Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: spacek5 24. 07. 2021, 22:35:47
-
V logu MT se mi znenadání objevilo množství neúspěšných pokusů o login do winboxu z IP adresy mého vlastního bridge (viz obr.). Hledal jsem příčinu, postupně deaktivoval jednotlivé porty v tom bridgi, ale pokusy neustávají. V pravidlech firewallu mám login do winboxu (8291) povolen pouze na jeden address-list, ve kterém jsem původně měl i celou LAN (192.168.1.0/24). Tak jsem ji dal samostatně a na firewallu ji jako celek (zatím) blokuju. To však není řešení.
Pátral jsem na webu, ale na podobný problém jsem nenarazil. Není mi jasné, jak se může "můj vlastní bridge" pokoušet přihlašovat do winboxu.
Mohl by mě někdo navést správným směrem?
Díky.
-
udelejte si packet capture primo v mkt a pak do wiresharku. treba z toho neco vyctete
-
RouterOS je aktualizovaný?
-
RouterOS je aktualizovaný?
Ano (6.48.3). Nepokládal jsem to za nutné psát, považuju to za samozřejmost. Ještě jsem nenapsal typ, je to RB3011UiAS.
Postup podle danb bohužel asi nezvládnu, tak zdatný nejsem...
-
RouterOS je aktualizovaný?
Ano (6.48.3). Nepokládal jsem to za nutné psát, považuju to za samozřejmost. Ještě jsem nenapsal typ, je to RB3011UiAS.
Postup podle danb bohužel asi nezvládnu, tak zdatný nejsem...
Podle návodu na YT si myslím že byste to zvládl.
Zkusil jste router restartovat ? Občas ten Winbox má nějaký bugy.
-
RouterOS je aktualizovaný?
Ano (6.48.3). Nepokládal jsem to za nutné psát, považuju to za samozřejmost. Ještě jsem nenapsal typ, je to RB3011UiAS.
Postup podle danb bohužel asi nezvládnu, tak zdatný nejsem...
Podle návodu na YT si myslím že byste to zvládl.
Zkusil jste router restartovat ? Občas ten Winbox má nějaký bugy.
Restartoval jsem ho naposled po update (cca před 41 dny), teďka znovu. Po cca 4 minutách provozu už registruju více než 40 pokusů z IP bridge (192.168.1.1) o přihlášení do winboxu (obr.)...
-
Nebude problém že u toho pravidla na blokování WinBoxu chybá že DST-port je 8291?
-
Nebude problém že u toho pravidla na blokování WinBoxu chybá že DST-port je 8291?
Pravidlo 19 přidá IP adresu na seznam (tam je DST port správně) a pravidlo 8 blokuje přístup z adres tohoto seznamu. Možná tam je zavádějící popis, ale myslím, že tak je to ok.
-
já bych dal i k tomu pravidlu 8 ten DST-port 8291 - protože to blokuješ všechno z těch IP adres ze IP addr listu, takže blokuješ například i ICMP, DNS a pod. a to přece v LAN blokovat nechceš ne? Takže nevíš zda ti to zablokovalo DNS request a nebo ten winbox
-
Ten firewall mi přijde nějak divně postavený, pro mě osobně nelogický.
V pravidle 8 shazujete vše a až v pravidle 19 si to přidáváte do adress listu ?
Pokud to má být tak jak to chápu já, tak byste měl tyto 2 pravidla přehodit v pořadí :)
-
chtělo by to vypsat přes terminál
/ip firewall filter print ať se v tom dá něco hledat. Mimochodem, pokud je tam někde pravidlo na zahazování broadcastů tak si dovedu představit, že si je routerboard generuje sám v podobě očuchávání do Neighbor listu. Zkusil bych vypnout discovery /ip neighbor discovery-settings set discover-interface-list=none
-
Ještě otázka, připojujete se k routeru pomocí MAC nebo IP adresy ?
-
Ten firewall vypada dost divne. Kedze hlavna zasada je vzdy povolit, co sa ma povolit a zakazat vsetko ostane na konci firewallu jednoduchym input drop all pravidlom. Pokial neriesis nejaky limit rate pre ddos ci ping flood. Kde treba mat drop skor.
Este by som odporucal skontrolovat nastavenie bridge interfacu, ci tam nie je nastavena admin mac adresa.
Tato adresa sa vacsinou nakonuje z jedneho interfacu v bridge. A moze sposobovat aj loop paketov ...
-
chtělo by to vypsat přes terminál /ip firewall filter print ať se v tom dá něco hledat. Mimochodem, pokud je tam někde pravidlo na zahazování broadcastů tak si dovedu představit, že si je routerboard generuje sám v podobě očuchávání do Neighbor listu. Zkusil bych vypnout discovery /ip neighbor discovery-settings set discover-interface-list=none
Připojuju se přes IP adresu.
Drop pravidla mám nahoře, protože jsem vycházel z toho, že "zlý" paket půjde dřív ven, např.:
1. "IP adresa" zaklepe na SSH port
2. když je na seznamu "nežádoucích", zahodím a je klid
3. když není na "VIP" seznamu, přidám ji do seznamu "nežádoucích"
-------------
Upravil jsem to "LAN blokovací" pravidlo na pouze tu jednu IP (bridge, 192.168.1.1) a trochu to zpřehlednil, výpis v příloze.
Jsem v tomhle samouk, takže vítám každou radu.
-
zkusil bych pod pravidlo "DROP RDP4 Port Scanners" přidat ještě jedno pravidlo
/ip firewall filter
add action=add-src-to-address-list address-list="WAN Port Scanners" address-list-timeout=5d chain=input comment="WAN IP WinBox Port Scanner to list" dst-port=8291 protocol=tcp in-interface=pppoe-LIBLIa následně ještě upravit pravidlo "LAN Port Scanners" kam dát in-interface="název bridge" a odebrat src-address=192.168.1.1 pro výpis do logu. Aby se ukázalo, z jakého směru se o přihlášení něco pokouší. Možná bych ještě zduplikoval "WAN Port Scanners" na interface, na které je zařazeno PPPoE volání.
V pravidlech nejsou ošetřené vstupy, kde se hlídá detekce scannerů (pokud to není záměr a nehlídá se jak wan tak lan zároveň).
Třeba v těch dropech by mělo být doplněno, že pokud má vyhovět něco pravidlu "DROP Bridge IP Winbox Port Scanner"
pak by bylo potřeba dát i in-interface=bridge.
-
v rámci problémů na síti se řídím pravidlem „Jakmile vyloučíte vše nemožné, všechno ostatní, co zbude, ať je to jakkoli nepravděpodobné, musí být pravda.“ :)
-
Dej sem ještě co máš nastaveno v natu
-
Dej sem ještě co máš nastaveno v natu
Bylo to v tom exportu
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=pppoe-LIBLI
add action=dst-nat chain=dstnat comment="WinBox ZSK-Wifi" dst-port=8292 protocol=tcp src-address-list=Allowed_admin to-addresses=192.168.1.15 to-ports=8291
add action=dst-nat chain=dstnat comment="RDP server" dst-port=3390 in-interface=pppoe-LIBLI protocol=tcp src-address-list=Allowed_admin to-addresses=192.168.1.253 to-ports=3389
add action=dst-nat chain=dstnat comment="SYNOLOGY MGMT for Allowed" dst-port=8001 in-interface=pppoe-LIBLI protocol=tcp src-address-list=Allowed_admin to-addresses=192.168.1.105 to-ports=5001
add action=dst-nat chain=dstnat comment=UrBackup disabled=yes dst-port=55414 in-interface=pppoe-LIBLI protocol=tcp src-address-list=Allowed_admin to-addresses=192.168.1.252 to-ports=55414
add action=dst-nat chain=dstnat comment="RDP PC-Honza" dst-port=3391 in-interface=pppoe-LIBLI protocol=tcp src-address-list=Allowed_admin to-addresses=192.168.1.2 to-ports=3389
-
Ten firewall vypada dost divne. Kedze hlavna zasada je vzdy povolit, co sa ma povolit a zakazat vsetko ostane na konci firewallu jednoduchym input drop all pravidlom. Pokial neriesis nejaky limit rate pre ddos ci ping flood. Kde treba mat drop skor.
Este by som odporucal skontrolovat nastavenie bridge interfacu, ci tam nie je nastavena admin mac adresa.
Tato adresa sa vacsinou nakonuje z jedneho interfacu v bridge. A moze sposobovat aj loop paketov ...
Opravdu je na interface "bridge" nastavená stejná Admin MAC address jako na interface "ether2-master" MAC address. Mám na tom bridgi tedy nastavit jinou?
-
Děkuju za všechny rady, postupně to zkouším a výsledek je tentýž.
MT jsem restartoval, všechny address-listy se mi hezky plní adresama tak, jak mají...
Ale log ukazuje zase login pokusy z 192.168.1.1...
-
zkusil bych pod pravidlo "DROP RDP4 Port Scanners" přidat ještě jedno pravidlo
/ip firewall filter
add action=add-src-to-address-list address-list="WAN Port Scanners" address-list-timeout=5d chain=input comment="WAN IP WinBox Port Scanner to list" dst-port=8291 protocol=tcp in-interface=pppoe-LIBLIa následně ještě upravit pravidlo "LAN Port Scanners" kam dát in-interface="název bridge" a odebrat src-address=192.168.1.1 pro výpis do logu. Aby se ukázalo, z jakého směru se o přihlášení něco pokouší. Možná bych ještě zduplikoval "WAN Port Scanners" na interface, na které je zařazeno PPPoE volání.
Když jsem vyhodil 192.168.1.1 ze src-address a zadal do in-interface ten můj bridge, tak se address-list vůbec neplnil a v logu se hromadily errory failedauth (příloha v předch. příspěvku). Musel jsem to vrátit zatím zpět.
-
Ten firewall vypada dost divne. Kedze hlavna zasada je vzdy povolit, co sa ma povolit a zakazat vsetko ostane na konci firewallu jednoduchym input drop all pravidlom. Pokial neriesis nejaky limit rate pre ddos ci ping flood. Kde treba mat drop skor.
Este by som odporucal skontrolovat nastavenie bridge interfacu, ci tam nie je nastavena admin mac adresa.
Tato adresa sa vacsinou nakonuje z jedneho interfacu v bridge. A moze sposobovat aj loop paketov ...
Opravdu je na interface "bridge" nastavená stejná Admin MAC address jako na interface "ether2-master" MAC address. Mám na tom bridgi tedy nastavit jinou?
Urcie ano. Na bridge treba vypnut admin mac address a zmenit ju na dalsiu volnu, ako maju eth porty mikrotku.
U mna presne toto nastavenie sposobovalo, ze mi spanning tree hlasil, ze mu prichadza rovanky paket z bridge na bridge. Cim docasne blokovalo interface, kde bolo pripojene AP, ktore chvilu slo a chvilu nie.
Po vypnuti admin mac adresy a zmene mac na bridge, vseko funguje ako ma a uz dane chybove hlasky o loop-e paketov na bridge nevidim.