Всем привет в самом верху два правила. Как я думаю первое запрещает все входящее кроме udp=53,123 С консоли делаю ping ya.ru и после этого второе правило работает. И не только это, и multicast и TCP тоже пропускает, может еще чего пролетит. Как я думал, что правило выше не должно разрешать ничего кроме указанных udp портов. Подскажите что не так.
https://habr.com/post/51574/ https://habr.com/post/209438/ Это видимо заготовка для использования в роли клиента для желающих использовать Ваш микротик в роли участника атакующего ботнета ... chain=input action=drop protocol=udp in-interface=WAN src-port=!53,123 log=no log-prefix="" я не уверен что Вы именно для этого решили настраивать роутер Почитайте на тему Dns Amplification Attac DDOS и NTP amplification attack
С указанной темой очень хорошо знаком. Но у меня нет DNS сервера ! Вопрос был немного другого характера. Я в качестве эксперемента поставил это запрещающее правило - запрет кроме udp !53,123. В конце INPUT у меня стоит правило А так же И почему это правило пропускает TCP и некоторый другой трафик, который должен быть якобы запрещен? Например, для прохождения нужно сначала разрешить ICMP, тоесть поставить разрешающее правило выше. Выше у меня стоит запрет, а icmp пакеты проходят.
Правило в цепочке Input фильтрует трафик направленный самому маршрутизатору (Микротику) а у него есть DNS сервер (/ip DNS) который может откликаться на запросы извне (зависит о настроек) .... и вот ваш микротик начинает DNS атаку на жертву... 3 дня назад наблюдал у одного из жертв микротик с настройками от "Шпециалистов" + взлома через бот-нет в комплекте DNS атака оставила ему из 100 мегабит - всего 2-3 мегабита и очень мешала жить ... но он не знал в чем причина ... пока не запросил помощи ... Потом выяснилось что кроме атаки DNS за ним с помощю его-же роутера следили за всеми паролями, JSON блоками в пакетах, Bitcoin и Etherium в проходящих пакетах ... и все это в комплекте с последней на сейчас версией RoS (Судя по всему его взломали, когда стало плохо он обновил прошивку, а проблема этим не решается - это все равно что есть витамин С при гангрене ... совершить действие можно но делу оно не поможет) Поэтому лучше не открывать того что не нужно если не знаешь для чего это делается Поставив разрешение в Input на трафик UDP123 и UDP 53 вы заставите перерабатывать эти пакеты соответствующим разделам вашего микротика и нет гарантий что там не найдут очередной уязвимости ... у вас документального подтверждения об этом в комплекте с Микротиком небыло ? (у меня небыло) Исполнив инструкцию фильтра разрешающую обработку трафика вы сколь угодно ниже можете экспериментировать с правилами - пакеты уже будут пропущены первой доступной инструкцией и о том что дальше вообще что-то было они не узнают Поищите набор правил которым комплектуется микротик по умолчанию и выясните для чего каждое из них нужно и почему эти правила производитель в именно том порядке разместил ... это избавит от массы иллюзий и вопросов Обратите внимание что не только наличие правил но и порядок следования важен для правильного результата работы
чтоб ответить на вопрос ПОЧЕМУ нужно видеть конфигурацию все правила и их последовательность а так можно гадать сколько угодно .... и кроме того - схема что откуда проверяется и где и какими методами ловится и обнаруживается ... слишком широк разброс вариантов чтоб в слепую гадать Что пингуется (извне - внешний адрес микротика или компьютер внутри сети с микротика, то что внутри комп или принтер, включен ли антивирус/фаервол антивируса/ фаервол встроенный в систему), откуда пингуется ( с компьютера, с другого микротика, изнутри сети ???) - отсюда и результаты ответов будут разными обрисуйте четко и внятно окружение и схему подключения + конфигурацию микротика, тогда и что-то близкое к реальности на вопросы ответить можно
Ситуации бывают разные, но как я думаю в домашних условиях при базовой настройке зачем вообще держать DNS на микротике ? Люди которые вообще ничего в этом не понимают, тупо посмотрев обучающие видосы в точности срисовывают правила, а потом получают "подарки" )) Конечно, в микротик нашпиговали всего, что может быть полезным админу. В обычной, простой домашней сетке вообще можно отключить многие службы, что я и сделал в первый же день, после занялся настройкой файрвола. Конечно я использую официальные мануалы от Mikrotik, а так же хорошо знаком с базовыми правилами. Я же хочу отстроить по возможности тонко и жестко , как можно минимум грамотных правил. Это как в программировании, хороший программист не тот кто знает много команд и правил, а тот кто умеет написать грамотный алгоритм "код". Вот я и занимаюсь, смотрю как работают те или иные правила, чтобы не открыть backdoor под названием Welcome )). В сетке провайдера еще не так опасно, как если микрот выставить наружу. Так, что буду далее смотреть как и что работает. А по поводу Но проверять все же нужно как и что работает, а не тупо лепить срисовывать.
Домашние сети бывают очень очень разными Минимальный набор правил у микротика не такой бесполезный как может показаться, это не панацея на все случаи жизни, но для большинства случаев эти правила актуальны и обеспечивают защиту от большинства внешних угроз закрывая и сам микротик и внутреннюю сеть от угроз извне. Воспроизведите, и протестируйте, и поймите как они работают, а затем можно и в мир микротик выставлять И Да лишние сервисы рекомендуют отключить (это нужно для уменьшения поверхности атаки у самого микротика) - но чтоб понять что они лишние нужно четко представлять что и за что отвечает. Удачи в экспериментах
