[研究所] MikroTik RouterOS 學習 (持續更新) (第200頁)

gfx
個人積分：1603分
文章編號：50178194

1603分

1991樓

2014-05-16 21:32

albertchung wrote:
http://klseet.com/index.php?option=com_content&view=article&id=43&Itemid=40
PS:
1.firewall 內容是啥，不懂
2.Qos 怎管的，不懂
3. 只知道蠻好用的

第一次看到您的這些資源,得好好研究...

1.我個人的firewall filter
firewall filter白名單

2.derliang前輩的qos教學:
[分享] 實作 RouterOS 的 HTB

3.ROS比您想像中還棒,pctine大有匯集許多整理:
[研究所] MikroTik RouterOS 學習

JQJQ

JQJQ
個人積分：923分
文章編號：50184236

923分

1992樓

2014-05-17 11:11

chief51688 wrote:
感謝各位大大的幫忙,...(恕刪)

....

封掉區段其 IP 當然多，但我想問的是，那些 IP 有攻擊你 ?

gfx

gfx
個人積分：1603分
文章編號：50184994

1603分

1993樓

2014-05-17 12:21

pctine大,挖您過去qos舊文,想請教:

wwwnew2大提smiple queue的見解
http://www.mobile01.com/topicdetail.php?f=110&t=3269263&p=1#42635312
wwwnew2大將chain=prerouting ,也就是從nat進入的連線全標記起來 ,後做smiple queue

而您的指正:
http://www.mobile01.com/topicdetail.php?f=110&t=3269263&p=2#42674836

而我的問題是在simple-queue的功能 ,
General/Advanced頁面都有分Target Upload 與Target Download兩種速限.

因wwwnew2大他做的是chain=prerouting ,
標記的是從外面進入ROS的封包,所以是在Target Upload做控制嗎?

那Target Download要做甚,放任不管?

假如今天在Mangle標記的是chain=postrouting ,標記從ROS連出的封包
一樣也是從Target Upload做控制嗎? 那Target Download要怎

chief51688

chief51688
個人積分：710分
文章編號：50187143

710分

1994樓

2014-05-17 15:54

JQJQ wrote:
....封掉區段其 ...(恕刪)

攻擊的ip一共有7萬9千多個,附上print file=文件名儲存address-list的文件

附加壓縮檔: 201405/mobile01-c30801493082d0d538f4b5149fe26654.zip

pctine

pctine
個人積分：5084分
文章編號：50187522

5084分

樓主

2014-05-17 16:36

chief51688 wrote:
攻擊的ip一共有7萬...(恕刪)

好奇的問一下, 大大使用的 firewall rule 指的是 #1958 樓貼的嗎?

FB: Pctine

JQJQ

JQJQ
個人積分：923分
文章編號：50187680

923分

1996樓

2014-05-17 16:53

gfx wrote:
pctine大,挖您...(恕刪)

回一下，我先前玩的也是類似狀況。
該怎麼解釋，解釋不好請多包涵，寫錯了也請多包涵
記得某方面只能管理進來，針對來源、目標設定的不同，接收位置也不同，
因此 Pre 雖然事前標誌，但後續處理也可以當上傳來管理，這部分只能在
QoS 指定來源或目標來處理。白話說，反正全部都標註後，都可在 QoS
做處理，只不過某些功能會喪失，既是路由器也是交換器，交換器的功能應
該會沒有用，因為來源及目標都被指定了，硬是使用連區網也被限制(除非排除IP)。

別像我一樣，玩到後來壞了一鍋，又走回原路。

chief51688 wrote:
攻擊的ip一共有7萬...(恕刪)

您的那些設定不是被襲擊

只是把特定區段所連接 IP ，全部丟往清單上，然後把清單給封了，
無效封包也丟清單。

忽然間看到 p2p 的隔離清單，封掉整區段

chief51688

chief51688
個人積分：710分
文章編號：50188410

710分

1997樓

2014-05-17 18:12

pctine wrote:
好奇的問一下, 大大...(恕刪)

不是.那段規則封不到任何ip,覺得奇怪上來詢問,所幸得到大大的回答.
才知道重點在input與forward,我只有用chrome開網頁與看影片除了80,443,8080不需要其他的port
input所有連入的ip全部加到addresslist
forward 連入tcp只允許己建立連線來源port為80,443,8080的連線,其餘全放到addresslist
udp只允許opendns來源port為53,443的連線,其餘全放到addresslist
防止掃埠.tcp udp 目的port為0-1024全放到addresslist
new與invalid封包全放到addresslist
ICMP全放到addresslist
因為之前PC常常發生一些怪現像,電腦都是先dd填0後,再重灌windows系列能裝的防毒跟防火牆都裝,還是沒用

用ubuntu 12.04 LIVE USB ,pc是直接連p874,pppoe撥接,wireshark抓包,iptables擋不住的封包,
一開始是可以看到一次都來2個icmp封包(圖1),封掉ip後,變成udp連入53port(圖2),手動封udp 連入的ip之後,第三張圖開始變成一堆ip試圖連入本機53port(圖3),只要不封ip電腦就會變怪怪的會突然不連上網,會自動重開機,CPU使用率升高,連用GOOLE搜尋也要輸入圖片密碼,這是什麼原理我也不知道.

5/17日早上剛重灌好的windows8.1,pppoe突然不能連INTERNET,連線速度變成1G,RB450明明只設定100M,而且預設閘道也變成空白,重開PC與RB450都沒用,最後猜想是連線速率的問題,重開RB450先讓pc連上,再接上P874就正常的100M,5/16日晚上另一台WIN7 PC也是突然不能上網同樣情形,估計是某種病毒.

圖1:

圖2:

圖3:

JQJQ

JQJQ
個人積分：923分
文章編號：50188860

923分

1998樓

2014-05-17 19:05

chief51688 wrote:
不是.那段規則封不到...(恕刪)

使用 pppoe 極短時間內出問題，唯一解答就是中毒
試著用 Malwarebytes Anti-Malware 掃掃看

其次，實際駭客封埠沒啥用，埠只是一個口，因此只要知道哪個埠有開放都能進入，
難怪你封了一堆，到頭來還是沒用。

pctine

pctine
個人積分：5084分
文章編號：50190767

5084分

樓主

2014-05-17 22:13

gfx wrote:
pctine大,挖您過去qos舊文,想請教:...(恕刪)

GFX 兄的段數太高了, 等小弟修行完再看看能不能理解你所提的問題.

FB: Pctine

pctine

pctine
個人積分：5084分
文章編號：50190912

5084分

樓主

2014-05-17 22:25

chief51688 wrote:
不是.那段規則封不到任何ip,覺得奇怪上來詢問,所幸得到大大的回答.
才知道重點在input與forward,我只有用chrome開網頁與看影片除了80,443,8080不需要其他的port
input所有連入的ip全部加到addresslist
forward 連入tcp只允許己建立連線來源port為80,443,8080的連線,其餘全放到addresslist...(恕刪)

其實 chief 兄所提的諸多問題及 firewall rule 小弟看的有點霧沙沙.

input & output chain 都是指來源由 router 本身發出, 或是目的地是 router 本身.

至於你提到 "forward chain 只允許已建立連線來源 port 為 80,443,8080 的連線", 但你用 browser 對外連線時, 實際上這些都是 destination port 才對.

小弟相信很多人為了讓 RouterOS 能夠更安全, 所以在 firewall rule 上面做了相當多的設定, 但小弟還是建議先了解每條 firewall rule 它真正的用意, 再把這些 rule 加進來, 至於你所提每天來自上萬個不同 IP 的攻擊, 不確定實際情況是否真的如此.

現在很多的 firewall or IP 分享器都是 stateful inspection firewall 的架構, 簡單的說, 不能說它絕對安全, 但至少有一定的防禦能力, RouterOS 本身就是此類的 firewall, 實務上你不需要自己紀錄對外連線的紀錄, 再去和來自外部的連線做核對的工作, 這是 RouterOS 本身會做的. 除非你有做 NAT, 不然沒有開放的服務, 也不是由內部主動對外連線所回應回來的封包, 實際上這些進來的封包都會被 drop 掉 (udp 封包或是 DoS 是另一個 topic), 所以不是多做就安全, 而是要了解到底這些 firewall rule 真正的用意.

FB: Pctine

無責任小添

不能同意網兄更多了，先弄懂再設定rule，才不會讓Router做無謂工作，造成額外不需要的負載。

2021-11-28 10:15