Mikrotik защити

[sasma83]

Здравейте,

имам странен проблем с доставчика си за интернет. Получавам от тях, че получавали мейл атаки от моята мрежа. Как мога да огранича това, мисля че съм сложил нужните филтри, но май изпускам нещо. Ще съм ви благодарен, ако ми помогнете с този проблем. 

 

 

[Самуил Арсов]

1. Под мейл атаки в в реалния свят не е задължително да става въпрос само за SMTP, има и други протоколи като POP, IMAP или пък word и DoS атаки към някой мейл сървър. Няма да гадаем но е важно да се изясни.

2. С тази снимка която си дал мислиш ли, че се разбира реално какви са правилата във Firewall-a, влезни в терминал и изпълни " ip firewall filter export compact"

3. И все пак това което се вижда на снимката още в първия ред си drop-нал порт 25 във веригата input което е грешка защото в тази верига се обрабтват пакети които идват само към рутера. Ако искаш да филтрираш пакети които преминават през рутера трябва да изпозлваш forward.

4. С последния ред само мога да гадая какво правиш, вероятно се опитваш да ограничиш брой пакети в секунда с дестинация порт 25. Ако това е целта за да сработи трябва да е първото правило от веригата forward и следващото след него трябва да е drop 25 порт за да спазиш последователноста. Друг е въпроса, че този метод е доста неефективен.

[JohnTRIVOLTA]

Само като гледам как се ползват публични мрежи в локалният сегмент си представям каква "каша" е всичко!

[Самуил Арсов]

Та в тоя ред на мисли, ако съм на твое място ще изпълня това правило да е първо във forward

ip/firewall/filter
add action=drop chain=forward dst-port=25,110,143,465,587,993,995 log=yes log-prefix=MAIL protocol=tcp

И след това гледаш в лога блокирания трафик.

/log/print
 21:34:42 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:41498->93.155.130.14:110, len 60
 21:34:42 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:52996->93.155.130.14:143, len 60
 21:34:42 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:59468->93.155.130.14:995, len 60
 21:34:42 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:46660->93.155.130.14:25, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:46660->93.155.130.14:25, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:59468->93.155.130.14:995, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:52996->93.155.130.14:143, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:41498->93.155.130.14:110, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:46674->93.155.130.14:25, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:59476->93.155.130.14:995, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:53006->93.155.130.14:143, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:41510->93.155.130.14:110, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:53564->93.155.130.14:993, len 60
 21:34:43 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:53570->93.155.130.14:993, len 60
 21:34:45 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:43124->93.155.130.14:465, len 60
 21:34:45 firewall,info MAIL forward: in:bridge1 out:sfp1, connection-state:new src-mac a4:ae:12:32:fd:14, proto TCP (SYN), 192.168.101.51:43132->93.155.130.14:465, len 60

В този случай частен адрес 192.168.101.51 се опитва да се свърже с публичен сървър 93.155.130.14 но е блокиран.

[sasma83]

преди 31 минути, samyil написа:

1. Под мейл атаки в в реалния свят не е задължително да става въпрос само за SMTP, има и други протоколи като POP, IMAP или пък word и DoS атаки към някой мейл сървър. Няма да гадаем но е важно да се изясни.

2. С тази снимка която си дал мислиш ли, че се разбира реално какви са правилата във Firewall-a, влезни в терминал и изпълни " ip firewall filter export compact"

3. И все пак това което се вижда на снимката още в първия ред си drop-нал порт 25 във веригата input което е грешка защото в тази верига се обрабтват пакети които идват само към рутера. Ако искаш да филтрираш пакети които преминават през рутера трябва да изпозлваш forward.

4. С последния ред само мога да гадая какво правиш, вероятно се опитваш да ограничиш брой пакети в секунда с дестинация порт 25. Ако това е целта за да сработи трябва да е първото правило от веригата forward и следващото след него трябва да е drop 25 порт за да спазиш последователноста. Друг е въпроса, че този метод е доста неефективен.

/ip firewall filter
add action=drop chain=input dst-port=25 protocol=tcp
add action=drop chain=input connection-state=invalid
add chain=input src-address=10.11.12.0/24
add chain=input protocol=icmp
add chain=input connection-state=established,related
add action=drop chain=input
add action=drop chain=forward connection-state=invalid
add action=fasttrack-connection chain=forward connection-state=established,related
add chain=forward connection-state=established,related
add action=drop chain=output connection-state=invalid
add action=add-src-to-address-list address-list=spammer address-list-timeout=1d chain=forward connection-limit=30,32 dst-port=25 protocol=tcp
[admin@SASMA_PC] > 
 

Да изтрия всичко в firewall и да почна наново да слагам команди. Можели основни команди за защита да ми напишете, че съм начинаещ както се вижда. Ще съм ви много благодарен, но основно ми правят проблеми за мейлите които пращал мрежата ми. 

Благодаря предварително.

[Самуил Арсов]

Това е адрес листа за частни като можеш да си добавиш и публични адреси които ще имат достъп до рутера ти.

/ip firewall address-list
add address=192.168.0.0/16 list=accept
add address=172.16.0.0/12 list=accept
add address=10.0.0.0/8 list=accept

Това са стандартни правила за всеки рутер с добавен филтър за мейл който няма да допуска изходящ трафик от рутера ти и ще го логва за да можеш да видиш кой прави това.

/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input protocol=icmp
add action=drop chain=input src-address-list=!accept
add action=drop chain=forward dst-port=25,110,143,465,587,993,995 log=yes log-prefix=MAIL protocol=tcp
add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes
add action=accept chain=forward connection-state=established,related

 

[sasma83]

преди 20 минути, samyil написа:

Това е адрес листа за частни като можеш да си добавиш и публични адреси които ще имат достъп до рутера ти.

/ip firewall address-list
add address=192.16.0.0/16 list=accept
add address=172.16.0.0/12 list=accept
add address=10.0.0.0/8 list=accept

Това са стандартни правила за всеки рутер с добавен филтър за мейл който няма да допуска изходящ трафик от рутера ти и ще го логва за да можеш да видиш кой прави това.

/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input protocol=icmp
add action=drop chain=input src-address-list=!accept
add action=drop chain=forward dst-port=25,110,143,465,587,993,995 log=yes log-prefix=MAIL protocol=tcp
add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes
add action=accept chain=forward connection-state=established,related

 

Да премахна ли предишните правила? и може ли да се направи само да се влиза от едно ИП което да е в моята мрежа да няма достъп отвънка, защото ботовете постоянно пробват да се логнат.

[Самуил Арсов]

преди 8 минути, sasma83 написа:

Да премахна ли предишните правила? и може ли да се направи само да се влиза от едно ИП което да е в моята мрежа да няма достъп отвънка, защото ботовете постоянно пробват да се логнат.

1. Задължително трябва да премахнеш всички правила във веригата input за да изпълниш тези които съм ти показал., и то точно в този ред.

2. Адресите в листата която съм ти "експортнал" са частни адреси а не публични. Частните адреси не се рутират в Интернет. Ако искаш да влизаш с някой адрес от Интернет трябва да го добавиш в тази адрес листа.

справка: https://bg.wikipedia.org/wiki/Частни_мрежи

[sasma83]

преди 2 минути, samyil написа:

1. Задължително трябва да премахнеш всички правила във веригата input за да изпълниш тези които съм ти показал.

2. Адресите в листата която съм ти показал са частни адреси а не публични. Частните адреси не рутират в Интернет. Ако искаш да влизаш с някой адрес от Интернет трябва да го добавиш в тази адрес листа.

справка: https://bg.wikipedia.org/wiki/Частни_мрежи

ОК, махам всичко и на мястото на ИП адресите дето си дал ще напиша моя дето аз си го ползвам и да може да се влиза само от него

 

преди 6 минути, sasma83 написа:

ОК, махам всичко и на мястото на ИП адресите дето си дал ще напиша моя дето аз си го ползвам и да може да се влиза само от него

 

този 8291 порт за какво е?

[sasma83]

 /ip firewall filter> add action=accept chain=input connection-state=established,related,untracked
syntax error (line 1 column 68)

тази команда не успя да се изпълни  няма отметка    "untracked"   има "invalid и "New"    

преди 5 минути, sasma83 написа:

 /ip firewall filter> add action=accept chain=input connection-state=established,related,untracked
syntax error (line 1 column 68)

тази команда не успя да се изпълни  няма отметка    "untracked"   има "invalid и "New"    

както и тази команда според мен не стана   

add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes

 

товя    "hw-offload=yes"   го няма 

[Самуил Арсов]

преди 59 минути, sasma83 написа:

 /ip firewall filter> add action=accept chain=input connection-state=established,related,untracked
syntax error (line 1 column 68)

тази команда не успя да се изпълни  няма отметка    "untracked"   има "invalid и "New"    

както и тази команда според мен не стана   

add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes

 

товя    "hw-offload=yes"   го няма 

Просто махни "untracked" и "hw-offload=yes" и ще стане ...  

[sasma83]

Преди 9 часа, sasma83 написа:

/ip firewall address-list add address=192.16.0.0/16 list=accept add address=172.16.0.0/12 list=accept add address=10.0.0.0/8 list=accept

/ip firewall address-list
add address=192.16.0.0/16 list=accept
add address=172.16.0.0/12 list=accept
add address=10.0.0.0/8 list=accept

Това с адрес листата нещо не стана, мога да вляза и от други частни мрежи в моята мрежа.

Just now, sasma83 написа:

Това с адрес листата нещо не стана, мога да вляза и от други частни мрежи в моята мрежа.

Предишната ми команда беше така само АП беше друго и си работеше

/ip firewall filter add action=drop chain=input connection-state=invalid add action=accept chain=input src-address=192.168.1.0/24 add chain=input protocol=icmp add action=accept chain=input connection-state=established,related add action=drop chain=input add action=drop chain=forward connection-state=invalid add action=fasttrack-connection chain=forward connection-state=established,related add action=accept chain=forward connection-state=established,related add action=drop chain=output connection-state=invalid

[Самуил Арсов]

Най вероятно всичко си работи, но имаш правило:

add action=accept chain=input dst-port=8291 protocol=tcp

което ти дава достъп до рутера само през winbox, внимавай от къде влизаш за да не се отрежеш ако го махнеш.

[sasma83]

преди 40 минути, samyil написа:

Най вероятно всичко си работи, но имаш правило:

add action=accept chain=input dst-port=8291 protocol=tcp

което ти дава достъп до рутера само през winbox, внимавай от къде влизаш за да не се отрежеш ако го махнеш.

Да го оставя така, щом не е проблем. От външно АП ще може ли да се влиза?

[sasma83]

На 25.09.2022 г. at 9:33, samyil написа:

Най вероятно всичко си работи, но имаш правило:

add action=accept chain=input dst-port=8291 protocol=tcp

което ти дава достъп до рутера само през winbox, внимавай от къде влизаш за да не се отрежеш ако го махнеш.

До тука добре, благодаря ви за помощта. Как мога да огранича както си беше преди да мога да влизам в микротика само от едно ИП за да няма достъп от вънка, ако добавя и другите команди които ограничаваха това, но да не прецакам сегашните команди?

[111111]

Сложи си адреса в група с разрешени адреси,

след което я окажи в правилото.