http://mikrotik.moscow Новое в теме Странный трафик torch! LAN виден из WAN форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow] ru http://backend.userland.com/rss2 Thu, 21 May 2026 20:29:49 +0300 Странный трафик torch! LAN виден из WAN RouterOS в форуме RouterOS.
Здравствуйте! Результаты вы можете увидеть ниже.

UDP-порты 67 и 68  
Общие назначения:  
Порт 67 — Bootps  
Порт 68 — Bootpc  

Входящее сканирование  
Обычно этот трафик связан с нормальной работой DHCP и не является атакой на вашу сеть.  
DHCP (протокол динамической конфигурации узла) — это способ, с помощью которого ваш компьютер получает уникальный IP-адрес. Когда устройство подключается к сети, оно сначала должно запросить IP-адрес (если не используется статический IP). Для этого оно рассылает запрос DHCP-серверу: UDP 0.0.0.0:68 → 255.255.255.255:67. Поскольку запрашивающее устройство ещё не имеет IP-адреса (отсюда и запрос), в качестве исходного адреса используется 0.0.0.0. А поскольку устройство новое и не знает, где находится DHCP-сервер, запрос посылается на всю сеть (адрес 255.255.255.255).  

В некоторых сетях такие запросы могут отслеживаться вашим файерволом (в зависимости от конфигурации сети провайдера и настроек логирования маршрутизатора/файервола), или же ваш маршрутизатор/файервол регистрирует такой трафик между собой и DHCP-сервером провайдера в процессе получения или обновления WAN IP-адреса.  

Далее DHCP-сервер отвечает сообщением: UDP 192.168.1.1:67 → 255.255.255.255:68. Обычно это предложение IP-адреса (DHCP offer). Обратите внимание, что ответ также посылается по широковещательному адресу (255.255.255.255), потому что запросившее устройство пока не знает своего IP — он содержится в этом ответе.  

В передаваемых данных указаны IP-адрес и другая сетевая информация, необходимая устройству для подключения (время аренды адреса, маска подсети и т.д.).  

Снова повторим, что такие широковещательные пакеты могут регистрироваться или блокироваться файерволом в зависимости от конфигурации сети и логирования оборудования.  

Иногда можно увидеть такой обмен:  
UDP 192.168.1.101:67 → 192.168.1.1:68 — запрос,  
следом ответ UDP 192.168.1.1:68 → 192.168.1.101:67.  

Это, как правило, запросы на продление аренды IP-адреса, когда устройство уже имеет IP и просит продлить срок использования (lease), либо, если продление невозможно, получить новый IP от DHCP-сервера.  

Поскольку устройство уже знает, где находится DHCP-сервер, и имеет действующий IP-адрес, в таких запросах не используются адреса 0.0.0.0 и 255.255.255.255.  

Исходящее сканирование  
Большинство маршрутизаторов и файерволов не логируют такой трафик, но поскольку чаще всего роутер и есть локальный DHCP-сервер, можно увидеть логи обмена между роутером/файерволом и подключающимися устройствами, когда те получают IP-адреса в вашей сети.  

Обычно DHCP-сервер не располагается в зоне WAN за файерволом, поэтому в таких случаях рекомендуется проверить конфигурацию своей сети.
13.04.2018 01:29:00, Ishtiaque.]]> http://mikrotik.moscow/forum/forum57/87521-strannyy-trafik-torch_-lan-viden-iz-wan/message417802 http://mikrotik.moscow/forum/forum57/87521-strannyy-trafik-torch_-lan-viden-iz-wan/message417802 Fri, 13 Apr 2018 01:29:00 +0300 RouterOS Странный трафик torch! LAN виден из WAN RouterOS в форуме RouterOS.
Torch показывает IP-адреса на интерфейсе после применения NAT.
20.06.2015 16:26:00, horhay.]]> http://mikrotik.moscow/forum/forum57/87521-strannyy-trafik-torch_-lan-viden-iz-wan/message417801 http://mikrotik.moscow/forum/forum57/87521-strannyy-trafik-torch_-lan-viden-iz-wan/message417801 Sat, 20 Jun 2015 16:26:00 +0300 RouterOS Странный трафик torch! LAN виден из WAN RouterOS в форуме RouterOS.
Где у вас интерфейс WAN (интернет-соединение)? Может, если вы выложите “/ip firewall nat”, это поможет. Тут немножко запутанно с двумя наборами конфигураций. В следующий раз лучше создавайте отдельную тему. Извиняюсь перед инициатором этой темы — я хотел просто внести своё мнение, а не захватить разговор.

В любом случае, мой интерфейс WAN — это ether1-gateway, напрямую подключён к кабельному модему от моего провайдера. Конфигурация ip firewall NAT такая:

/ip firewall nat  
add action=masquerade chain=srcnat comment="default configuration" disabled=no out-interface=ether1-gateway  
add action=dst-nat chain=dstnat comment=RDP disabled=no dst-address=70.78.xxx.xxx dst-port=3389 protocol=tcp to-addresses=192.168.1.109 to-ports=3389  
add action=dst-nat chain=dstnat comment=Torrent disabled=no dst-address=70.78.xxx.xxx dst-port=62689 protocol=tcp to-addresses=192.168.1.109 to-ports=62689  
add action=dst-nat chain=dstnat comment=Pap2 disabled=no dst-address=70.78.xxx.xxx dst-port=5060 protocol=udp to-addresses=192.168.1.109 to-ports=5060  
add action=dst-nat chain=dstnat comment=Pap2tcp disabled=no dst-address=70.78.xxx.xxx dst-port=5060 protocol=tcp to-addresses=192.168.1.109 to-ports=5060  

[admin@MikroTik] /ip firewall nat>

Это для моей домашней сети. Думаю, если у меня проблемы на всех настройках, проще взять самую простую как пример.
15.12.2010 08:07:00, davederksen.]]> http://mikrotik.moscow/forum/forum57/87521-strannyy-trafik-torch_-lan-viden-iz-wan/message417800 http://mikrotik.moscow/forum/forum57/87521-strannyy-trafik-torch_-lan-viden-iz-wan/message417800 Wed, 15 Dec 2010 08:07:00 +0300 RouterOS Странный трафик torch! LAN виден из WAN RouterOS в форуме RouterOS.
Где у вас интерфейс wan (интернет-соединение)? Может, если вы опубликуете команду «/ip firewall nat», это поможет. Здесь немного путается из-за двух наборов настроек. В следующий раз будет лучше, если вы создадите отдельную тему.
15.12.2010 03:31:00, SurferTim.]]> http://mikrotik.moscow/forum/forum57/87521-strannyy-trafik-torch_-lan-viden-iz-wan/message417799 http://mikrotik.moscow/forum/forum57/87521-strannyy-trafik-torch_-lan-viden-iz-wan/message417799 Wed, 15 Dec 2010 03:31:00 +0300 RouterOS Странный трафик torch! LAN виден из WAN RouterOS в форуме RouterOS.
Привет, SurferTim, извини за задержку с ответом, тут немного в жизни суматоха случилась. В общем, я проверил у своего провайдера — они не используют этот диапазон IP-адресов в своей сети. Интересно, что через какое-то время у меня сгорел роутер. Я заменил его на routerboard 750G с ROS 4.5. Одновременно поменял внутренний диапазон IP с 10.25.200.x на 10.25.0.x. Теперь вижу трафик с адресов 10.25.0.x на WAN-порту нового роутера. Ещё поставил такой же роутер и ОС у себя дома, подключился через DHCP к другому провайдеру, и там тоже на WAN-порту лезут внутренние IP — http, bootps и bootpc (255.255.255.255). Не кажется ли тебе, что я постоянно где-то неправильно настраиваю и этот косяк переходит на все роутеры?
14.12.2010 19:43:00, davederksen.]]> http://mikrotik.moscow/forum/forum57/87521-strannyy-trafik-torch_-lan-viden-iz-wan/message417798 http://mikrotik.moscow/forum/forum57/87521-strannyy-trafik-torch_-lan-viden-iz-wan/message417798 Tue, 14 Dec 2010 19:43:00 +0300 RouterOS Странный трафик torch! LAN виден из WAN RouterOS в форуме RouterOS.
Привет! Сейчас у меня возникают странные проблемы, у нас настроено вот как: на RB750s стоит такое правило NAT:  
0   ;;; Network NAT  
chain=srcnat action=masquerade out-interface=Port 1 - WAN  

Когда мы запускаем torch на RB1100 eth1, видим такой трафик: диапазоны 192.168.1.x/24 и 10.1.1.x/24. По идее этот трафик должен маскироваться (NAT) на адреса 1.1.1.2 и 2.2.2.2.  

Если я подключаюсь за одним из RB750 и захожу в интернет, мой локальный IP правильно меняется на публичный IP. Но я никак не могу понять, почему RB1100 видит этот локальный трафик, который уже должен быть NAT-нут. Есть идеи? Спасибо!
12.11.2010 17:08:00, OfficeM.]]> http://mikrotik.moscow/forum/forum57/87521-strannyy-trafik-torch_-lan-viden-iz-wan/message417797 http://mikrotik.moscow/forum/forum57/87521-strannyy-trafik-torch_-lan-viden-iz-wan/message417797 Fri, 12 Nov 2010 17:08:00 +0300 RouterOS