Trzepak.pl

Regulamin forum


Wypowiedzi muszą stosować się do zasad ogólnie przyjętej "netykiety" wynikającej z dokumentu RFC 1855, zamieszczonego pod tym adresem:
http://www.ietf.org/rfc/rfc1855.txt
Osoby wypowiadające się tu "zawodowo" proszone są o logowanie się swoim imieniem i nazwiskiem, a w stopce ich wypowiedzi wskazane jest przedstawienie danych adresowych łącznie z linkiem do strony głównej przedsiębiorstwa lub organizacji, którą reprezentują.
Umieszczanie informacji reklamowych w wypowiedzi i w stopce nie jest wskazane a moderatorzy mogą ingerować usuwając takie posty w sposób nie podlegający dyskusji.



Nowy temat  Odpowiedz w temacie
Przejdź na stronę Poprzednia 1 2
Autor Wiadomość
Post: wt, 25 lut 2014 23:46:16 
Odpowiedz z cytatem
Offline
Starszy czytelnik
Starszy czytelnik

Rejestracja: śr, 11 gru 2013 21:24:47
Posty: 158
colir pisze:
Jak się zabezpieczyć:
Kod:
/ip firewall filter add action=drop chain=input protocol=udp dst-port=53 in-interface=wlan1

taką regułkę w MT należy dodać aby zabezpieczyć nasz DNS, wlan1 to nasz port WAN w tym przypadku



A dla CPE na UBI w firewall też robicie dropa przy dns proxy?


Na górę
Post: śr, 26 lut 2014 8:48:45 
Odpowiedz z cytatem
Offline
Subskrybent
Subskrybent
Awatar użytkownika

Rejestracja: śr, 27 paź 2010 12:06:36
Posty: 368
Lokalizacja: sosnowiec
Qmpeltaty pisze:
To zgodnie z umowa i regulaminem dostana wypowiedzenie umowy (i kare).
Ale szkody już zostaną wykonane, zresztą to nie musi być abonent, to może być ktoś kto włamał się do jego routera, twojej sieci itp...

1 reguła na firewallu nie kosztuje dużo


Na górę
Post: sob, 28 cze 2014 15:39:11 
Odpowiedz z cytatem
Offline
Fanatyczny prenumerator
Fanatyczny prenumerator

Rejestracja: pt, 23 sty 2009 0:05:17
Posty: 440
A co myslicie by dropowac to na routerze glownym lub BGP?. Co w przypadku gdy mamy wszystko na IP publicznym ? Jak ktos ma pomysl ak wyciac wszystko od strony BGP prosze o info


Na górę
Post: pt, 04 lip 2014 13:04:25 
Odpowiedz z cytatem
Offline
Obserwator
Obserwator

Rejestracja: pn, 10 cze 2013 9:00:41
Posty: 35
cygar pisze:
A co myslicie by dropowac to na routerze glownym lub BGP?

A co wtedy z rDNS?


Na górę
Post: pt, 05 gru 2014 16:42:13 
Odpowiedz z cytatem
Offline
Moderator
Moderator
Awatar użytkownika

Rejestracja: czw, 18 lis 2010 9:00:53
Posty: 3076
Lokalizacja: Mazury
Uwaga na dnsy OpenDNS (208.67.222.222 i 208.67.220.220) wpisując test.mm.pl lub multimedia.pl jesteśmy kierowani raz na prawidłowy IP 89.228.4.102 raz na fałszywy IP 50.57.203.17

_________________
www.kazuko.pl --- Skrypty Do Robienia Kopii Zapasowej / Aktualizacji / Zmiany Ustawień UBNT oraz MT


Na górę
Post: wt, 16 sie 2016 14:37:10 
Odpowiedz z cytatem
Offline
Administrator
Administrator
Awatar użytkownika

Rejestracja: ndz, 28 sie 2005 18:08:11
Posty: 1791
Odswiezam temat - znow wykrylem kilka atakow na DNSy MT-kowe (z softem 6.35.x).

Bycmoze najlepiej bedzie wyciac juz na brzegu sieci (routerze brzegowym) zapytania DNS spoza naszej sieci.

_________________
Pozdrawiam,
Colir
--
Startupy.co - polskie forum o startupach


Na górę
Post: wt, 20 gru 2016 0:29:11 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 02 maja 2008 19:43:33
Posty: 4
Lokalizacja: Warszawa
Ja tak samo. Zmasowany atak z Azji na port 53/UDP, Mikrotik dostawał czkawki.


Na górę
Post: wt, 20 gru 2016 0:39:52 
Odpowiedz z cytatem
Offline
Mistrz pióra
Mistrz pióra
Awatar użytkownika

Rejestracja: pn, 12 sty 2009 1:52:04
Posty: 2125
odmrozili was ? te ataki sa tak normalnego jak papieros po kawie.
Poza tym co za roznica czy DNS jest na brzegu czy srodku sieci.
Jak ma ip to oberwie, zreszta nie tylko mt

_________________
... gdy pijemy pod banderą Morskich Opowieści


Na górę
Post: ndz, 25 gru 2016 11:29:21 
Odpowiedz z cytatem
Offline
Starszy czytelnik
Starszy czytelnik

Rejestracja: pt, 24 cze 2016 14:38:41
Posty: 163
Ja blokuję ruch do dns na brzegówkach

Pozdrawiam z Moto X Play


Na górę
Post: pt, 30 gru 2016 2:31:29 
Odpowiedz z cytatem
Offline
Młodszy czytelnik
Młodszy czytelnik
Awatar użytkownika

Rejestracja: śr, 22 sty 2014 22:46:32
Posty: 93
Elllo.

1. Na dzień dobry tniemy całkiem klasy Koreańskie Chińskie oraz Arabskie ;-) Codziennie koło 5 ściągają się z automatu updatey tych list na CRSy robiące za brzegówki.

2. DNS`y sieciowe których użytkuje gawiedź userowa odpytują 8 innych cach`y w tym central DNS`y a dalej ma "dropy" na zapytanie z poza lanu.

3. RevDnsy dopisane do RIPE stoją na zupełnie innych adresach i tną blackholingiem gnomy co chcą atakować. Nie robią za normalne dnsy.

4. Śpimy sobie i oglądamy logi ;-P.

P.S.
Poza zewnętrznym blackholingiem u operatorów mamy jeszcze skrypty wykrywające ddosy od/do naszej sieci na crsach coooooby tłumić w zarodku takie smrody. Głównie to wyłapuje DDoSy od nas do internetu .... poco sobie roboty nadawać ;-) ?

_________________
NOWANET.PL - Marcin Gontarz
gsm : 506 33 11 69 / gg : 3864459


Na górę
Post: ndz, 15 sty 2017 0:18:21 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik

Rejestracja: ndz, 19 lip 2009 10:41:45
Posty: 1003
MethOd pisze:
I znowu wraca temat DNS i fake requestów. Ostatnio ręcznie musiałem zblokować około 100 klas adresowych z których płynęło masa zapytań. Zastanawiam się jak to ogarnąć. Na CPE nie daję allow remote request ale zapytania i tak lecą. Nie jest to może strasznie uciążliwe ale jest i motylanoga.


zapytania zapytaniami, jesli DNS nie będzie odpowiadać odpuszczą sobie po 24/48h oczywiście po blokadzie


Na górę
Post: ndz, 15 sty 2017 11:43:24 
Odpowiedz z cytatem
Offline
Czytelnik
Czytelnik

Rejestracja: pn, 15 lut 2016 14:40:13
Posty: 125
Jeden z klientów miał DNS włączony i ruch 10 Mb non stop i mimo wyłączeniu allow remote requests ruch spadł ale dalej są dziesiątki połączeń jak na foto z różnych IP.

Jak się tego pozbyć bo jak dodam :

Kod:
add action=add-src-to-address-list address-list=DNSScanners address-list-timeout=1d chain=forward \
comment="DNS security" connection-limit=20,32 dst-port=53 in-interface=e1-WAN1 protocol=udp
add action=add-src-to-address-list address-list=DNSScanners address-list-timeout=1d chain=forward connection-limit=20,32 dst-port=53 in-interface=e1-WAN1 protocol=TCP


oraz

Kod:
add action=drop chain=forward comment=DNSScanners dst-port=53 protocol=udp src-address-list=DNSScanners
add action=drop chain=forward dst-address-list=DNSScanners dst-port=53 protocol=udp



To fajnie znajduję klienta ale blokuje jego DNS i net mu nie działa przez 24h


Jak dodać regułę by mogły tylko wybrane moje DNSy operatora działać i googlowe a reszta nie


Załączniki:
klt_dns.jpg
klt_dns.jpg [ 274.98 KiB | Przejrzano 2459 razy ]
Na górę
Post: pn, 16 sty 2017 22:22:28 
Odpowiedz z cytatem
Offline
trzepakowy szaleniec
trzepakowy szaleniec
Awatar użytkownika

Rejestracja: pn, 11 lut 2013 23:59:34
Posty: 3577
Lokalizacja: Szczecin
Przed regułkami dropowania dodaj accept na ten serwer/serwery DNS które chcesz mieć.

_________________
http://advseo.pl


Na górę
Post: wt, 17 sty 2017 13:25:07 
Odpowiedz z cytatem
Offline
Czytelnik
Czytelnik

Rejestracja: pn, 15 lut 2016 14:40:13
Posty: 125
Tylko te regułki znajdują zew. adres IP klient i ten adres dodają do zablokowanych = brak internetu przez 24h


Na górę
Post: wt, 17 sty 2017 15:20:01 
Odpowiedz z cytatem
Offline
trzepakowy szaleniec
trzepakowy szaleniec
Awatar użytkownika

Rejestracja: pn, 11 lut 2013 23:59:34
Posty: 3577
Lokalizacja: Szczecin
Przecież widzę, że wycinasz tylko port 53, a nie cały net dla klienta. Więc jak najpierw dasz żeby puszczało 53 dla wszystkich klientów i określonych serwerów to najpierw zadziała regułka, która jest pierwsza, przepuści dobry ruch DNS i nie zadziała ta, co potem wycina. No chyba, że masz jakieś dodatkowe regułki o których nie pisałeś.

_________________
http://advseo.pl


Na górę
Post: śr, 18 sty 2017 12:19:44 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik
Awatar użytkownika

Rejestracja: śr, 09 cze 2010 18:48:04
Posty: 1020
Lokalizacja: Suwałki
Po co blokować forward ? Ja blokuję input na moją klasę i działa bez zarzutu.

_________________
AS198408; BT2299-RIPE
"Mucha nie kuca......."

IRCNET: #mikrotik.pl


Na górę
Post: śr, 18 sty 2017 18:19:46 
Odpowiedz z cytatem
Offline
Subskrybent
Subskrybent
Awatar użytkownika

Rejestracja: pt, 27 sie 2010 18:56:31
Posty: 390
Lokalizacja: Żywiec, Bielsko, Kraków
Dajesz src address czy dst dla tego w input?

Wysłane z mojego EVA-L09

_________________
J. Wolfgang von Goethe

"Kto nie idzie do przodu, ten się cofa."


Na górę
Post: czw, 19 sty 2017 12:44:57 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik
Awatar użytkownika

Rejestracja: śr, 09 cze 2010 18:48:04
Posty: 1020
Lokalizacja: Suwałki
vitkovskyyy pisze:
Dajesz src address czy dst dla tego w input?

Wysłane z mojego EVA-L09


Nic nie daję. Regułka wygląda tak:

Kod:
chain=input action=drop protocol=udp in-interface=TWÓJ_INTERFEJS_WAN dst-port=53 log=no log-prefix=""


To wycina całkowicie próby połączenia na port 53 z zewnątrz sieci. Banalnie proste i skuteczne. Tylko ważna sprawa , trzeba taką regułkę dodawać nawet do vlan. Jak damy na fizyczny interfejs to i tak ataki przejdą przez vlan , i chyba nie muszę tłumaczyć dla czego.

_________________
AS198408; BT2299-RIPE
"Mucha nie kuca......."

IRCNET: #mikrotik.pl


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie
Przejdź na stronę Poprzednia 1 2


Kto jest online

Użytkownicy przeglądający to forum: gakusei i 13 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
Dzisiaj jest wt, 26 wrz 2017 5:50:26

Strefa czasowa UTC+02:00

Moderatorzy: Administratorzy, Moderatorzy

Nakarm glodne dziecko - wejdz na strone www.Pajacyk.pl


Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
SubSilver2 modified for Trzepak.pl by Colir
Polski pakiet językowy dostarcza phpBB.pl