Mikrotik - login failure via winbox z IP adresy bridge

[spacek5]

V logu MT se mi znenadání objevilo množství neúspěšných pokusů o login do winboxu z IP adresy mého vlastního bridge (viz obr.). Hledal jsem příčinu, postupně deaktivoval jednotlivé porty v tom bridgi, ale pokusy neustávají. V pravidlech firewallu mám login do winboxu (8291) povolen pouze na jeden address-list, ve kterém jsem původně měl i celou LAN (192.168.1.0/24). Tak jsem ji dal samostatně a na firewallu ji jako celek (zatím) blokuju. To však není řešení.
Pátral jsem na webu, ale na podobný problém jsem nenarazil. Není mi jasné, jak se může "můj vlastní bridge" pokoušet přihlašovat do winboxu.
Mohl by mě někdo navést správným směrem?
Díky.

[Reklama]

[danb]

udelejte si packet capture primo v mkt a pak do wiresharku. treba z toho neco vyctete

[leten]

RouterOS je aktualizovaný?

[spacek5]

RouterOS je aktualizovaný?

Ano (6.48.3). Nepokládal jsem to za nutné psát, považuju to za samozřejmost. Ještě jsem nenapsal typ, je to RB3011UiAS.

Postup podle danb bohužel asi nezvládnu, tak zdatný nejsem...

[Klupik]

RouterOS je aktualizovaný?

Ano (6.48.3). Nepokládal jsem to za nutné psát, považuju to za samozřejmost. Ještě jsem nenapsal typ, je to RB3011UiAS.

Postup podle danb bohužel asi nezvládnu, tak zdatný nejsem...

Podle návodu na YT si myslím že byste to zvládl.
Zkusil jste router restartovat ? Občas ten Winbox má nějaký bugy.

[Reklama]

[spacek5]

RouterOS je aktualizovaný?

Ano (6.48.3). Nepokládal jsem to za nutné psát, považuju to za samozřejmost. Ještě jsem nenapsal typ, je to RB3011UiAS.

Postup podle danb bohužel asi nezvládnu, tak zdatný nejsem...

Podle návodu na YT si myslím že byste to zvládl.
Zkusil jste router restartovat ? Občas ten Winbox má nějaký bugy.

Restartoval jsem ho naposled po update (cca před 41 dny), teďka znovu. Po cca 4 minutách provozu už registruju více než 40 pokusů z IP bridge (192.168.1.1) o přihlášení do winboxu (obr.)...

[ondra.becak]

Nebude problém že u toho pravidla na blokování WinBoxu chybá že DST-port je 8291?

[spacek5]

Nebude problém že u toho pravidla na blokování WinBoxu chybá že DST-port je 8291?

Pravidlo 19 přidá IP adresu na seznam (tam je DST port správně) a pravidlo 8 blokuje přístup z adres tohoto seznamu. Možná tam je zavádějící popis, ale myslím, že tak je to ok.

[ondra.becak]

já bych dal i k tomu pravidlu 8 ten DST-port 8291 - protože to blokuješ všechno z těch IP adres ze IP addr listu, takže blokuješ například i ICMP, DNS a pod. a to přece v LAN blokovat nechceš ne? Takže nevíš zda ti to zablokovalo DNS request a nebo ten winbox

[Klupik]

Ten firewall mi přijde nějak divně postavený, pro mě osobně nelogický.
V pravidle 8 shazujete vše a až v pravidle 19 si to přidáváte do adress listu ?
Pokud to má být tak jak to chápu já, tak byste měl tyto 2 pravidla přehodit v pořadí 

[Jan Blahout]

chtělo by to vypsat přes terminál

Kód: [Vybrat]

/ip firewall filter print ať se v tom dá něco hledat. Mimochodem, pokud je tam někde pravidlo na zahazování broadcastů tak si dovedu představit, že si je routerboard generuje sám v podobě očuchávání do Neighbor listu. Zkusil bych vypnout discovery

Kód: [Vybrat]

/ip neighbor discovery-settings set discover-interface-list=none

[Klupik]

Ještě otázka, připojujete se k routeru pomocí MAC nebo IP adresy ?

[Milan Cagap]

Ten firewall vypada dost divne. Kedze hlavna zasada je vzdy povolit, co sa ma povolit a zakazat vsetko ostane na konci firewallu jednoduchym input drop all pravidlom. Pokial neriesis nejaky limit rate pre ddos ci ping flood. Kde treba mat drop skor.

Este by som odporucal skontrolovat nastavenie bridge interfacu, ci tam nie je nastavena admin mac adresa.
Tato adresa sa vacsinou nakonuje z jedneho interfacu v bridge. A moze sposobovat aj loop paketov ...

[spacek5]

chtělo by to vypsat přes terminál

Kód: [Vybrat]

/ip firewall filter print ať se v tom dá něco hledat. Mimochodem, pokud je tam někde pravidlo na zahazování broadcastů tak si dovedu představit, že si je routerboard generuje sám v podobě očuchávání do Neighbor listu. Zkusil bych vypnout discovery

Kód: [Vybrat]

/ip neighbor discovery-settings set discover-interface-list=none

Připojuju se přes IP adresu.
Drop pravidla mám nahoře, protože jsem vycházel z toho, že "zlý" paket půjde dřív ven, např.:
1. "IP adresa" zaklepe na SSH port
2. když je na seznamu "nežádoucích", zahodím a je klid
3. když není na "VIP" seznamu, přidám ji do seznamu "nežádoucích"
-------------
Upravil jsem to "LAN blokovací" pravidlo na pouze tu jednu IP (bridge, 192.168.1.1) a trochu to zpřehlednil, výpis v příloze.
Jsem v tomhle samouk, takže vítám každou radu.

[Jan Blahout]

zkusil bych pod pravidlo "DROP RDP4 Port Scanners" přidat ještě jedno pravidlo

Kód: [Vybrat]

/ip firewall filter
add action=add-src-to-address-list address-list="WAN Port Scanners" address-list-timeout=5d chain=input comment="WAN IP WinBox Port Scanner to list" dst-port=8291 protocol=tcp in-interface=pppoe-LIBLIa následně ještě upravit pravidlo "LAN Port Scanners" kam dát in-interface="název bridge" a odebrat src-address=192.168.1.1 pro výpis do logu. Aby se ukázalo, z jakého směru se o přihlášení něco pokouší. Možná bych ještě zduplikoval "WAN Port Scanners" na interface, na které je zařazeno PPPoE volání.

V pravidlech nejsou ošetřené vstupy, kde se hlídá detekce scannerů (pokud to není záměr a nehlídá se jak wan tak lan zároveň).
Třeba v těch dropech by mělo být doplněno, že pokud má vyhovět něco pravidlu "DROP Bridge IP Winbox Port Scanner"
pak by bylo potřeba dát i in-interface=bridge.