acc_inp
    add action=accept chain=forward connection-state=established log-prefix=\
        acc_frwd
    add action=accept chain=input connection-state=related
    add action=accept chain=forward connection-state=related
    add action=accept chain=input in-interface=ether1 src-address=10.10.200.0/24
    add action=accept chain=input in-interface=ether1
    add action=accept chain=forward in-interface=ether1 out-interface=ether1
    add action=accept chain=input port=1701,500,4500 protocol=udp
    add action=accept chain=input protocol=ipsec-esp
    add action=accept chain=forward comment="allow vpn to lan" in-interface=!ether1 \
        out-interface=bridge1 src-address=10.10.200.0/24
    add chain=input comment="Allow DNS from LAN" dst-port=53 in-interface=!ether1 \
        protocol=udp
    add chain=input comment="Allow DNS request" in-interface=ether1 protocol=udp \
        src-address=8.8.8.8 src-port=53
    add chain=input comment="Allow DNS request" in-interface=ether1 protocol=udp \
        src-address=109.236.64.134 src-port=53
    add action=drop chain=input connection-state=invalid
    add action=drop chain=forward connection-state=invalid
    add action=drop chain=input in-interface=ether1
    add action=drop chain=input dst-port=53 in-interface=ether1 protocol=tcp
    add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp

    К сожалению, правила не помогают. Как только включаю опцию allow remote requests, начинает забиваться канал и грузить процессор.
     
  15. InfSub

    InfSub Новый участник

    зачем правило с адресом 10.10.200.0/24 если вы следующим же правилом разрешаете всем подключаться к вашему роутеру? (кстати о вопросе про dns-флуд =)

    что вы пытаетесь добиться этим правилом? сделать из микротика прокси?

    да вы батенька знаете толк в извращениях, сначала прибить все а потом еще подключения на 53 порт для tcp и для udp, а то вдруг выжили... но больше всего эти правила радуют после первого, разрешающего все... т.е. до них просто дело не дойдет, никогда
     
  16. Beast

    Beast Новый участник

    Мда, ну и тупанул я ) только после того как запостил свои правила, понял какую дичь там написал. Как же стыдно. Спасибо за помощь, Infsub.
     
  17. RAIN-182

    RAIN-182 Новый участник

    Здравствуйте , помогите пожалуйста , мои знания в настройки Mikrotik почти нулевые .
    Уже несколько недель поступает dns flood с внешнего порта 53 , ни какие правила не помогают я уже отчаялся .
    На фото видно мои правила + ip:port атакующего , канал в 100 метров забит .
    Если есть хоть какие то мысли буду век Вам обязан .
    Allow remote requests выключен .
    Модель MikroTik hex S
     

    Вложения:

    • 123.jpg
      123.jpg
      Размер файла:
      504,4 КБ
      Просмотров:
      4
    • 1234.jpg
      1234.jpg
      Размер файла:
      301,8 КБ
      Просмотров:
      4
  18. Илья Князев

    Илья Князев Администратор Команда форума

    Дайте вывод:
    /ip/firewall/filter/export
    /ip/firewall/nat/export
    /ip/dns/export
     
  19. RAIN-182

    RAIN-182 Новый участник

    /ip/firewall/filter/export
     

    Вложения:

    • filter.txt
      Размер файла:
      1.013 байт
      Просмотров:
      2
  20. RAIN-182

    RAIN-182 Новый участник

    /ip/firewall/nat/export
     

    Вложения:

    • nat.txt
      Размер файла:
      3,2 КБ
      Просмотров:
      2