Отключить icmp на роутере
Может ли роутер блокировать выход на сайт?
Создал точку доступа WI-Fi, до этого был ADSL модем на стац. ПК. Роутер DLink DIR 620 (модем -DLink.
Блокировать запросы ICMP ping
Всем привет. Подскажите как можно реализовать блокировку ping запросов по протоколу ICMP. Т.е.
Как через Firestarter заблокировать ICMP пакеты?
ubuntu 13.04 Собственно в ентом и вся проблема. кто знает как бороться подскажите. Пакеты летят с.
traceroute не покажет узлы за микториком при портфорварде (dstnat)
вы точно уверены что на WAN миктотика белый адрес? покажите первые 3 октета адреса на WAN
обычно провайдер не фильтрует порты
Добавлено через 1 минуту
Если я ничего не путаю, то это именно белый адрес.
Добавлено через 2 минуты
Решение
И кстати, в теории же должно хватить одного правила портфорварда снаружи внутрь для установления ссш соединения?не совсем, портфорвард это механизм NAT, в данном случае DNAT, он лишь в пакете заменяет адрес получателя и отправляет пакет дальше согласно таблице маршрутизации, к примеру ваш ВАН 2.2.2.2, сервер в сети 3.3.3.3
хост с адресом 1.1.1.1 посылает пакет на ваш ВАН, роутер принимает пакет, заменяет в нем адрес получателя с 2.2.2.2 на 3.3.3.3 и отправляет его дальше на хост 3.3.3.3
но как правило есть еще и пакетный фильтр (фаервол), и в нормально настроенных системах, по дефолту пересылка пакетов (forward) запрещена, в таком случае необходимо дополнительно разрешить пересылку пакетов с ВАН интерфейса на ip адрес сервера внутри сети
в последних версиях дефолтного фаервола микротика используется критерий !dst-nat в цепочке forward для дропа пакетов для которых нет правила dst-nat
Добавлено через 1 минуту
да, адрес похож на белый, никаких проблем не должно быть, если адрес из инет не пингуется значит это фаервол
Научиться настройке MikroTik можно на онлайн курсе по оборудованию этого производителя. Автор курса является сертифицированным тренером MikroTik. Подробней Вы можете прочитать в конце статьи.
Статья отвечает на вопрос насколько опасно блокировать ICMP трафик.
ICMP — яблоко раздора
ICMP-трафик имеет много важных функций; какие то из них полезны для устранения неполадок, другие же необходимы для правильной работы сети. Ниже приведены сведения о некоторых важных составляющих ICMP протокола, о которых вы должны знать. Следует подумать над тем, как оптимальным образом пропускать их через вашу сеть.
Echo запрос и and Echo ответ
Мы все хорошо знаем, что ping, — один из первых инструментов для поиска и устранения неполадок. Да, если вы включите на своем оборудование обработку ICMP-пакетов, то это значит, что ваш хост теперь доступен для обнаружения, но разве ваш веб-сервер уже не слушает порт 80, и не отправляет ответы на клиентские запросы? Конечно, заблокируйте ещё и эти запросы, если вы действительно хотите, чтобы на границе сети была ваша DMZ. Но блокируя ICMP трафик внутри вашей сети, не усилите защиту, напротив получите систему с излишне сложным процессом поиска и устранения неполадок («Проверьте пожалуйста отзывается ли шлюз на сетевые запросы?», «Нет, но это меня ничуть не расстраивает, потому что мне это ничего не скажет! »).
Помните, также можете разрешить прохождение запросов в определенном направлении; например, настроить оборудование так, чтобы Echo запросы из вашей сети проходили в сеть Интернет и Echo ответы из Интернета в вашу сеть, но не наоборот.
Необходима фрагментация пакета (IPv4) / Пакет слишком большой (IPv6)
Данные компоненты протокола ICMP очень важны, так как являются важным компонентом в Path MTU Discovery (PMTUD), который является неотъемлемой частью протокола TCP. Позволяет двум хостам корректировать значение максимального размера сегмента TCP (MSS) до значения, которое будет соответствовать наименьшему MTU по пути связей между двумя адресатами. Если на пути следования пакетов будет узел с меньшим Maximum Transmission Unit, чем у отправителя или получателя, и у них не будет средств для обнаружения данной коллизии, то трафик будет незаметно отбрасывается. И вы не будете понимать что происходит с каналом связи; другими словами, «для вас наступят веселые деньки».
Исследование пути доставки пакетов
Превышение времени передачи пакетов
Traceroute — очень полезный инструмент для устранения неполадок в сетевых соединениях между двумя хостами, подробно описывающий каждый шаг пути.
NDP and SLAAC (IPv6)
Router Solicitation (RS) (Type133, Code0)
Router Advertisement (RA) (Type134, Code0)
Neighbour Solicitation (NS) (Type135, Code0)
Neighbour Advertisement (NA) (Type136, Code0)
Redirect (Type137, Code0)
В то время как IPv4 использовал протокол разрешения адресов (ARP) для сопоставления 2 и 3 уровней сетевой модели OSI, IPv6 использует другой подход в виде протокола обнаружения соседей (NDP). NDP предоставляет множество функций, включая обнаружение маршрутизатора, обнаружение префикса, разрешение адреса и многое другое. В дополнение к NDP, Автоконфигурация (StateLess Address AutoConfiguration (SLAAC) позволяет динамически настраивать хост в сети, аналогично концепции протокола динамической настройки узла (Dynamic Host Configuration Protocol (DHCP) (хотя DHCPv6 предназначается для более тонкого управления).
Нумерация типов ICMP
Тип | Наименование | Спецификация |
---|---|---|
0 | Echo Reply | [RFC792] |
1 | Unassigned | |
2 | Unassigned | |
3 | Destination Unreachable | [RFC792] |
4 | Source Quench (Deprecated) | [RFC792][RFC6633] |
5 | Redirect | [RFC792] |
6 | Alternate Host Address (Deprecated) | [RFC6918] |
7 | Unassigned | |
8 | Echo | [RFC792] |
9 | Router Advertisement | [RFC1256] |
10 | Router Solicitation | [RFC1256] |
11 | Time Exceeded | [RFC792] |
12 | Parameter Problem | [RFC792] |
13 | Timestamp | [RFC792] |
14 | Timestamp Reply | [RFC792] |
15 | Information Request (Deprecated) | [RFC792][RFC6918] |
16 | Information Reply (Deprecated) | [RFC792][RFC6918] |
17 | Address Mask Request (Deprecated) | [RFC950][RFC6918] |
18 | Address Mask Reply (Deprecated) | [RFC950][RFC6918] |
19 | Reserved (for Security) | Solo |
20-29 | Reserved (for Robustness Experiment) | ZSu |
30 | Traceroute (Deprecated) | [RFC1393][RFC6918] |
31 | Datagram Conversion Error (Deprecated) | [RFC1475][RFC6918] |
32 | Mobile Host Redirect (Deprecated) | David_Johnson |
33 | IPv6 Where-Are-You (Deprecated) | [RFC6918] |
34 | IPv6 I-Am-Here (Deprecated) | [RFC6918] |
35 | Mobile Registration Request (Deprecated) | [RFC6918] |
36 | Mobile Registration Reply (Deprecated) | [RFC6918] |
37 | Domain Name Request (Deprecated) | [RFC1788][RFC6918] |
38 | Domain Name Reply (Deprecated) | [RFC1788][RFC6918] |
39 | SKIP (Deprecated) | [RFC6918] |
40 | Photuris | [RFC2521] |
41 | ICMP messages utilized by experimental mobility protocols such as Seamoby | [RFC4065] |
42 | Extended Echo Request | [RFC8335] |
43 | Extended Echo Reply | [RFC8335] |
44-252 | Unassigned | |
253 | RFC3692-style Experiment 1 | [RFC4727] |
254 | RFC3692-style Experiment 2 | [RFC4727] |
255 | Reserved |
Пара слов об ограничении скорости
Читать, исследовать и понимать
Учитывая, что обсуждение темы «блокировать или не блокировать» ICMP-пакетов, всегда приводит к путанице, спорам и разногласиям, предлагаю продолжить изучать эту тему самостоятельно. На этой странице привел много ссылок, считаю для более полного понимания проблематики следует потратить время на их чтение. И сделать осознанный выбор того, что лучше всего подходит для вашей сети.
MikroTik: куда нажать, чтобы заработало?
При всех своих достоинствах, есть у продукции компании MikroTik один минус – много разобщенной и далеко не всегда достоверной информации о ее настройке. Рекомендуем проверенный источник на русском языке, где все собрано, логично и структурировано – видеокурс « Настройка оборудования MikroTik ». В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект. Все материалы остаются у вас бессрочно. Начало курса можно посмотреть бесплатно, оставив заявку на странице курса. Автор курса является сертифицированным тренером MikroTik.
Ответ 1
Ответ 2
ICMP используется для ряда функций диагностики (например, ping, traceroute) и управления сетью (например, обнаружение PMTU). Неизбирательная блокировка ICMP вызывает множество трудн оу ловимых проблем, и если вы точно не знаете, что делаете, вам следует избегать этого.
Ответ 3
Вы можете просто попытаться ограничить icmp таким образом, чтобы его нельзя было использовать для dDOS-атаки. но существует слишком много инструментов для устранения неполадок, таких как ping, traceroute (tracert), которые используют icmp. Б росать их полностью — глупо. Это хороший способ проверить, работает ли ваш экземпляр, даже если вы не можете использовать telnet ни на одном из портов.
--limit 10/second
К вашим правилам icmp, вероятно, является приличным пределом, учитывая, насколько компьютер действительно может это обработать.
Ответ 4
Ответ 5
В настоящее время даже ограничение количества пакетов ICMP на стороне сервера может создать головную боль при DDoS-атаках. Атаки в основном осуществляются путем отправки большого окна ICMP-запросов на один сервер, и если сервер пытается ответить на каждый из них, угадайте, что происходит?
Главное, что у нас есть командный сервер, который получает плохие пакеты каждый день. Что мы сделали, так это полностью отключили/заблокировали ответы ICMP, у нас нет DNS-серверов на сервере, нет NTP-серверов, нет почтовых серверов, нет FTP-серверов, только два apache и teamspeak. В се порты, которые не нужны для служб, отключены. Мы планируем заблокировать даже ssh и оставить открытыми только два порта. Ситуация такова, что злоумышленники используют в основном туннелирование ICMP, и несколько действительно интересных строк журнала было обсуждено с администраторами сервера, и они показали, что у них есть запросы ICMP сервера, поэтому злоумышленники использовали это, чтобы туннелировать атаку через них и атаковать нас. Звучит странно, но это правда.
Если вам не нужна диагностика вашего сервера и если вы можете полностью заблокировать запросы или отфильтровать их, например, чтобы сбросить огромные окна, — сделайте это.
Мы будем очень благодарны
если под понравившемся материалом Вы нажмёте одну из кнопок социальных сетей и поделитесь с друзьями.
Базовая настройка защиты роутера MikroTik: настройка устройства, настройка сетевого экрана, защита от сканирования портов, защита от подбора пароля.
🔔 В статье даны примеры команд в терминале MikroTik. Если при вставке команды в терминал, происходит автоматическая вставка команд (при выполнении вы получаете ошибку bad command name или expected end of command), нажмите сочетание Ctrl+V, чтобы отключить эту возможность.
Содержание
Пользователи
Не используйте простые имена пользователя, пароль должен соответствовать требованиям безопасности.
Если доступ к устройству имеют несколько пользователей, вы можете более подробно задать права выбранному пользователю. Создайте новую группу и определите права пользователей этой группы.
Сервисы
Отключить неиспользуемые сервисы
Отключаем сервисы MikroTik, которые не планируем использовать.
Изменить порт Winbox
Обновление
Если обновление версии будет найдено, выполните обновление устройства.
🔗 Скрипт Проверка обновления RouterOS, пришлет уведомление о выходе новой версии прошивки.
Интерфейсы
Объединим внутренние (доверенные) и внешние (недоверенные) интерфейсы в списки, для удобства дальнейшего управления.
Помещаем в этот список интерфейсы локальной сети, VPN подключения и т.д.
Помещаем в этот список внешние интерфейсы (интернет и т.д.).
Соседи
Настроим обнаружение устройства используя Neighbor Discovery только для внутренних интерфейсов или разрешенных интерфейсов.
Разрешаем обнаружение только с интерфейсов перечисленных в списке InternalInterfaces.
Межсетевой экран
Настраиваем ограничения доступа к роутеру и устройствам сети с помощью межсетевого экрана MikroTik.
Разрешить установленные и связанные соединения
Помещаем правило первым в списке Filter Rules (поместите правило ориентируясь на его номер в комментарии).
Отбросить недействительные пакеты
Помещаем правило после правила Trusted, в списке Filter Rules (поместите правило ориентируясь на его номер в комментарии).
Разрешить ICMP
Поместите правило ориентируясь на его номер в комментарии.
Черный список
Создать список
Создаем список BlackList, в который будем помещать IP адреса, которым по какой-то причине запрещен доступ к MikroTik или защищаемым устройствам.
Создать правило
Для экономии ресурсов центрального процессора, запрещающее правило разместим в таблице Prerouting.
⚠️ Правила размещенные в Prerouting выполняются до разделения трафика на цепочки Input и Forward!
Поместите правило по его номеру в комментарии.
На скриншоте видно дополнительные правила:
Блокировка сканеров портов
Применять правило будем только для новых соединений.
TCP порты ловушки
Создать правило
Помещаем IP адрес недоверенного устройства в BlackList, на 10 часов:
Разместите правило, ориентируясь на его номер в комментарии.
Разрешим порт Winbox
Поместите правило ориентируясь на его номер в комментарии.
Сбрасываем неразрешенные соединения
Поместите правило на последнюю позицию в правилах Firewall Filter Rules.
Блокируем Bruteforce
Помещаем IP адрес устройства в BlackList, на 70 минут.
Комментарии 17
Большое спасибо Евгений! Поправил.
И кстати, её IP я не вижу. Даже в настройках роутера
Едрён-батон, хоть бы слово понял. Это что? Куда прописывать? Ребята, вы ж для чайников пишете. Третья сотня водки зазря ушла. Эхххх. Не быть мне под защитой.
Что именно непонятно? Попробую помочь.
В квадратных скобках указана последовательность нажатия кнопок в окне Winbox.
Например в первом пункте Пользователи:
Нажмите на кнопку [System], потом на кнопку [Users], в открывшемся окне нажмите на вкладку [Groups], потом на кнопку [+] и введите параметры нового пользователя.
вот КМК полезные правила в RAW
Сомнительной полезности правило в случае, если в локалку проброшены какие-то порты
Правило конечно крутое
, но как быть с DNS ?
Читайте также: