Russian Users MikroTik | Форум пользователей MikroTik

podarok66 писал(а):Ну, правила фаервола я так до конца и не понял. Что разрешают, что запрещают, зачем? Как бы абстрактная конструкция получилась.
Про цепочку форвард. Локалка-то прозрачная совсем вышла. ЛЮБОЕ соединение в локалке будет разрешаться и поддерживаться... По всем портам, любые виды соединений, с любых адресов на любые адреса. Чем городить такой огород, такого же эффекта можно добиться и вообще не поднимая ни одного правила. Может все же оставить нужные порты и посмотреть, что выйдет? Или весь упор на Каспера? Тогда пусть вот он и борется, как ему надо.

Нееее.... Каспер, так для традиций )))). А вот разрулить хочется грамотно, все на Микротике. Я ж говорю, читал про микротик с одного сайта и там нашел подобный набор правил, который настроил у себя. Я конечно бы хотел переделать на более грамотный вариант. Я так понимаю и хотелось бы, надо идти правилом, ЗАПРЕТИТЬ ВСЕ И РАЗРЕШИТЬ ЧТО НАДО.
Порядок правил ведь у Микротика сверху вниз читается им? Если первым правилом будет drop на forward, а после (вторым) будет правило, к примеру на порт 80 (браузер), то оно уже не отработает, т.к. сверху уже есть запрет?

Dragon_Knight писал(а):По конфигу вроде более менее..
Когда начнутся перекливание антивируса, зайдите в WinBox -> IP -> Firewall -> NAT и скриншот, если там будет более одной строчки маскарада.

ОК уважаемый! Как только словлю предупреждение, заскриню указанный Вам журнал. А что к стати по НАТу там регистрируется? Кто сделал какие-либо соединения из моей сетки наружу?

Я повторюсь: Находясь за NAT'ом (через роутер), достучаться до любого компьютера внутри сети из мира, - невозможно. Совершенно и никаких 'НО' здесь нету. Что-бы можно было достучаться до определённого порта\адреса\подсети и т.д. существует таблица NAT.
Отсюда я делаю вывод:
1) У вас есть записи NAT на Ваш компьютер. Не важно откуда они и какие (статические или динамические), факт остаётся фактом.
2) У Вас настолько криво настроен роутер, что NAT не является таковым.
2) Атака идёт с локального компьютера и микротик тут совершенно не причём.

Denitornado писал(а):Нееее.... Каспер, так для традиций )))). А вот разрулить хочется грамотно, все на Микротике. Я ж говорю, читал про микротик с одного сайта и там нашел подобный набор правил, который настроил у себя. Я конечно бы хотел переделать на более грамотный вариант. Я так понимаю и хотелось бы, надо идти правилом, ЗАПРЕТИТЬ ВСЕ И РАЗРЕШИТЬ ЧТО НАДО.
Порядок правил ведь у Микротика сверху вниз читается им? Если первым правилом будет drop на forward, а после (вторым) будет правило, к примеру на порт 80 (браузер), то оно уже не отработает, т.к. сверху уже есть запрет?

Я честно повторяю, я на своих машинах все антивири повывел, я привык сам решать, что куда и откуда. На сомнительные ресурсы я не хожу, скачиванием всякой чепухи не занимаюсь, в сети по большей части или в форумах или в библиотеках или в играх. Ни на одном из подобных ресурсов антивирус не нужен абсолютно.Для проверки очень сомнительных сайтов на предмет гадости существует виртмашина. Но тут как говорится на вкус и цвет своя паранойя ближе к мозгу.
Допустим, Вам надо ограничить доступ к локальным машинам и с локальных машин. Логика у меня примерно равна стандартной. Все пишу для цепочки форвард, роутер защщищаем отдельно. Разрешаю пинг (почему бы и нет, что тут плохого)

Код: Выделить всё

/ip firewall filter add chain=forward protocol=icmp action=accept

Да, для роутера дропаю 53 порт по udp, это dns:

Код: Выделить всё

/ip firewall filter add chain=input action=drop protocol=udp in-interface=WAN dst-port=53

Стандартно установленные и родственные разрешаем (вариант для 6.23 и выше):

Код: Выделить всё

/ip firewall filter add chain=forward connection-state=established,related action=accept

Дропаем недействительные:

Код: Выделить всё

/ip firewall filter add chain=forward connection-state=invalid action=drop

Открываем нужные порты для локалки (или нужных машин в локалке) по необходимым протоколам. Узнать какая служба какой протокол использует можно здесь:
https://ru.wikipedia.org/wiki/%D0%A1%D0 ... %D0%B8_UDP
Для примера откроем 80 и 443 для протокола tcp и все udp (не есть правило, чисто пример):

Код: Выделить всё

/ip firewall filter add chain=forward protocol=udp action=accept 
/ip firewall filter add chain=forward src-address=192.168.0.0/24 src-port=80,443 protocol=tcp action=accept 
/ip firewall filter add chain=forward dst-address=192.168.0.0/24 dst-port=80,443 protocol=tcp action=accept

Конечно, портов нужно открыть значительно больше, я обычно не вставляю их в одно правило, а дроблю на несколько. Так легче разграничивать доступ различным группам машин. Дальше дропаем всё остальное и в результате локалка имее связь с сетью лишь через оговоренные порты и по оговоренным протоколам

Код: Выделить всё

/ip firewall filter add chain=forward action=drop

Dragon_Knight писал(а):Я повторюсь: Находясь за NAT'ом (через роутер), достучаться до любого компьютера внутри сети из мира, - невозможно. Совершенно и никаких 'НО' здесь нету. Что-бы можно было достучаться до определённого порта\адреса\подсети и т.д. существует таблица NAT.
Отсюда я делаю вывод:
1) У вас есть записи NAT на Ваш компьютер. Не важно откуда они и какие (статические или динамические), факт остаётся фактом.
2) У Вас настолько криво настроен роутер, что NAT не является таковым.
2) Атака идёт с локального компьютера и микротик тут совершенно не причём.

Как и договаривались, как только каспер сообщил об атаке, Вы просили заскринить список НАТ в Firewall. Сообщение от Каспера было пока всего одно за 3 часа работы в инете (google, WiKi, Youtube, и т.п.)

но эта запись всегда там болтается. Но я еще послежу, иногда за вечер атаки этого вида, долбят не один раз как сегодня, а за час может раз 20 сообщение появиться

Тогда претензий к микротику нету. Либо вирус у Вас в сети или на компе.

Dragon_Knight писал(а):Тогда претензий к микротику нету. Либо вирус у Вас в сети или на компе.

У нас в сети? Это получается домовой(провайдерской) сети? Т.к. во время атак, все остальные устройства выключены или не подключены к инету. Короче, чувствую, надо на фиг удалить все правила и по какому-то нормальному мануалу настройки iptables прописать их снова.

Правила фильтра к правилам NAT никакого отношения не имеют. Не мешайте всё в кучу.
Сеть Ваша, личная, за роутером, и если других устройств нету в сети, то вирус у Вас на компе.

Еще есть вариант, что у Каспера праноидальный бред.
Попробуйте, ради интереса, снести его и поставить другой фаерволл. И посмотреть что будет.

Dragon_Knight писал(а):Правила фильтра к правилам NAT никакого отношения не имеют. Не мешайте всё в кучу.
Сеть Ваша, личная, за роутером, и если других устройств нету в сети, то вирус у Вас на компе.

Вчера проверил, на вирусы свой ПК, загрузившись без Винды (использовал Dr.Web CureIT), все хорошо и красиво у меня. После Проверил Каспером Rescue Disk, тоже все красиво! Я за вирусней всегда следил и слежу.

Russian Users MikroTik | Форум пользователей MikroTik

Сетевые атаки? Или реакция антивируса?

Re: Сетевые атаки? Или реакция антивируса?

Re: Сетевые атаки? Или реакция антивируса?

Re: Сетевые атаки? Или реакция антивируса?

Re: Сетевые атаки? Или реакция антивируса?

Re: Сетевые атаки? Или реакция антивируса?

Re: Сетевые атаки? Или реакция антивируса?

Re: Сетевые атаки? Или реакция антивируса?

Re: Сетевые атаки? Или реакция антивируса?

Re: Сетевые атаки? Или реакция антивируса?

Re: Сетевые атаки? Или реакция антивируса?