Témata

1

Sítě / Mikrotik - Winbox traffic indicator

« kdy: 30. 03. 2022, 05:21:05 »

Mám dotaz, co ve Winboxu indikuje ten malý zelený bargraf (teploměr) vpravo nahoře? Já jsem žil v domnění, že to je zatížení CPU, jenomže tomu tak není. V dokumentaci je pouze: "Winbox traffic indicator"... co to je?
Všiml jsem si, že to lítá od nuly až do plného maxima...přitom zatížení CPU mám cca 1 - 15 %, paměť ze 2/3 prázdnou... a nějaké strašné objemy dat přes Mikrotik netahám...  Přemýšlím, jestli to může souviset s poměrně velkým dynamickým blacklistem, kde je permanentně v address listu ve firewallu asi 1300-1500 adres... ale to by spíš vytěžovalo CPU, kdyby to routeru vadilo, ne?
Děkuji

2

Sítě / MikroTik: nastavení limitu pro ICMP

« kdy: 05. 02. 2022, 18:22:40 »

Zdravím, prosím poradí mi někdo, jak efektivně (nejlépe v jednom pravidle) nastavit maximální limit pro PINGy (ICMP pakety) na vstupu?

Nejlépe akceptovat pingnutí třeba jenom jednou za minutu a další pakety / bity neakceptovat. Prostě ochrana před zahlcením PINGy na veřejné adrese...

Já už fakt nevím... zkoušel jsem půl dne všechno možné v limit, connection limit, dst limit... asi dostatečně nechápu logiku tvůrce té limit logiky Mikrotiku:-) Ať tam nastavím cokoliv, tak buď to funguje nějak úplně blbě, nebo to nefunguje vůbec.

Díky moc.

3

Sítě / Mikrotik - jaké porty povolit ve firewallu

« kdy: 22. 01. 2022, 14:08:44 »

Dobrý den,
Mám veřejnou IP, která je poskytovatelem nasměrovaná na můj Mikrotik. Používám to pro přístup zvenku k určitým zařízením a službám, které běží na různých portech v rámci vnitřní LAN. Na routeru pak je přesměrování a NAT.
Přemýšlím o tom, jak zatočit (opravdu účinně) se všemi skenovači, zkoušeči hesel a dalšími šmejdy, co mi tam neustále dorážejí. Takové ty návody na různé chytré blacklisty, co jsou na internetu na port scan, syn flood atd. úplně dokonale nefungují, vždycky je potřeba tam nastavit nějaký limit počtu připojení, času atd. a i přes to vždycky něco projde. Povolení přístupu z jedné WAN, to také moc neřeší, zvlášť když chci přistupovat z více míst, nebo např. i přes data od mobilního operátora, který IP pořád mění.
Proto přemýšlím, jak všechny ty polofunkční pravidla nahradit jedním a opravdu rázným. Porty na které se potřebuji připojovat jsou až někde v rozsahu 26xxx tedy hodně vysoké. Říkám si, že bych udělal pravidlo s negací (!) těchto portů a všechno ostatní by se hodilo do blacklistu, pod to hned pravidlo drop z toho blacklistu a stejný drop i do RAW tabulky.  Uvažuji tak, že nějaký šmejd zkusí jeden (jakýkoliv) port mimo ty definované, hned ho to zapíše na blacklist, pravidlo pod tím to hned z toho blaclistu dropne a pokud by si nedal pokoj a zkusil jiný port, tak ho to z blaclistu, kde už je zapsán zabije hned v té RAW a ani se nedostane do stromečku s pravidly.
Na blacklistu by byl třeba tři dny.... více asi nemá cenu i s ohledem na přeplnění toho blacklistu.
Mělo by to zlikvidovat všechno a všechny útoky, jakmile to jednou zkusí, tak konec.... jedině, že by se trefil zrovna hned napoprvé do toho definovaného NATovaného portu. To je ale velká nepravděpodobnost. Musel by hned napoprvé zkusit třeba 26438, ale jakmile by zkusil třeba druhý o jednotku vedle, stejně by ho to zabilo.
Jediné riziko pro mě, že se uklepnu a sám se zkusím připojit na špatný port, potom by to hodilo na blacklist i mě...ale toto riziko jsem ochotný podstoupit:-)
Já sám si myslím, že toto by mohlo být opravdu účinné a nahradilo by to všechna ostatní pravidla a všechny ty návody s limity vč. např. defaultního pravidla Mikrotiku, kde s příznakem input dropoval pod estabilished všechno co není LAN.
Otázka je, jestli mohu zakázat opravdu všechny porty? Nejspíše by se to pravidlo pak muselo dát až pod estabilished, related... a pokud by se dalo nahoru, jaké porty bych tam měl ještě povolit? 123 UDP na čas? a co nějaké aktualizace Mikrotiku? Abych mu je tím také nezaříznul? Zvenku na administraci Mikrotiku chodit nemusím. To dělám třeba přes vzdálenou plochu z místní LAN.
Děkuji moc

4

Sítě / Mikrotik a SYN flood útoky

« kdy: 05. 07. 2021, 18:32:30 »

Dobrý den,
na oficiální wiki Mikrotiku jsou tři jednoduchá pravidla jako prevence SYN flood útoků:

Kód: [Vybrat]

/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new \
action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new \
action=accept comment="" disabled=no
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new \
action=drop comment="" disabled=no

První pravidlo nové forward syn pakety přehodí na druhé pravidlo, kde je limit / s, pokud vyhoví, tak accept, pokud nevyhoví, tak třetí pravidlo dropuje.
Vtipné je, že se to všude na internetu v návodech kopíruje i ze zakázaným prvním pravidlem a už bez původní poznámky, že se má místo 400 nastavit požadovaný limit potom první pravidlo povolit... jinak to nefunguje:-)
Zkusil jsem to použít a dát dopředu firewallu.

Hlavou mi ale vrtá to druhé pravidlo, které pakety pustí a už nejdou dalším zbytkem firewallu pod těmito třemi řádky. Narazil jsem na článek nějakého Rusa, kde právě toto také řeší. Místo forward dává input u prvního pravidla a místo accept dává return. Že prý se to tak vrátí k dalším pravidlům a puštěné pakety jdou ve firewallu dál. Podle něho je to prý důležité. Já si právě nejsem moc jistý, jestli to ten Rus dělá správně. Mám strach, že return to zacykluje v nějaké smyčce a input se mi moc nechce dávat, protože Mikrotik má už v defaultu pravidlo, že to dropuje všechno co přichází mimo LAN (tedy z WAN).... tudíž to dropuje třeba i požadavky na DNS zvenku a už není potřeba dávat port 53 drop atd...
Pokud to chápu správně, tak tato původní pravidla z wiki s forward fungují jenom na provoz z LAN do WAN (což ani nepotřebuji) a v případě z WAN do LAN to funguje jenom u přesměrovaných portů v NAT. Myslím si, že pokud příjdou "neznámé a špatné" pakety zvenku jako input, tak tato 3 pravidla na ně nefungují (není kam je přesměrovat) a jsou stejně dále ve firewallu zahozeny (viz drop všeho co není z LAN).

Uvažuji tak správně? Nemůže to druhé pravidlo s accept být nějakým ohrožením, když zmíněné pakety pustí a už neprocházejí dalším firewallem? Chápu, že při input by to byl velký problém... ale při forward? Dá se to ještě nějak jinak a lépe ochránit? Budu rád za všechny názory. A má to vůbec nějaký smysl? Beru to hlavně jako ochranu přesměrovaných portů. Mikrotik je na veřejné adrese. Používám jen IPV4. Balík IPV6 není ani nainstalován.
Děkuji

5

Sítě / Routerboard 750r2 "blikání" Firewall Address List

« kdy: 23. 04. 2021, 12:48:22 »

Dobrý den,
chtěl bych poprosit o radu znalce Mikrotiků, co znamená, když položky v address list ve firewallu "problikávají"? Resp. na cca 0,3 s se místo položek přidaných např. 22.4 zobrazí adresy přidané 11.4 atd. Takto problikává celý list až dolu. Zkoušel jsem googlovat v angličtině a nic jsem nenašel. Začalo to dělat po přidání asi 250. položky. Přidání dalších položek se to ale nijak nebrání, tak snad počet adres není ničím omezen??

Router je na remote místě a je za ním různá radioamaterská SDR a jiná technika. Přístup přes veřejnou IP. Na některé porty a zařízení se chci dostat z celého internetu na většinu portů ale jenom ze známých WAN IP adres. Proto mám nadefinovaný whitelist (tam jsou známé adresy ze kterých přistupuji na "chráněné porty" a do administrace routeru) a blacklist (do něj sypu škodlivé adresy-viz např. kontrola na abuseipdb, které se pokoušely podle logu připojit k těm "nechráněným" portům). Právě blacklist se docela dost plní...

Děkuji za nápady