Russian Users MikroTik | Форум пользователей MikroTik

Здравствуйте!

В первые занимаюсь настройкой микротика на виртуальном сервере и вот в чем проблема
Появляется трафик на не настроенном микротике
Все на скринах

Спасибо!

Доброго дня. Важно понять несколько вещей:
1. Не весь трафик "Паразитный". Есть ещё служебный. К нему могут относиться DNS запросы, опросы сети самим роутером, запросы со стороны провайдеров, обмен информации для работы туннелей и т.д. и т.п.;
2. Что есть "Паразитный" трафик - каждый сам для себя определит. Следовательно и набор действий будет немного отличаться, но в итоге всё равно всё сведётся к набору правил в FireWall;
2. Думаю нет нужды объяснять как нормально закрывать FireWall. Статей об этом много в интернете и гуглится без каких-либо усилий. Главное руководствоваться правилом "Всё что не разрешено в явном виде - запрещено".

По сути, этого, как я думаю, достаточно чтобы ответить на Ваш вопрос. Если есть ещё вопросы, спрашивайте.

Спасибо.
Это я прекрасно понимаю, но тут вопрос в том что это виртуальный роутер на впс сервере.
С обычной железкой всё ясно, что и как и куда двигается. Но тут всего один интерфейс и каким-то образом он загружается на 100мегабит.
Бриджей и впнов и прочего нет, а загрузка есть.

Поясните плиз

MaxVM писал(а): ↑13 апр 2022, 23:17 Спасибо.
Это я прекрасно понимаю, но тут вопрос в том что это виртуальный роутер на впс сервере.
С обычной железкой всё ясно, что и как и куда двигается. Но тут всего один интерфейс и каким-то образом он загружается на 100мегабит.
Бриджей и впнов и прочего нет, а загрузка есть.

Поясните плиз

Настраивается точно так же, как и железка. Прям один в один. Единственная разница, что при начальной установке приходится пользоваться ssh. В остальном, всё один в один. Так как это VPS, а Вы сообщили, что роутер не настроен, то скорее всего это Ваш хостинг и производит опрос. Сбрость всё в ноль без дефолтной конфигурации и настройте всё в ручную. При маломальски закрытом FireWall всё будет хорошо. Главное, не забудьте оставить себе доступ для управления. А один порт не показатель.

Спасибо Вам большое!
А как можно пояснить странные порты в адресах в Torch. IP хостинга в Src, а что за адреса в Dst. ?
Я пробовал блокировать фаерволом всё что летит с адреса хостинга но трафик как был так и есть.

И опять же в обычной железке я понимаю входящий интерфейс и локалку, но тут как? Есть только входящий. Понятно что потом будет vpn и он будет "внутреннем". Но тут то как?

Сорри понимаю туплю но не знаю где

MaxVM писал(а): ↑13 апр 2022, 23:31 Спасибо Вам большое!
А как можно пояснить странные порты в адресах в Torch. IP хостинга в Src, а что за адреса в Dst. ?
Я пробовал блокировать фаерволом всё что летит с адреса хостинга но трафик как был так и есть.

И опять же в обычной железке я понимаю входящий интерфейс и локалку, но тут как? Есть только входящий. Понятно что потом будет vpn и он будет "внутреннем". Но тут то как?

Сорри понимаю туплю но не знаю где

Ну а как у ПК один порт на вход и выход? Тут так же. Только чуть серьёзнее. Странные порты это отсылка к NAT. Есть маскарад, есть перенаправление. В зависимости от сервисов и настроек на стороне хостинга Вы видите подобную картину. Опять же, служебный трафик никуда не денется, так как он нужен для работы в принципе. Ну а для большего понимания, так ибыть:

Код: Выделить всё

/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input dst-port=8291 protocol=tcp
add action=drop chain=input in-interface=Eth1

Это минимум который у Вас должен быть. Первое правило разрешает уже установленные соединения, воторое - открывает доступ винбоксу, ну а третье - блокирует вообще всё, что не разрешено выше. Когда появятся иные интерфейсы, уже можно будет добавить правила на forward. Но так как их нет, то рулить можете только input и output.

Inner писал(а): ↑14 апр 2022, 00:23
MaxVM писал(а): ↑13 апр 2022, 23:31 Спасибо Вам большое!
А как можно пояснить странные порты в адресах в Torch. IP хостинга в Src, а что за адреса в Dst. ?
Я пробовал блокировать фаерволом всё что летит с адреса хостинга но трафик как был так и есть.

И опять же в обычной железке я понимаю входящий интерфейс и локалку, но тут как? Есть только входящий. Понятно что потом будет vpn и он будет "внутреннем". Но тут то как?

Сорри понимаю туплю но не знаю где
Ну а как у ПК один порт на вход и выход? Тут так же. Только чуть серьёзнее. Странные порты это отсылка к NAT. Есть маскарад, есть перенаправление. В зависимости от сервисов и настроек на стороне хостинга Вы видите подобную картину. Опять же, служебный трафик никуда не денется, так как он нужен для работы в принципе. Ну а для большего понимания, так ибыть:
Код: Выделить всё
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input dst-port=8291 protocol=tcp
add action=drop chain=input in-interface=Eth1
Это минимум который у Вас должен быть. Первое правило разрешает уже установленные соединения, воторое - открывает доступ винбоксу, ну а третье - блокирует вообще всё, что не разрешено выше. Когда появятся иные интерфейсы, уже можно будет добавить правила на forward. Но так как их нет, то рулить можете только input и output.

Спасибо!

Но вот как такое возможно? прописал блокирующие правила, всё равно на интерфейсе трафик

MaxVM писал(а): ↑14 апр 2022, 20:03
Inner писал(а): ↑14 апр 2022, 00:23
MaxVM писал(а): ↑13 апр 2022, 23:31 Спасибо Вам большое!
А как можно пояснить странные порты в адресах в Torch. IP хостинга в Src, а что за адреса в Dst. ?
Я пробовал блокировать фаерволом всё что летит с адреса хостинга но трафик как был так и есть.

И опять же в обычной железке я понимаю входящий интерфейс и локалку, но тут как? Есть только входящий. Понятно что потом будет vpn и он будет "внутреннем". Но тут то как?

Сорри понимаю туплю но не знаю где
Ну а как у ПК один порт на вход и выход? Тут так же. Только чуть серьёзнее. Странные порты это отсылка к NAT. Есть маскарад, есть перенаправление. В зависимости от сервисов и настроек на стороне хостинга Вы видите подобную картину. Опять же, служебный трафик никуда не денется, так как он нужен для работы в принципе. Ну а для большего понимания, так ибыть:
Код: Выделить всё
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input dst-port=8291 protocol=tcp
add action=drop chain=input in-interface=Eth1
Это минимум который у Вас должен быть. Первое правило разрешает уже установленные соединения, воторое - открывает доступ винбоксу, ну а третье - блокирует вообще всё, что не разрешено выше. Когда появятся иные интерфейсы, уже можно будет добавить правила на forward. Но так как их нет, то рулить можете только input и output.
Спасибо!

Но вот как такое возможно? прописал блокирующие правила, всё равно на интерфейсе трафик

А после того, как прописали правила, ребут делали?

Inner писал(а): ↑14 апр 2022, 23:38 А после того, как прописали правила, ребут делали?

Теперь да, всё по прежнему.

MaxVM писал(а): ↑15 апр 2022, 06:00
Inner писал(а): ↑14 апр 2022, 23:38 А после того, как прописали правила, ребут делали?
Теперь да, всё по прежнему.

Хорошо. ddns, ntp, настраивали? Какие либо тунели уже подняли? Логин и пароль сменили со стандартного?

Russian Users MikroTik | Форум пользователей MikroTik

Как победить паразитный трафик и нужно ли?

Как победить паразитный трафик и нужно ли?

Re: Как победить паразитный трафик и нужно ли?

Re: Как победить паразитный трафик и нужно ли?

Re: Как победить паразитный трафик и нужно ли?

Re: Как победить паразитный трафик и нужно ли?

Re: Как победить паразитный трафик и нужно ли?

Re: Как победить паразитный трафик и нужно ли?

Re: Как победить паразитный трафик и нужно ли?

Re: Как победить паразитный трафик и нужно ли?

Re: Как победить паразитный трафик и нужно ли?