Mikrotik защити

[sasma83]

Здравейте,

имам странен проблем с доставчика си за интернет. Получавам от тях, че получавали мейл атаки от моята мрежа. Как мога да огранича това, мисля че съм сложил нужните филтри, но май изпускам нещо. Ще съм ви благодарен, ако ми помогнете с този проблем. 

 

 

[sasma83]

Преди 10 часа, 111111 написа:

Сложи си адреса в група с разрешени адреси,

след което я окажи в правилото.

Начинаещ съм, трябва да го видя как става или с код.

[sasma83]

На 25.09.2022 г. at 0:50, samyil написа:

Просто махни "untracked" и "hw-offload=yes" и ще стане ...  

Пак получих емайл от нетворкс, че им пращам спам мейли

orward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:56938->108.177.119.108:993, len 60 
19:08:06 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:56938->108.177.119.108:993, len 60 
19:08:09 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:56938->108.177.119.108:993, len 60 
19:08:10 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:56938->108.177.119.108:993, len 60 
19:08:13 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:56938->108.177.119.108:993, len 60 
19:13:35 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:44246->108.177.119.109:993, len 60 
19:13:40 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:44246->108.177.119.109:993, len 60 
19:13:41 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:44246->108.177.119.109:993, len 60 
19:13:42 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:44246->108.177.119.109:993, len 60 
19:13:43 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:44246->108.177.119.109:993, len 60 
19:13:58 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:44246->108.177.119.109:993, len 60 
19:13:59 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:44246->108.177.119.109:993, len 60 
19:35:27 system,info,account user admin logged in from 86.86.86.240 via winbox 
19:54:30 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:57026->108.177.119.108:993, len 60 
19:54:31 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:57026->108.177.119.108:993, len 60 
19:54:32 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:57026->108.177.119.108:993, len 60 
19:54:33 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:57026->108.177.119.108:993, len 60 
19:54:34 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:57026->108.177.119.108:993, len 60 
19:54:35 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:57026->108.177.119.108:993, len 60 
19:54:37 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:57026->108.177.119.108:993, len 60 
19:54:40 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:57034->108.177.119.108:993, len 60 
19:54:41 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:57034->108.177.119.108:993, len 60 
19:54:42 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:57034->108.177.119.108:993, len 60 
19:54:43 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:57034->108.177.119.108:993, len 60 
19:54:44 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:57034->108.177.119.108:993, len 60 
19:54:45 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:57034->108.177.119.108:993, len 60 
19:54:47 firewall,info MAIL forward: in:LAN out:networks, src-mac d8:0d:17:f2:2b:b0, proto TCP (SYN), 88.88.88.2:57034->108.177.119.108:993, len 60 

това бяха командите

 

/ip firewall filter
add action=drop chain=input connection-state=invalid
add chain=input connection-state=invalid,established,related
add chain=input dst-port=8291 protocol=tcp
add chain=input protocol=icmp
add action=drop chain=input src-address-list=!accept
add action=drop chain=forward dst-port=25,110,143,465,587,993,995 log=yes log-prefix=MAIL protocol=tcp
add action=fasttrack-connection chain=forward connection-state=invalid,established,related
add chain=forward connection-state=established,related

 

Редактирано 29 Септември, 2022 от sasma83

[Самуил Арсов]

1. Ако това е лога на твоя Firewall това значи, че той е блокирал, подчертавам БЛОКИРАЛ този трафик към протокола IMAPs към порт 993 на адрес 108.177.119.108 който всъщност е сървър на google, а не го е само записал в лога, защото това правило е с атрибут drop. DROP в Firewall-a значи (отхвърли или не пропускаи) Та в посока портовете които виждаш долу които са стандартните за мейл услуги няма да преминат пакети към тях през рутера ти.
 

/ip firewall filter
add action=drop chain=forward dst-port=25,110,143,465,587,993,995 log=yes log-prefix=MAIL protocol=tcp

Всъщност ако си го подредил правилно защото ако павилото е последно например няма да работи коректно. Правилата трябва да са точно в реда в който аз ти показах.

2. Колко реда трябва да ти изпише за да видиш, че "досера" е IP адрес 88.88.88.2 който е в твоята локална мрежа и ти няма как да не знаеш кой е. Макар, че източника е с MAC адрес d8:0d:17:f2:2b:b0 с вендор TP-LINK което предполага (може и да не е така) втори рутер зад NAT. Намери го този 88.88.88.2 кой е и му извади кабела докато не се реши проблема !!!

3. Цитат: sasma83 - "Пак получих емайл от нетворкс, че им пращам спам мейли" Още в първия отговор те питах, DoS ли правиш, фалшиви мейли ли пращаш (към несъствествуваши акаунти) или СПАМ пращаш бе човек, защото това са три различни неща ?!?!?!?!? В момента единственото нещо което може да се случва е въпросния 88.88.88.2 (или компютър след него) да е логнат през WEB защото с горните правила няма как да стане, например  Outlook или Thunderbird въобще няма да работят ако са зад рутера ти.  Но няма нужда да хвърляме боб или да търкаме кристалната топка, Решението ти е да отрежеш достъпа на 88.88.88.2 който е в локалната ти мрежа !!! 

[sasma83]

преди 8 минути, samyil написа:

1. Ако това е лога на твоя Firewall това значи, че той е блокирал, подчертавам БЛОКИРАЛ този трафик към протокола IMAPs към порт 993 на адрес 108.177.119.108 който всъщност е сървър на google, а не го е само записал в лога, защото това правило е с атрибут drop. DROP в Firewall-a значи (отхвърли или не пропускаи) Та в посока портовете които виждаш долу които са стандартните за мейл услуги няма да преминат пакети към тях през рутера ти.
 

/ip firewall filter
add action=drop chain=forward dst-port=25,110,143,465,587,993,995 log=yes log-prefix=MAIL protocol=tcp

Всъщност ако си го подредил правилно защото ако павилото е последно например няма да работи коректно. Правилата трябва да са точно в реда в който аз ти показах.

2. Колко реда трябва да ти изпише за да видиш, че "досера" е IP адрес 88.88.88.2 който е в твоята локална мрежа и ти няма как да не знаеш кой е. Макар, че източника е с MAC адрес d8:0d:17:f2:2b:b0 с вендор TP-LINK което предполага (може и да не е така) втори рутер зад NAT. Намери го този 88.88.88.2 кой е и му извади кабела докато не се реши проблема !!!

3. Цитат: sasma83 - "Пак получих емайл от нетворкс, че им пращам спам мейли" Още в първия отговор те питах, DoS ли правиш, фалшиви мейли ли пращаш (към несъствествуваши акаунти) или СПАМ пращаш бе човек, защото това са три различни неща ?!?!?!?!? В момента единственото нещо което може да се случва е въпросния 88.88.88.2 (или компютър след него) да е логнат през WEB но няма нужда да хвърляме боб или да търкаме кристалната топка, Решението ти е да отрежеш достъпа на 88.88.88.2 който е в локалната ти мрежа !!! 

Въпросния IP адрес 88.88.88.2 е рутер на комшията ми на което има свързани 2 лаптопа, 2 смартфона и 1 смарт телевизор. Какво предлагате да направя, да им сканирам всичките устройства за вируси? С изваждането на кабела не решавам проблема. Не знам точно каква е разликата между DOS, фалшив мейл или СПАМ.

[Самуил Арсов]

1. Започваме с това, че адресно простантсво 88.88.0.0/13 е на Telenor Business Solutions AS и е меко казано грешно да изпозлваш тази мрежа дори и за локалната ти домашна такава, защото още в зората на Интернет има заделени такива които не се рутират в Глобалната мрежа и те са:

192.168.0.0/16
172.16.0.0/12
10.0.0.0/8

2. Не само начинаещите но и такива който се наричат "администратори" правят една голяма глупост, два NAT-a един след друг. Тъй като операцията се нарича транслиране на адреси през всеки рутер който има NAT във входящия интерфейс приема един порт а през изходящия излиза от друг, когато това се случи два или три пъти подред някои услуги или не работят или се държат неадекватно. Решението в този случай е много просто. Разделяш локалната си мрежа на сегменти, пример:

ether1 WAN
ether2 192.168.1.1/24 твоята мрежа
ether3 192.168.2.1/24 мрежата на комшията като неговият рутер става прозрачно AP.

а) Така ще си спестиш проблемите с двата NAT-а. (торентите и стрийм услугите ще работят по добре)
б) Ти пак ще си имаш твоя мрежа и комшията негова, като дори можеш да направиш една друга да не се виждат.
в) Можеш да правиш определени рестикции към всеки един адрес, например да ограничиш скороста на определен компютър.
г) Можеш да правиш Port-forwarding към всеки сегмент само от този рутер, например 37777 към камерите на комшята и 38888 към твойте. 
д) няма да се чудищ зад рутера на комшията кой е "досера" а направо можеш да го посочиш.

3. Мейл услугата в Интернет не е един порт а збор от програми и протоколи. В исторически план това е така защото тя е първата услуга в Интернет и тъй като в глобалната мрежа трябва да има слоест строеж (всичко ново не трябва да спира старото) в резултат на което имаме:

Протокол   Транспорт   Сигурност                                 Порт
-----------------------------------------------------------
SMTP (sending mail)      Encrypted - TLS/STARTTLS  465
SMTP (sending mail)      Encrypted - SSL                     465
SMTP (sending mail)      Unencrypted                           25
POP3 (receiving mail)     Encrypted - TLS                     995
POP3 (receiving mail)     Encrypted - SSL                     995
POP3 (receiving mail)     Unencrypted                           110
IMAP (receiving mail)      Encrypted - TLS                     993
IMAP (receiving mail)      Encrypted - SSL                     993
IMAP (receiving mail)      Unencrypted                           143

Всичко е мейл услуга като гореспоменатите портове се изпозлват само между сървъри и мейл клиенти като Outlook и Thunderbird, това не важи за WEB клиенти: Gmail, Yahoo, abv.bg, mail.bg в който основно се изпозлва HTTPS където клиента се намира на сървъра а не на Desktop-а, но така или иначе играе същата роля, ползва IMAP но фоново. Цялата комуникация която виждаш горе като портове без проблем може да се блокира от MikroTik но HTTPS не можеш, защото ще спреш WEB. WEB атаки към мейл сървъри няма, но е възможна login word атака към входа на някой такъв, само, че тогава не е атака към мейл сървър.

а) DoS атака е когато определен компютър в Интернет изпраща пакети към друг с цел да му отнеме от ресурсите. Целта е пакетите да са толкова много или така подредени, че жертвата дори да не може да отговори. От там идва името - Отказ на услуга.
б) Изпращане на фалшиви мейли са пратки със несъществуващи мейл акаунти към мейл сървър. Атакуващия дори да няма потребителското име и паролата на нито един акаунт, той знае, че сървъра е длъжен да отговори. Това всъщност си е DoS атака на приложно ниво 7 от седемслойния мрежов модел на OSI.
в) SPAM е просто нежелана поща. Часовници Картие за 100лв, уголемяване на пениса, ужноафриканска вдовица със седем милиона долара иска помощ и много други. Тук основния момент е, че имаме потребител и парола, следователно тази атака може да стане и през WEB макар и това да се случва рядко защото много лесно се хваща и не е за предпочитане от лошите момчета в Интернет.

[stanstanyov]

На 29.09.2022 г. at 11:32, sasma83 написа:

Начинаещ съм, трябва да го видя как става или с код.

Явно си не начинаещ, а абсолютно неграмотен в областта мрежи, какво остава за Микротик. Само като се погледне на картинката ти, как си начаткал безразборно и произволно ЧУЖДИ публични мрежи в LAN-а си и му става ясно на човек. Прочети първо за мрежи, публични и частни IP-адреси, кои можеш да ползваш за вътрешна мрежа, какво е една мрежа, маска и пр. и почни всичко отначало. В момента имаш 10! отделни мрежи откъм LAN-интерфейса, като 7 от тях са на всичкото отгоре с публични (реални, както им викате просторечно) адреси, които принадлежат на най-различни компании по света. Мрежите с 10. и 172. си ги уцелил случайно вероятно, те стават, но едва ли целта ти е била да имаш множество различни мрежи във вътрешната си мрежа.

Оправи тая каша първо и чак тогава се захващай с филтри и други.

 

HINT: Започни с нещо като 192.168.1.0/24 - вътрешна мрежа и реди 192.168.1.1, 192.168.1.2, 192.168.1.3 и така нататък на устройствата в мрежата.

[sasma83]

Преди 22 часа, stanstanyov написа:

Явно си не начинаещ, а абсолютно неграмотен в областта мрежи, какво остава за Микротик. Само като се погледне на картинката ти, как си начаткал безразборно и произволно ЧУЖДИ публични мрежи в LAN-а си и му става ясно на човек. Прочети първо за мрежи, публични и частни IP-адреси, кои можеш да ползваш за вътрешна мрежа, какво е една мрежа, маска и пр. и почни всичко отначало. В момента имаш 10! отделни мрежи откъм LAN-интерфейса, като 7 от тях са на всичкото отгоре с публични (реални, както им викате просторечно) адреси, които принадлежат на най-различни компании по света. Мрежите с 10. и 172. си ги уцелил случайно вероятно, те стават, но едва ли целта ти е била да имаш множество различни мрежи във вътрешната си мрежа.

Оправи тая каша първо и чак тогава се захващай с филтри и други.

 

HINT: Започни с нещо като 192.168.1.0/24 - вътрешна мрежа и реди 192.168.1.1, 192.168.1.2, 192.168.1.3 и така нататък на устройствата в мрежата.

Захващам се, но това чудо си работеше без проблеми над 10 години вече. Почвам да коригирам нещата както сте описали.  

[111111]

Ако ползваш след NAT нещо различно от описаното в RFC1918 

за справка https://datatracker.ietf.org/doc/html/rfc1918
то нещата винаги се скапват.

 

TOOLS > TORCH 
и гледаш какво те лъже доставчика

[sasma83]

На 30.09.2022 г. at 1:14, samyil написа:

1. Започваме с това, че адресно простантсво 88.88.0.0/13 е на Telenor Business Solutions AS и е меко казано грешно да изпозлваш тази мрежа дори и за локалната ти домашна такава, защото още в зората на Интернет има заделени такива които не се рутират в Глобалната мрежа и те са:

192.168.0.0/16
172.16.0.0/12
10.0.0.0/8

2. Не само начинаещите но и такива който се наричат "администратори" правят една голяма глупост, два NAT-a един след друг. Тъй като операцията се нарича транслиране на адреси през всеки рутер който има NAT във входящия интерфейс приема един порт а през изходящия излиза от друг, когато това се случи два или три пъти подред някои услуги или не работят или се държат неадекватно. Решението в този случай е много просто. Разделяш локалната си мрежа на сегменти, пример:

ether1 WAN
ether2 192.168.1.1/24 твоята мрежа
ether3 192.168.2.1/24 мрежата на комшията като неговият рутер става прозрачно AP.

а) Така ще си спестиш проблемите с двата NAT-а. (торентите и стрийм услугите ще работят по добре)
б) Ти пак ще си имаш твоя мрежа и комшията негова, като дори можеш да направиш една друга да не се виждат.
в) Можеш да правиш определени рестикции към всеки един адрес, например да ограничиш скороста на определен компютър.
г) Можеш да правиш Port-forwarding към всеки сегмент само от този рутер, например 37777 към камерите на комшята и 38888 към твойте. 
д) няма да се чудищ зад рутера на комшията кой е "досера" а направо можеш да го посочиш.

3. Мейл услугата в Интернет не е един порт а збор от програми и протоколи. В исторически план това е така защото тя е първата услуга в Интернет и тъй като в глобалната мрежа трябва да има слоест строеж (всичко ново не трябва да спира старото) в резултат на което имаме:

Протокол   Транспорт   Сигурност                                 Порт
-----------------------------------------------------------
SMTP (sending mail)      Encrypted - TLS/STARTTLS  465
SMTP (sending mail)      Encrypted - SSL                     465
SMTP (sending mail)      Unencrypted                           25
POP3 (receiving mail)     Encrypted - TLS                     995
POP3 (receiving mail)     Encrypted - SSL                     995
POP3 (receiving mail)     Unencrypted                           110
IMAP (receiving mail)      Encrypted - TLS                     993
IMAP (receiving mail)      Encrypted - SSL                     993
IMAP (receiving mail)      Unencrypted                           143

Всичко е мейл услуга като гореспоменатите портове се изпозлват само между сървъри и мейл клиенти като Outlook и Thunderbird, това не важи за WEB клиенти: Gmail, Yahoo, abv.bg, mail.bg в който основно се изпозлва HTTPS където клиента се намира на сървъра а не на Desktop-а, но така или иначе играе същата роля, ползва IMAP но фоново. Цялата комуникация която виждаш горе като портове без проблем може да се блокира от MikroTik но HTTPS не можеш, защото ще спреш WEB. WEB атаки към мейл сървъри няма, но е възможна login word атака към входа на някой такъв, само, че тогава не е атака към мейл сървър.

а) DoS атака е когато определен компютър в Интернет изпраща пакети към друг с цел да му отнеме от ресурсите. Целта е пакетите да са толкова много или така подредени, че жертвата дори да не може да отговори. От там идва името - Отказ на услуга.
б) Изпращане на фалшиви мейли са пратки със несъществуващи мейл акаунти към мейл сървър. Атакуващия дори да няма потребителското име и паролата на нито един акаунт, той знае, че сървъра е длъжен да отговори. Това всъщност си е DoS атака на приложно ниво 7 от седемслойния мрежов модел на OSI.
в) SPAM е просто нежелана поща. Часовници Картие за 100лв, уголемяване на пениса, ужноафриканска вдовица със седем милиона долара иска помощ и много други. Тук основния момент е, че имаме потребител и парола, следователно тази атака може да стане и през WEB макар и това да се случва рядко защото много лесно се хваща и не е за предпочитане от лошите момчета в Интернет.

Намерих проблемното устройство, след като махнах рутера да не раздава IP адреси и да си получава от микротика IP адреси и точно разбрах кое устройство спами. Излезе, че е телефон Huawei ограничил съм го засега на 1к защото не знам как точно да го блокирам, ще преинсталираме телефона и мисля че ще е решен проблема. Благодаря ви за всичко че, описвахте всичко подробно. 

[sasma83]

Проблема е отстранен благодаря на всички за помощта, много неща научих в този тема не знаех, че може да е проблем да сложа безразборни IP адреси в локалната си мрежа и не само това де. 

Редактирано 5 Октомври, 2022 от sasma83

[sasma83]

На 24.09.2022 г. at 22:49, samyil написа:

Това е адрес листа за частни като можеш да си добавиш и публични адреси които ще имат достъп до рутера ти.

/ip firewall address-list
add address=192.168.0.0/16 list=accept
add address=172.16.0.0/12 list=accept
add address=10.0.0.0/8 list=accept

Това са стандартни правила за всеки рутер с добавен филтър за мейл който няма да допуска изходящ трафик от рутера ти и ще го логва за да можеш да видиш кой прави това.

/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input protocol=icmp
add action=drop chain=input src-address-list=!accept
add action=drop chain=forward dst-port=25,110,143,465,587,993,995 log=yes log-prefix=MAIL protocol=tcp
add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes
add action=accept chain=forward connection-state=established,related

 

Как да направя да мога да си вляза само от локалната мрежа, че така ме хакнаха и някои си сменяше настройките. С тези команди ме хакнаха иначе добре си показваше от кое ИП си си има мейл атаки. 

[sasma83]

преди 19 минути, sasma83 написа:

Как да направя да мога да си вляза само от локалната мрежа, че така ме хакнаха и някои си сменяше настройките. С тези команди ме хакнаха иначе добре си показваше от кое ИП си си има мейл атаки. 

Направих го с тази команда, но не съм добавил порт 22

add chain=input action=accept protocol=tcp src-address-list=AccessList in-interface-list=WAN dst-port=8291,22 log=no log-prefix=""