+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

[РЕШЕНО] Слишком много подключений к файрволу!?! Да что за фигня?!

[РЕШЕНО] Слишком много подключений к файрволу!?! Да что за фигня?!, RouterOS

sebac

Guest

21.05.2007 03:35:00

Окей, во-первых, я новичок в Mikrotik. Использовал эту конфигурацию http://www.mikrotik.com/testdocs/ros/2.9/root/queue_content.php#6.54.6.3 и добавил: `/ip firewall nat add chain=srcnat src-address=192.168.2.0/24`
`/ip dns set allow-remote-requests=yes action=masquerade`
Пока что работает, но я смотрю `/ip firewall connection /ip firewall connection print`

Флаги: S - получен ответ, A - подтверждено

# PR.. SRC-ADDRESS DST-ADDRESS TCP-STATE TIMEOUT
0 udp 192.168.1.2:1978 255.255.255.255:20561 10s
1 udp 192.168.2.20:138 192.168.2.255:138 1s
2 udp 192.168.1.3:5678 255.255.255.255:5678 3s
3 udp 192.168.2.100:5678 255.255.255.255:5678 3s
4 tcp 192.168.2.20:2721 192.168.249.223:135 syn-sent 2s
5 tcp 192.168.2.20:2722 192.168.249.224:135 syn-sent 2s
6 tcp 192.168.2.20:2723 192.168.249.225:135 syn-sent 2s
7 tcp 192.168.2.20:2724 192.168.249.221:135 syn-sent 2s
8 tcp 192.168.2.20:2725 192.168.249.222:135 syn-sent 2s
9 tcp 192.168.2.20:2726 192.168.249.226:135 syn-sent 2s
10 tcp 192.168.2.20:2727 192.168.249.227:135 syn-sent 2s
11 tcp 192.168.2.20:2728 192.168.249.228:135 syn-sent 2s
12 tcp 192.168.2.20:2729 192.168.249.229:135 syn-sent 2s
13 tcp 192.168.2.20:2730 192.168.249.230:135 syn-sent 2s
14 tcp 192.168.2.20:2731 192.168.249.231:135 syn-sent 2s
15 tcp 192.168.2.20:2732 192.168.92.68:139 syn-sent 2s
16 tcp 192.168.2.20:2733 192.168.92.96:445 syn-sent 3s
17 tcp 192.168.2.20:2734 192.168.249.192:445 syn-sent 3s
18 tcp 192.168.2.20:2735 192.168.249.191:445 syn-sent 3s
19 tcp 192.168.2.20:2736 192.168.249.232:135 syn-sent 3s
20 tcp 192.168.2.20:2737 192.168.249.193:445 syn-sent 3s
21 tcp 192.168.2.20:2738 192.168.249.194:445 syn-sent 3s
22 tcp 192.168.2.20:2739 192.168.249.233:135 syn-sent 3s
23 tcp 192.168.2.20:2740 192.168.249.234:135 syn-sent 3s
24 tcp 192.168.2.20:2741 192.168.92.105:135 syn-sent 4s
25 tcp 192.168.2.20:2742 192.168.92.104:135 syn-sent 4s
26 tcp 192.168.2.20:2743 192.168.92.70:139 syn-sent 4s
27 tcp 192.168.2.20:2744 192.168.92.71:139 syn-sent 4s
28 tcp 192.168.2.20:2745 192.168.92.69:139 syn-sent 4s
29 tcp 192.168.2.20:2690 192.168.249.204:135 syn-sent 2s
30 tcp 192.168.2.20:2689 192.168.249.203:135 syn-sent 2s
31 tcp 192.168.2.20:2688 192.168.249.202:135 syn-sent 2s
32 tcp 192.168.2.20:2687 192.168.249.201:135 syn-sent 2s
33 tcp 192.168.2.20:2686 192.168.249.200:135 syn-sent 2s
34 tcp 192.168.2.20:2685 192.168.249.199:135 syn-sent 2s
35 tcp 192.168.2.20:2684 192.168.92.61:139 syn-sent 2s
36 tcp 192.168.2.20:2683 192.168.249.198:135 syn-sent 2s
37 tcp 192.168.2.20:2682 192.168.249.197:135 syn-sent 2s
38 tcp 192.168.2.20:2681 192.168.249.196:135 syn-sent 2s
39 tcp 192.168.2.20:2680 192.168.249.195:135 syn-sent 2s
40 tcp 192.168.2.20:2679 192.168.249.194:135 syn-sent 2s
41 tcp 192.168.2.20:2678 192.168.249.193:135 syn-sent 2s
42 tcp 192.168.2.20:2677 192.168.249.192:135 syn-sent 2s
43 tcp 192.168.2.20:2676 192.168.249.191:135 syn-sent 2s
44 tcp 192.168.2.20:2675 192.168.249.190:135 syn-sent 2s
45 tcp 192.168.2.20:2674 192.168.249.189:135 syn-sent 2s
46 tcp 192.168.2.20:2673 192.168.249.188:135 syn-sent 2s
47 tcp 192.168.2.20:2672 192.168.249.187:135 syn-sent 2s
48 tcp 192.168.2.20:2671 192.168.249.186:135 syn-sent 2s
49 tcp 192.168.2.20:2670 192.168.249.185:135 syn-sent 2s
50 tcp 192.168.2.20:2669 192.168.249.184:135 syn-sent 2s
-- [Q quit|D dump|down] Public (to ADSL router) is 192.168.1.1/24 and using DHCP client Local (to users) IP is 192.168.2.100/24 All users have ip 192.168.2.x , subnet 255.255.255.0, Default Gateway: 192.168.2.100, DNS: 192.168.2.100. Did i do something wrong maybe? Thanks

sten Guest	#2 0 21.05.2007 15:05:00 Цепь NAT настроена неправильно. / В брандмауэре IP добавьте цепь NAT: chain=src-nat, src-address=192.168.2.0/24, out-interface=ether1, action=masquerade. Измените "ether1" на ваш публичный интерфейс.

sebac

Guest

21.05.2007 19:40:00

Я тут совсем сплюну от этого… Да нет, это вообще не помогает! Интернет тормозит, как черепаха, и никто ничего не качает. Что бы ты сделал в такой ситуации? Или как ты настроил распределение/ограничение полосы пропускания? Эмм, у всех пользователей шлюз по умолчанию направлен на мой MT бокс в качестве шлюза… это нормально?

R1CH Guest	#4 0 21.05.2007 21:37:00 Пользователь 192.168.2.20 заражён вирусом/червём, который пытается распространяться с огромной скоростью, используя тысячи подключений.

sebac Guest	#5 0 21.05.2007 21:47:00 Ладно… скажу пользователям установить или обновить антивирус, и выложу прогресс.

sebac Guest	#6 0 22.05.2007 17:18:00 В общем, ни за что! Я пробовал подключить один пользователь с моего ноутбука... И мой ноутбук создает подключения! Просканировал систему AVG и NOD32, ничего не нашли!

sten Guest	#7 0 22.05.2007 18:09:00 Ну, прямо как червяк! Попробуй Avast! или что-то похожее. Или просто выключи ноутбук и дай другим пользователям выход в сеть. Просто из любопытства, какой у тебя роутер по железу?

sebac Guest	#8 0 22.05.2007 19:28:00 2 x 3Com 3C905C-TX отключены. 2 x TP-Link WLAN, чипсет ATHEROS. Это P2, 500 МГц, 256 МБ оперативной памяти…

GotNet Guest	#9 0 22.05.2007 20:39:00 Эти порты всё равно стоило бы заблокировать во входящих и пересылающих цепочках. Забавно "утопить в смоле" особенно плохих – заражённые ПК иногда вылетают.

sebac

Guest

#10

23.05.2007 07:32:00

Да, о боже, это было смешно… Я не пытался затормозить (я сделал простой дроп, пока была подключена лапа)… PUF! BSOD! Смешно! Я сделал вот это: /ip firewall filter add chain=input dst-port=6 protocol=tcp in-interface=Local action=drop Ммм, как правильно затормозить? Подскажите, пожалуйста… Настоящее решение — очистить все зараженные ПК (чем я и занимаюсь прямо сейчас). Червь — MSetus и еще несколько. Заметил, что благодаря вам я теперь кое-что знаю! Спасибо!

normis

Guest

#11

23.05.2007 08:15:00

Используй действие ‘tarpit’ вместо ‘drop’. В случае ‘drop’, злая машина будет пытаться установить новое соединение. В этом случае роутер будет отбрасывать тонны входящих подключений, и это замедлит его работу. Действие ‘tarpit’ захватывает и удерживает соединения; если у тебя мощный роутер, ты можешь нейтрализовать атакуника этим действием.

sebac Guest	#12 0 23.05.2007 10:05:00 Извини, не работает… когда подключаю ноут, число подключений прыгает до 800+.

cmit Guest	#13 0 23.05.2007 10:59:00 Ну, tarpit должен делать именно это: принимать и удерживать входящее соединение… С наилучшими пожеланиями, Christian Meis

sebac

Guest

#14

23.05.2007 21:43:00

Ммм ок… Приятно. В любом случае, я сказал своим пользователям скачать антивирус с локального FTP. Кстати, я решил это с помощью RemoveIT pro http://www.majorgeeks.com/download.php?det=5205 и оно просто огонь!!! Лучшая штука на свете, да ещё и из моей страны! Ура! В общем, исправил; MSetus, EraseME и ещё несколько вирусов/червей по сети… Сейчас подключен через Mikrotik. Несколько пользователей скачивают что-то, и я собираюсь попробовать поиграть в WoW с этой конфигурацией… Кстати, у всех пользователей шлюз по умолчанию направлен на MT-бокс. Вся трафик проходит через MT или? Огромное спасибо всем, пока что работает!

normis Guest	#15 0 24.05.2007 13:01:00 Если твои пользователи используют проводное подключение (не Wi-Fi) и подключены к коммутатору, то нет, они подключаются друг к другу напрямую.

sebac Guest	#16 0 24.05.2007 15:46:00 Ого, здорово! Спасибо! ВОТ ЭТО РЕШЕНО! Огромное спасибо всем! Вы сделали мою жизнь лучше.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры