Jump to content
  • 0

Mikrotik защити


sasma83

Въпрос

Здравейте,

имам странен проблем с доставчика си за интернет. Получавам от тях, че получавали мейл атаки от моята мрежа. Как мога да огранича това, мисля че съм сложил нужните филтри, но май изпускам нещо. Ще съм ви благодарен, ако ми помогнете с този проблем. 

 

 

Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 0
  • Администратор

1. Под мейл атаки в в реалния свят не е задължително да става въпрос само за SMTP, има и други протоколи като POP, IMAP или пък word и DoS атаки към някой мейл сървър. Няма да гадаем но е важно да се изясни.

2. С тази снимка която си дал мислиш ли, че се разбира реално какви са правилата във Firewall-a, влезни в терминал и изпълни " ip firewall filter export compact"

3. И все пак това което се вижда на снимката още в първия ред си drop-нал порт 25 във веригата input което е грешка защото в тази верига се обрабтват пакети които идват само към рутера. Ако искаш да филтрираш пакети които преминават през рутера трябва да изпозлваш forward.

4. С последния ред само мога да гадая какво правиш, вероятно се опитваш да ограничиш брой пакети в секунда с дестинация порт 25. Ако това е целта за да сработи трябва да е първото правило от веригата forward и следващото след него трябва да е drop 25 порт за да спазиш последователноста. Друг е въпроса, че този метод е доста неефективен.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Само като гледам как се ползват публични мрежи в локалният сегмент си представям каква "каша" е всичко!

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Та в тоя ред на мисли, ако съм на твое място ще изпълня това правило да е първо във forward

ip/firewall/filter
add action=drop chain=forward dst-port=25,110,143,465,587,993,995 log=yes log-prefix=MAIL protocol=tcp

И след това гледаш в лога блокирания трафик.

/log/print
 21:34:42 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:41498->93.155.130.14:110, len 60
 21:34:42 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:52996->93.155.130.14:143, len 60
 21:34:42 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:59468->93.155.130.14:995, len 60
 21:34:42 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:46660->93.155.130.14:25, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:46660->93.155.130.14:25, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:59468->93.155.130.14:995, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:52996->93.155.130.14:143, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:41498->93.155.130.14:110, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:46674->93.155.130.14:25, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:59476->93.155.130.14:995, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:53006->93.155.130.14:143, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:41510->93.155.130.14:110, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:53564->93.155.130.14:993, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:53570->93.155.130.14:993, len 60
 21:34:45 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:43124->93.155.130.14:465, len 60
 21:34:45 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:43132->93.155.130.14:465, len 60

В този случай частен адрес 192.168.101.51 се опитва да се свърже с публичен сървър 93.155.130.14 но е блокиран.

Screenshot 2022-09-24 9.49.04 PM.png

Адрес на коментара
Сподели в други сайтове

  • 0
преди 31 минути, samyil написа:

1. Под мейл атаки в в реалния свят не е задължително да става въпрос само за SMTP, има и други протоколи като POP, IMAP или пък word и DoS атаки към някой мейл сървър. Няма да гадаем но е важно да се изясни.

2. С тази снимка която си дал мислиш ли, че се разбира реално какви са правилата във Firewall-a, влезни в терминал и изпълни " ip firewall filter export compact"

3. И все пак това което се вижда на снимката още в първия ред си drop-нал порт 25 във веригата input което е грешка защото в тази верига се обрабтват пакети които идват само към рутера. Ако искаш да филтрираш пакети които преминават през рутера трябва да изпозлваш forward.

4. С последния ред само мога да гадая какво правиш, вероятно се опитваш да ограничиш брой пакети в секунда с дестинация порт 25. Ако това е целта за да сработи трябва да е първото правило от веригата forward и следващото след него трябва да е drop 25 порт за да спазиш последователноста. Друг е въпроса, че този метод е доста неефективен.

/ip firewall filter
add action=drop chain=input dst-port=25 protocol=tcp
add action=drop chain=input connection-state=invalid
add chain=input src-address=10.11.12.0/24
add chain=input protocol=icmp
add chain=input connection-state=established,related
add action=drop chain=input
add action=drop chain=forward connection-state=invalid
add action=fasttrack-connection chain=forward connection-state=established,related
add chain=forward connection-state=established,related
add action=drop chain=output connection-state=invalid
add action=add-src-to-address-list address-list=spammer address-list-timeout=1d chain=forward connection-limit=30,32 dst-port=25 protocol=tcp
[admin@SASMA_PC] > 
 

Да изтрия всичко в firewall и да почна наново да слагам команди. Можели основни команди за защита да ми напишете, че съм начинаещ както се вижда. Ще съм ви много благодарен, но основно ми правят проблеми за мейлите които пращал мрежата ми. 

Благодаря предварително.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Това е адрес листа за частни като можеш да си добавиш и публични адреси които ще имат достъп до рутера ти.

/ip firewall address-list
add address=192.168.0.0/16 list=accept
add address=172.16.0.0/12 list=accept
add address=10.0.0.0/8 list=accept

Това са стандартни правила за всеки рутер с добавен филтър за мейл който няма да допуска изходящ трафик от рутера ти и ще го логва за да можеш да видиш кой прави това.

/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input protocol=icmp
add action=drop chain=input src-address-list=!accept
add action=drop chain=forward dst-port=25,110,143,465,587,993,995 log=yes log-prefix=MAIL protocol=tcp
add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes
add action=accept chain=forward connection-state=established,related

 

Адрес на коментара
Сподели в други сайтове

  • 0
преди 20 минути, samyil написа:

Това е адрес листа за частни като можеш да си добавиш и публични адреси които ще имат достъп до рутера ти.

/ip firewall address-list
add address=192.16.0.0/16 list=accept
add address=172.16.0.0/12 list=accept
add address=10.0.0.0/8 list=accept

Това са стандартни правила за всеки рутер с добавен филтър за мейл който няма да допуска изходящ трафик от рутера ти и ще го логва за да можеш да видиш кой прави това.

/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input protocol=icmp
add action=drop chain=input src-address-list=!accept
add action=drop chain=forward dst-port=25,110,143,465,587,993,995 log=yes log-prefix=MAIL protocol=tcp
add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes
add action=accept chain=forward connection-state=established,related

 

Да премахна ли предишните правила? и може ли да се направи само да се влиза от едно ИП което да е в моята мрежа да няма достъп отвънка, защото ботовете постоянно пробват да се логнат.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
преди 8 минути, sasma83 написа:

Да премахна ли предишните правила? и може ли да се направи само да се влиза от едно ИП което да е в моята мрежа да няма достъп отвънка, защото ботовете постоянно пробват да се логнат.

1. Задължително трябва да премахнеш всички правила във веригата input за да изпълниш тези които съм ти показал., и то точно в този ред.

2. Адресите в листата която съм ти "експортнал" са частни адреси а не публични. Частните адреси не се рутират в Интернет. Ако искаш да влизаш с някой адрес от Интернет трябва да го добавиш в тази адрес листа.

справка: https://bg.wikipedia.org/wiki/Частни_мрежи

Адрес на коментара
Сподели в други сайтове

  • 0
преди 2 минути, samyil написа:

1. Задължително трябва да премахнеш всички правила във веригата input за да изпълниш тези които съм ти показал.

2. Адресите в листата която съм ти показал са частни адреси а не публични. Частните адреси не рутират в Интернет. Ако искаш да влизаш с някой адрес от Интернет трябва да го добавиш в тази адрес листа.

справка: https://bg.wikipedia.org/wiki/Частни_мрежи

ОК, махам всичко и на мястото на ИП адресите дето си дал ще напиша моя дето аз си го ползвам и да може да се влиза само от него

 

преди 6 минути, sasma83 написа:

ОК, махам всичко и на мястото на ИП адресите дето си дал ще напиша моя дето аз си го ползвам и да може да се влиза само от него

 

този 8291 порт за какво е?

Адрес на коментара
Сподели в други сайтове

  • 0

 /ip firewall filter> add action=accept chain=input connection-state=established,related,untracked
syntax error (line 1 column 68)

тази команда не успя да се изпълни  няма отметка    "untracked"   има "invalid и "New"    

преди 5 минути, sasma83 написа:

 /ip firewall filter> add action=accept chain=input connection-state=established,related,untracked
syntax error (line 1 column 68)

тази команда не успя да се изпълни  няма отметка    "untracked"   има "invalid и "New"    

както и тази команда според мен не стана   

add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes

 

товя    "hw-offload=yes"   го няма 

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
преди 59 минути, sasma83 написа:

 /ip firewall filter> add action=accept chain=input connection-state=established,related,untracked
syntax error (line 1 column 68)

тази команда не успя да се изпълни  няма отметка    "untracked"   има "invalid и "New"    

както и тази команда според мен не стана   

add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes

 

товя    "hw-offload=yes"   го няма 

Просто махни "untracked" и "hw-offload=yes" и ще стане ...  

Адрес на коментара
Сподели в други сайтове

  • 0
Преди 9 часа, sasma83 написа:

/ip firewall address-list add address=192.16.0.0/16 list=accept add address=172.16.0.0/12 list=accept add address=10.0.0.0/8 list=accept

/ip firewall address-list
add address=192.16.0.0/16 list=accept
add address=172.16.0.0/12 list=accept
add address=10.0.0.0/8 list=accept

Това с адрес листата нещо не стана, мога да вляза и от други частни мрежи в моята мрежа.

Just now, sasma83 написа:

Това с адрес листата нещо не стана, мога да вляза и от други частни мрежи в моята мрежа.

Предишната ми команда беше така само АП беше друго и си работеше

/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input src-address=192.168.1.0/24
add chain=input protocol=icmp
add action=accept chain=input connection-state=established,related
add action=drop chain=input
add action=drop chain=forward connection-state=invalid
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=output connection-state=invalid
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Най вероятно всичко си работи, но имаш правило:

add action=accept chain=input dst-port=8291 protocol=tcp

което ти дава достъп до рутера само през winbox, внимавай от къде влизаш за да не се отрежеш ако го махнеш.

Адрес на коментара
Сподели в други сайтове

  • 0
преди 40 минути, samyil написа:

Най вероятно всичко си работи, но имаш правило:

add action=accept chain=input dst-port=8291 protocol=tcp

което ти дава достъп до рутера само през winbox, внимавай от къде влизаш за да не се отрежеш ако го махнеш.

Да го оставя така, щом не е проблем. От външно АП ще може ли да се влиза?

Адрес на коментара
Сподели в други сайтове

  • 0
На 25.09.2022 г. at 9:33, samyil написа:

Най вероятно всичко си работи, но имаш правило:

add action=accept chain=input dst-port=8291 protocol=tcp

което ти дава достъп до рутера само през winbox, внимавай от къде влизаш за да не се отрежеш ако го махнеш.

До тука добре, благодаря ви за помощта. Как мога да огранича както си беше преди да мога да влизам в микротика само от едно ИП за да няма достъп от вънка, ако добавя и другите команди които ограничаваха това, но да не прецакам сегашните команди?

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Сложи си адреса в група с разрешени адреси,

след което я окажи в правилото.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.