+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Отправляй письмо, когда количество пакетов в секунду от IP превышает 1000.

Отправляй письмо, когда количество пакетов в секунду от IP превышает 1000., RouterOS

mp3turbo2

Guest

12.12.2004 10:31:00

Привет всем, ломаю голову… Причина: вирусы. Многие наши клиенты заразились Popupblocker.exe и realplay.exe и всякой подобной ерундой. Обычно трафик выглядит так: 250 пакетов в секунду, 2 Мбит/с. Когда зараженный клиент проходит, очень часто становится 6000 пакетов в секунду. Поскольку эти зараженные ПК не включаются одновременно, мы устраняем их по одному, и это очень отнимает время – кто-то должен периодически, несколько раз в день, смотреть на монитор трафика и так далее. Возможно ли создать скрипт, который будет отправлять оповещение, когда трафик превышает 2000 пакетов в секунду? Спасибо, mp3turbo.

Eugene

Guest

13.12.2004 07:52:00

:global interval;
:global threshold;
:set interval 10;
:set threshold 2000;

/ip firewall mangle add comment="script1" place-before=0

/system script add name="script1-virus-spotter" source={
:if ([/ip firewall mangle get [/ip firewall mangle find comment="script1] packets] / $interval > $threshold) do={
/tool e-mail send \
to=example@example.com \
subject=("Трафик через роутер превысил " . $threshold . " пакетов/с")
/ip firewall mangle reset-counters;
}
}

/system scheduler add name=virus-spotter interval=$interval on-event=script1-virus-spotter

Редактировано: Этот скрипт уведомляет, когда соотношение пакетов/с превышает порог/интервал, или 200 пакетов/с (2000 пакетов за 10 с) в данном примере. Чтобы отслеживать отдельные IP-адреса, добавьте конкретные правила mangle и :foreach. Евгений

djdodo Guest	#3 0 03.07.2005 12:54:00 Привет, мне нужно добавить все скрипты вручную, а в логе пишет: System-Error: Ошибка отправки e-mail: аномальное завершение (таймаут) Письмо не отправлено. Можешь помочь?

_ASM Guest	#4 0 03.07.2005 16:06:00 Добавьте ‘server=xxx.yyy.zzz.www’ в /tool e-mail.

djdodo Guest	#5 0 04.07.2005 06:45:00 Всё в порядке, наш SMTP уже добавлен…

djdodo Guest	#6 0 04.07.2005 08:41:00 Но не работает…

cmit Guest	#7 0 04.07.2005 08:59:00 Не блокируют ли правила файрвола SMTP-трафик с вашего MikroTik к вашему SMTP-серверу?

djdodo Guest	#8 0 04.07.2005 11:51:00 Привет, SMTP-трафик не заблокирован, я протестировал наши 2 SMTP-сервера, и от этого MK роутера не работает…

cmit Guest	#9 0 04.07.2005 12:55:00 Ты можешь подключиться к порту 25 на твоём SMTP-сервере через MikroTik роутер по telnet?

djdodo

Guest

#10

04.07.2005 13:07:00

Из роутеров MK наше SMTP по telnet 25 недоступен, но с любого ПК, находящегося за этим роутером MK, telnet 25 к нашему SMTP доступен… Я не знаю, почему это не работает и почему telnet не работает… Например, telnet к любому роутеру MK работает.

djdodo

Guest

#11

04.07.2005 13:08:00

[admin@igw aba] system> telnet 81.2.209.93 System-Error: Ошибка отправки электронной почты: ненормальное завершение (таймаут) [admin@igw aba] system> telnet 81.2.209.93 25 Trying 81.2.209.93… telnet: Не удалось подключиться к удаленному хосту: Время ожидания истекло. Добро пожаловать! System-Error: Ошибка отправки электронной почты: ненормальное завершение (таймаут) System-Error: Ошибка отправки электронной почты: ненормальное завершение (таймаут) System-Error: Ошибка отправки электронной почты: ненормальное завершение (таймаут) System-Error: Ошибка отправки электронной почты: ненормальное завершение (таймаут) System-Error: Ошибка отправки электронной почты: ненормальное завершение (таймаут) System-Error: Ошибка отправки электронной почты: ненормальное завершение (таймаут) System-Error: Ошибка отправки электронной почты: ненормальное завершение (таймаут) System-Error: Ошибка отправки электронной почты: ненормальное завершение (таймаут) System-Error: Ошибка отправки электронной почты: ненормальное завершение (таймаут) [admin@igw aba] system> System-Error: Ошибка отправки электронной почты: ненормальное завершение (таймаут) [admin@igw aba] system>

cmit

Guest

#12

04.07.2005 13:10:00

Есть много мест, где можно поискать причину, почему SMTP не проходит до твоего SMTP-сервера. Вот несколько подсказок: фаервол на MikroTik: стоят ли исходящие фильтры? принимает ли SMTP-сервер подключения с IP-адреса твоего MikroTik? можешь ли ты пропинговать свой SMTP-сервер с MikroTik (чтобы проверить, правильно ли настроен маршрут)?

djdodo Guest	#13 0 04.07.2005 13:22:00 Да, я понимаю… 1. Фильтры сейчас отключены. 2. Да, принимаю. 3. Да, пинг, хочешь зайти ко мне на роутер MK по SSH?

djdodo Guest	#14 0 04.07.2005 13:27:00 Ну вот, все фильтры отключены, и отправка почты с роутера MK работает, но есть проблема со скриптом проверки вирусов и с e-backup.

djdodo Guest	#15 0 04.07.2005 13:32:00 Привет! Если мы уже отправляем письма через наши MK роутеры, то теперь бы хотелось иметь скрипт для обнаружения зараженных ПК. Как это сделать?

djdodo

Guest

#16

04.07.2005 13:40:00

Идеальное решение уже здесь: - маршрутизатор MK определяет заражённый ПК по большему количеству отправленных пакетов или портов.
- отправляет письмо администратору с IP-адресами заражённых клиентов.
- отключает клиентов и перенаправляет весь трафик заражённых клиентов, например, на веб-страницу с предупреждением. Возможно ли это?

bax

Guest

#17

06.07.2005 15:43:00

У меня тоже ошибки: script error: invalid item number. Это нормально...? Когда вообще будет нет зараженных ПК? И еще, почему Mikrotik нет какого-то централизованного места для этих полезных скриптов для скачивания в формате .rsc...? Или кто-нибудь знает какой-нибудь URL?

gianluca

Guest

#18

23.09.2005 18:36:00

Есть ли финальная версия скрипта, который ищет зараженные IP и что-то с ними делает? На мой взгляд, лучшее действие – заблокировать доступ в интернет и, если возможно, перенаправить их на локальную страницу, которая сообщает о заражении. Спасибо, Gianluca.

bogdan_mare Guest	#19 0 30.09.2005 17:54:00 Джанлука, думаю, это можно сделать в версии 2.9 с помощью всплывающей рекламой. Я тоже об этом думал. Можно изменить вышеуказанный код так, чтобы он запускал скрипт, который отбрасывает пакеты с подозрительного IP и показывает сообщение, чтобы очистить компьютер. Можно также настроить блокировку на временную, скажем, на 4 часа. Я еще не реализовал это, но постараюсь скоро, я на грани перенастройки аппаратной части моего роутера. Я не очень опытен в написании скриптов, так что если кто-то знает, можно ли это сделать или нет, пожалуйста, поделитесь информацией. javascript:emoticon(‘:D’) Очень рад! За здоровье, Раду.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры