Mikrotik™ Info - mikrotik problem yeager - 07.06.2015 - 21:32 Post subject: mikrotik problem
trosku sa bojim polozit tuto otazku aby ste ma nepovazovali za sprosteho, ale mam taky problem, ze MK na vystupnom (povedzme WAN) porte generuje sam sebe pakety a tym mi vytazuje linku, moze byt MK zavereny alebo ja mam nieco zle nastevene? port eth2 je lokalny port tam mam traffic 70M/20M ale na eth1 porte je cca o 50M viac 120M/70M
xtome2 - 07.06.2015 - 21:59 Post subject:
toto som uz aj ja riesil, na uplink porte som mal stale vacsi traffic ako na odchadzajucom porte. nepomohlo ani ked som vo firewall dropol input cez wan port, az ked som vo forwarde povolil len traffic ktory prichadza na wan a odchadza cez lan a traffic ktory prichadza na lan a odchadza na cez wan.
kemper - 07.06.2015 - 22:02 Post subject:
Ako si prisiel na to ze ich generuje mk ? Nelezie ti tam nieco z netu ? Cez torch si nic nenasiel ? Mas bloknute DNS zvonku ?
JOFO - 07.06.2015 - 22:23 Post subject:
Mne pomohlo bloknúť DNS na WAN porte. Je to buď útok z vonku alebo zavireny užívateľ.
yeager - 08.06.2015 - 18:35 Post subject:
a staci bloknu port 53 na eth1?
PS: z vonka shaer nie je pristupny
bakula - 09.06.2015 - 07:55 Post subject:
/ip firewall filter
add action=drop chain=forward comment="drop wan -> wan" in-interface=wan out-interface=wan
Chalan - 09.06.2015 - 08:39 Post subject:
a pomohlo to? cele je to divne, nezda sa mi ze by mohol router/mikrotik "generovat" traffic na uplink porte, nieco tam nebudes mat ok, torchol si to?
bakula - 09.06.2015 - 08:44 Post subject:
Router negeneruje ale routuje to znamena ze ked k nemu dojde nieco co nema na lokalnych interfejsoch a neexistuje pre to pravidlo v route kde to poslat tak to posiela cez branu von.
Chalan - 09.06.2015 - 09:19 Post subject:
ak by to torchol videl by snad ze to tak je a prichadzalo by to z nejakeho lokalneho interfacesu ale on tvrdi ze router generuje sam sebe pakety, takze ja si to vysvetlujem tak ze na lokalnych ifacesoch to vobec nie je
pixall - 09.06.2015 - 12:22 Post subject:
dostali sme v poslednom case viacero hlaseni o tom, ze z nasich IPciek sa robia DNS amplify utoky... vo vsetkych pripadoch za tym bol blbo nastaveny zakaznicky DNS server/resolver, vacsinou na mikrotiku, kde je takto nastaveny defaultne.
princip takeho utoku je, ze si v sieti vytvorim DNS poziadavku, naplnim do paketu cudziu IP adresu ako zdrojovu, a paket odoslem na otvoreny DNS server. kedze je to UDP, nepotrebuje aby sa nadviazanie spojenia potvrdilo cez SYN+ACK, takze podvrhnuta adresa je OK, nevadi funkcnosti. DNS server posle odpoved na ten host, ktoreho adresa bola uvedena ako zdrojova. odpoved pri DNS je vacsia ako poziadavka, pri vhodne zvolenom requeste moze byt mnoho-mnoho-mnohonasobne vacsia. takze mne staci posielat malicke pakety na DNS server, a DNS server bude bombovat velkymi paketmi toho, koho adresu som v pakete podvrhol. preto je to nazyvane DNS amplify (zosilnovaci) utok.
a preto si mate DNS servery konfigurovat tak, aby vybavoval poziadavky len z vasej vlastnej siete, a ostatne zahadzovali...
cobain - 13.06.2015 - 15:16 Post subject:
Pixall nevies ako to v MK nastavim? Teda nech riesi len poziadavky z LAN. resp aj ktokolvek kto to ma tak nastavene
JOFO - 13.06.2015 - 15:47 Post subject:
bud si nahodis do address listu vsetky svoje lokalne subnety a vsetko ostatne dropnes, alebo rovno dropnes vsetok DNS trafik na WAN iface nesmerujuci na LAN iface