abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Akademy 2025 / KDE Linux
    dnes 04:11 | Komunita

    V Berlíně probíhá konference vývojářů a uživatelů desktopového prostředí KDE Plasma Akademy 2025. Při té příležitosti byla oznámena alfa verze nové linuxové distribuce KDE Linux.

    Ladislav Hagara | Komentářů: 0
    Debian 13.1 a 12.12
    včera 17:11 | Nová verze

    Byl vydán Debian 13.1, tj. první opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.12, tj. dvanáctá opravná verze Debianu 12 s kódovým názvem Bookworm. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

    Ladislav Hagara | Komentářů: 1
    EK udělila Googlu pokutu 2,95 miliardy eur za porušení antimonopolní legislativy
    5.9. 23:44 | IT novinky

    Evropská komise potrestala Google ze skupiny Alphabet pokutou 2,95 miliardy eur (71,9 miliardy Kč) za porušení antimonopolní legislativy. Podle EK, která mimo jiné plní funkci antimonopolního orgánu EU, se Google dopustil protisoutěžních praktik ve svém reklamním byznysu. Google v reakci uvedl, že rozhodnutí považuje za chybné a hodlá se proti němu odvolat. EK ve věci rozhodovala na základě stížnosti Evropské rady vydavatelů. Podle

    … více »
    Ladislav Hagara | Komentářů: 16
    Podpora 32bitového Firefoxu pro Linux skončí v roce 2026
    5.9. 23:11 | Komunita

    Podpora 32bitového Firefoxu pro Linux skončí v roce 2026. Poslední podporované 32bitové verze budou Firefox 144 a Firefox 140 s rozšířenou podporou, jehož podpora skončí v září 2026.

    Ladislav Hagara | Komentářů: 3
    1TB Raspberry Pi SSD za 70 dolarů
    5.9. 19:33 | IT novinky

    Společnost Raspberry Pi nově nabízí Raspberry Pi SSD s kapacitou 1 TB za 70 dolarů.

    Ladislav Hagara | Komentářů: 7
    Microsoft BASIC pro mikroprocesor 6502 na GitHubu
    5.9. 15:55 | Zajímavý software

    Microsoft BASIC pro mikroprocesor 6502 byl uvolněn jako open source. Zdrojový kód je k dispozici na GitHubu.

    Ladislav Hagara | Komentářů: 6
    NÚKIB se připojil k mezinárodnímu dokumentu „A Shared Vision of Software Bill of Materials for Cybersecurity“
    5.9. 15:33 | IT novinky

    Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se připojil k dokumentu „A Shared Vision of Software Bill of Materials (SBOM) for Cybersecurity“, který vydala americká Agentura pro kybernetickou a infrastrukturní bezpečnost (CISA) s Národní bezpečnostní agenturou (NSA), spolu s dalšími mezinárodními partnery. Dokument vznikl v rámci globálního expertního fóra pro SBOM, které má za cíl motivovat k širšímu využívání … více »

    Ladislav Hagara | Komentářů: 3
    Otevřený AI model Apertus
    4.9. 21:22 | IT novinky

    Švýcarská AI centra EPFL, ETH Zurich a CSCS představila otevřený vícejazyčný velký jazykový model (LLM) s názvem Apertus. Vyzkoušet lze na stránce Public AI Inference Utility.

    Ladislav Hagara | Komentářů: 26
    Linux Mint 22.2 Zara
    4.9. 17:22 | Nová verze

    Byl vydán Linux Mint 22.2 s kódovým jménem Zara. Podrobnosti v přehledu novinek a poznámkách k vydání. Vypíchnout lze novou XApp aplikaci Fingwit pro autentizaci pomocí otisků prstů nebo vlastní fork knihovny libAdwaita s názvem libAdapta podporující grafická témata. Linux Mint 22.2 bude podporován do roku 2029.

    Ladislav Hagara | Komentářů: 2
    Licence AI modelu HunyuanWorld-Voyager nedovoluje jeho používání na území EU
    4.9. 12:55 | IT novinky

    Čínská společnost Tencent uvolnila svůj AI model HunyuanWorld-Voyager pro generování videí 3D světů z jednoho obrázku a určené trajektorie kamery. Licence ale nedovoluje jeho používání na území Evropské unie, Spojeného království a Jižní Koreje.

    Ladislav Hagara | Komentářů: 1
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Pro otevření více webových stránek ve webovém prohlížečí používám
     (83%)
     (7%)
     (2%)
     (3%)
     (3%)
     (2%)
    Celkem 151 hlasů
     Komentářů: 11, poslední 4.9. 16:12
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Mikrotik DNS z WAN, REJECT vs DROP
    Štítky: není přiřazen žádný štítek

    Dotaz: Mikrotik DNS z WAN, REJECT vs DROP

    22.11.2024 10:30 RadekXxX | skóre: 10
    Mikrotik DNS z WAN, REJECT vs DROP
    Přečteno: 847×
    Ahoj, na mikrotik me z venku prichazi na blokovaci pravidlo pro DNS asi 700 pkt/s (400kbps), kdyz je DNS z venku omezene pomoci DROP, tak me ping na 8.8.8.8 odpovida mezi 800-1500ms, kdyz upravim pravidlo na REJECT, tak ping spadne na 50-60ms, kdyz pravidlo vypnu a hned zapnu, tak se navaze spousta spojeni na DNS a ping klesne na 10ms. Jak mam spravne tento provoz blokovat, myslel jsem, ze pro provoz z WAN je lepsi DROP nez REJECT.

    Řešení dotazu:

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    Max avatar 22.11.2024 11:49 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    To je nějaká divnost. Můžeš sem hodit seznam pravidel, co máš pro WAN? A verzi ROS?
    Zdar Max
    Měl jsem sen ... :(
    Max avatar 22.11.2024 12:10 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Ještě mně napadá, co je to za model, toho Mikrotiku?
    Zdar Max
    Měl jsem sen ... :(
    22.11.2024 12:30 RadekXxX | skóre: 10
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Je to RB760iGS hEX, je tam verze 7.16.1 stable, zkousel jsem i starsi verze. Ve vsech pripadech je zatez CPU do 5% a chova se to stejne.
    22.11.2024 12:40 RadekXxX | skóre: 10
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Tady je videt jak se zmeni PING, kdyz pravidlo zakazu nebo zmenim na DROP: 
    64 bytes from 8.8.8.8: icmp_seq=1 ttl=114 time=79.9 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=114 time=84.0 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=114 time=67.4 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=114 time=84.7 ms
64 bytes from 8.8.8.8: icmp_seq=5 ttl=114 time=59.1 ms
64 bytes from 8.8.8.8: icmp_seq=6 ttl=114 time=79.7 ms
64 bytes from 8.8.8.8: icmp_seq=7 ttl=114 time=56.1 ms

64 bytes from 8.8.8.8: icmp_seq=8 ttl=114 time=7232 ms
64 bytes from 8.8.8.8: icmp_seq=9 ttl=114 time=6195 ms
64 bytes from 8.8.8.8: icmp_seq=10 ttl=114 time=5178 ms
64 bytes from 8.8.8.8: icmp_seq=11 ttl=114 time=6274 ms
64 bytes from 8.8.8.8: icmp_seq=12 ttl=114 time=5984 ms
64 bytes from 8.8.8.8: icmp_seq=13 ttl=114 time=4944 ms
64 bytes from 8.8.8.8: icmp_seq=14 ttl=114 time=4055 ms
64 bytes from 8.8.8.8: icmp_seq=15 ttl=114 time=3590 ms
    22.11.2024 12:27 RadekXxX | skóre: 10
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Pokud 4ty pravidlo od konce zakazu, tak nastane ten problem (provoz zacne DROPovat posledni pravidlo) nebo staci kdyz zmenim ACTION na DROP 
    add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes
add action=accept chain=forward connection-state=established,related
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=input protocol=icmp
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp
add action=accept chain=input dst-port=1701 in-interface-list=WAN protocol=udp
add action=accept chain=input dst-port=4500 in-interface-list=WAN protocol=udp
add action=accept chain=input dst-port=500 in-interface-list=WAN protocol=udp
add action=reject chain=input comment="DNS z WAN" dst-port=53 in-interface-list=WAN protocol=udp reject-with=icmp-network-unreachable
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=input connection-state=invalid,new,untracked in-interface-list=WAN
    Max avatar 22.11.2024 13:22 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Takže: 
    add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes
add action=accept chain=forward connection-state=established,related
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=input protocol=icmp

# Tohle je zbytečný:
add action=accept chain=input in-interface-list=WAN protocol=ipsec-esp

# Tohle vyhodit, proč povoluješ L2TP napřímo do routeru bez šifrování?
# L2TP by mělo být zabaleno vždy v ipsecu, tj pro L2TP over IPSEC stačí mít povolené porty UDP500 a UDP4500
add action=accept chain=input dst-port=1701 in-interface-list=WAN protocol=udp

add action=accept chain=input dst-port=4500 in-interface-list=WAN protocol=udp
add action=accept chain=input dst-port=500 in-interface-list=WAN protocol=udp

# zbytečný, protože dole máš drop connection new
add action=reject chain=input comment="DNS z WAN" dst-port=53 in-interface-list=WAN protocol=udp reject-with=icmp-network-unreachable
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

# měl by jsi dělat kompletní drop a ne si jen vybírat
add action=drop chain=input connection-state=invalid,new,untracked in-interface-list=WAN
    Za mně bych to nastavil takto: 
    add action=accept chain=input connection-state=established,related
add action=accept chain=input protocol=icmp
add action=accept chain=input dst-port=4500 in-interface-list=WAN protocol=udp
add action=accept chain=input dst-port=500 in-interface-list=WAN protocol=udp
add action=drop chain=input in-interface-list=WAN
    Zdar Max
    Měl jsem sen ... :(
    22.11.2024 13:33 RadekXxX | skóre: 10
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Ok, takze jsem tam nechal pouze toto 
    add action=accept chain=input connection-state=established,related
add action=accept chain=input protocol=icmp
add action=drop chain=input in-interface-list=WAN
    a vysledek je stejny, kdyz posledni pravidlo zmenim z DROP na REJECT, tak je to OK
    Max avatar 22.11.2024 15:09 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    A kolik tam máš spojení? Já jen, zda tě někdo neDDoSuje.
    Jde o to, že DROP = port is open, ale zahazuje všekerá spojení. Protistrana si tedy myslí, že by to jít mělo a možná se pokouší bušit do portu.
    Reject = port is closed, takže prostistrana ví, že tam nic není a nepokouší se tedy asi volat.

    Příklad: 
    iptables -A INPUT -s 127.0.0.1 -p tcp --dport 22 -j DROP

nmap 127.0.0.1
PORT     STATE    SERVICE
22/tcp   filtered ssh

iptables -A INPUT -s 127.0.0.1 -p tcp --dport 22 -j REJECT

nmap 127.0.0.1
PORT     STATE    SERVICE
22/tcp   filtered ssh

iptables -A INPUT -s 127.0.0.1 -p tcp --dport 22 -j REJECT --reject-with tcp-reset

nmap 127.0.0.1
PORT     STATE SERVICE
    Zdar Max
    Měl jsem sen ... :(
    Max avatar 22.11.2024 15:25 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    A v případě UDP komunikace: 
    iptables -A INPUT -s 127.0.0.1 -p udp --dport 53 -j DROP

nmap -sU 127.0.0.1
PORT    STATE         SERVICE
53/udp  open|filtered domain

iptables -A INPUT -s 127.0.0.1 -p udp --dport 53 -j REJECT

nmap -sU 127.0.0.1
PORT     STATE SERVICE
    Zdar Max
    Měl jsem sen ... :(
    22.11.2024 17:29 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP 
    PORT    STATE         SERVICE
53/udp  open|filtered domain
    Pokud se na odeslaný paket nevrátí žádná odpověď, ví odesilatel pořád ještě kulový.

    V uvedeném příkladu si může myslet, že na portu třeba něco běží a příjemce mu to dropuje, protože ho nemá rád, a ono je to ve skutečnosti třeba tak, že tam nic neběží a příjemce jenom dropuje všechny příchozí pakety a nenamáhá se posíláním odpovědi.
    Max avatar 22.11.2024 18:09 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Pleteš se. V případě "-j DROP" se odpověď posílá. Resp. posílá se ACK nebo SYN/ACK. Proto client ví, že je port otevřený, nějaká služba tam běží a je filtrovaná, tedy "open|filtered". Client si fakt sám z prstu necucá, kde je jaký port otevřený.
    Zdar Max
    Měl jsem sen ... :(
    22.11.2024 18:28 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Ale no tak, Maxi. DROP prostě paket zahodí bez jakékoliv odpovědi.
    22.11.2024 18:55 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Ale nechaj ho, zas je prepracovaný.
    Max avatar 24.11.2024 11:09 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Pokud by tam nebyl SYN/ACK, tak jak klient ví, že je port otevřený? Prostá otázka, očekávám prostou odpověď.
    Zdar Max
    Měl jsem sen ... :(
    24.11.2024 12:49 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Table 5.3. How Nmap interprets responses to a UDP probe
    24.11.2024 13:02 xxl | skóre: 26
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Jo a ještě... UDP je bezstavový protokol. Takže tak žádné SYN/ACK není.
    Max avatar 24.11.2024 11:10 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Pokud by to tak bylo, proč nmap neukáže všechny porty jako open/filtered, ale jen ten, kde skutečně něco běží?
    Zdar Max
    Měl jsem sen ... :(
    24.11.2024 14:27 Tom K | skóre: 22
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Protože na TCP port kde nic nečeká se zpátky posílá TCP-RESET. Pro UDP je to ICMP-PORT-UNREACHABLE.
    No a protože DROP nepošle nic, nmap správně usoudí, že tam musí být filtr.
    Proto pokud chci udělat filtrování správně, nastavuju buď DROP všude kde to nechci otevřené (i tam, kde nic neběží) nebo REJECT with TCP-RESET když chci vypadat jako normální stroj kde nic není.
    echo -n "u48" | sha1sum | head -c3; echo
    22.11.2024 15:29 RadekXxX | skóre: 10
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Jak jsem psal na zacatku, na tom pravidle REJECT/DROP UDP/53 je stabilne asi 700 pkt/s (400 kbps), chapal bych, ze mikrotik bude zahazovat packety, kdyz to nebude zvladat, ale zatizeni CPU je do 5%, takze nevim proc se to chova takhle rozdilne, kdyz je DROP nebo REJECT, u obou dvou druhu ACTION se packet rate nemeni.
    Max avatar 22.11.2024 15:52 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Chtěl jsem jenom ukázat, jaký je rozdíl mezi DROP a REJECT. Drop říká, že je tam služba spuštěna a je filtrována firewallem, reject říká, že port je closed / nic tam není.
    Zdar Max
    Měl jsem sen ... :(
    22.11.2024 11:56 X
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    blokovaci pravidlo pro DNS
    To je jako co konkretne? Blokujes dotazy na DNS server ktery ani neexistuje? Co ma ping spolecneho s UDP na portu 53? To bude pekny gulas..
    22.11.2024 12:35 RadekXxX | skóre: 10
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Na mikrotiku je spusten DNS server pro lokalni sit a ja chci blokovat pristup z WANu na DNS. UDP/53 nema s pingem spolecneho nic, je to pouze vysledek chovani, kdyz zacnu DROPovat UDP/53 z WAN a na mikrotiku spustim ping kamkoliv do internetu, tak je takova latence, je jedno jestli ten ping pustim na mikrotiku nebo kdekoliv za NATem.
    22.11.2024 20:46 X
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Kde si vzal tech 700 pkt/s? Mohl bych videt vzorek toho provozu?
    22.11.2024 21:05 RadekXxX | skóre: 10
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Ve statistice u tohoto pravidla (ve WinBoxu) 
    add action=reject chain=input dst-port=53 in-interface-list=WAN protocol=udp reject-with=icmp-host-unreachable
    nyni aktualne Rate: 325 kbps, Packet rate: 549 p/s

    Kdyz zapnu logovani toho pravidla, tak mam neco takovyho: 
     21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 91.175.157.92:13838->x.x.x.x:53, len 71
 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 84.205.22.53:80->x.x.x.x:53, len 71
 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 203.190.14.123:30049->x.x.x.x:53, len 65
 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 14.102.10.10:888->x.x.x.x:53, len 65
 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 47.106.34.105:80->x.x.x.x:53, len 71
 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 190.12.131.224:13988->x.x.x.x:53, len 71
 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 47.106.177.163:80->x.x.x.x:53, len 71
 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 195.211.27.148:12139->x.x.x.x:53, len 65
 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 118.107.29.131:28645->x.x.x.x:53, len 65
 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 195.211.27.148:29739->x.x.x.x:53, len 65
 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 106.15.225.175:80->x.x.x.x:53, len 71
 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 38.6.218.20:80->x.x.x.x:53, len 71
 21:02:27 firewall,info DNB BLOCK input: in:ether1 out:(unknown 0), connection-state:new src-mac 00:01:5c:97:d6:46, proto UDP, 84.205.22.53:80->x.x.x.x:53, len 71
    22.11.2024 21:12 RadekXxX | skóre: 10
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Příloha:
    Snimek obrazovky
    22.11.2024 21:57 X
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Pokud mas v konfiguraci: 
    /ip dns set allow-remote-requests=yes
    Tak to posloucha na vsech rozhranich => na WAN se uplne vykasli a vsechno rovnou zahazuj. Zadny reject, zadne icmp-unreachable, nic na*rat a rovou to vsechno zahazuj. Bohuzel uz jsi se dostal do hledacku nejakeho botnetu etc. a snazi se to pres tebe amplifikovat DNS DDoS.
    22.11.2024 22:08 X
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Respektive si to oprav na: 
    /ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
    22.11.2024 22:15 RadekXxX | skóre: 10
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Jo allow-remote-requests nastaveno mam, na provoz nemuzu dat DROP, protoze to je celej ten problem, uplne me prestavat fungovat konektivita do internetu (viz. ten PING), kdyz dam REJECT, tak je to relativne OK. Ale nechapu, kdyz DROP zahodi celej packet a tim to konci, tak reject packet zahodi, ale odesila nejake ACK protistrane, tak proc me ten DROP takhle odstavi mikrotik ? Kdyz to DNS z venku necham otevreny, packetovy provoz je tam na stejne urovni, chapu, ze by prezeme bezel ddos na jiny DNS server, ale PING me spadne na asi 10ms a vse je OK, ten trafic se na 500Mbps odbavi bez problemu. Tak jenom souhrn:

    - DROP UDP/53 znefunkcni konektivitu ven i kdyz jenom zahazuje packety

    - REJECT UDP/53 je na tom o 1000% lip, ale neni to idealni a navic jeste odpovida na zahozene packety

    - Povoleny DNS z venku, je naprosto bez problemu, akorat by prezeme probihal DDOS

    Podle me je to chyba mikrotiku a za me jediny reseni je kontaktovat ISP, aby me ten provoz odfitroval u sebe, ale nevim s jakym uspechem, mam SELFNET->MORAVIA NET->NEJ.CZ->O2 (postup kam se muj ISP transformoval) a s O2 asi moc zadna rec nebude.
    22.11.2024 22:40 X
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Ne = proste ne. Z venku se k tobe nema co hlasit, jen odpovedi sestavenych spojeni klientu. Tecka. => Dej tam jen drop a zacni to dal diagnostikovat. Tzn. tohle vyhod uplne: 
    add action=reject chain=input comment="DNS z WAN" dst-port=53 in-interface-list=WAN protocol=udp reject-with=icmp-network-unreachable
    Tohle staci na vsechno: 
    add action=drop chain=input connection-state=invalid,new,untracked in-interface-list=WAN
    Dal, vyres ten ping = budes pingat postupne vsechna zarizeni na ceste, dokud nenajdes botu -> ping lokalni gateway, ping wan interface, ping gateway providera, ping ceske ip, ping zahranicni IP. Zacni IP adresama bez DNS prekladu. Take muzes zkusit traceroute nekam ven a uvidime.
    22.11.2024 22:57 RadekXxX | skóre: 10
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Otestovano a problem v ceste je uz na WAN GATEWAY ISP
    22.11.2024 22:57 MarV | skóre: 11
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Ideálně ukázat celou konfiguraci "/export hide-sensitive". Reset do defaultu se zkoušel? Verze FW je aktuální k verzi ROS?
    22.11.2024 23:10 RadekXxX | skóre: 10
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Reset do defaultu jsem jeste nezkousel, ale chystam se na to, jediny co jsem zkousel, tak deaktivovat vse co neni potreba (ipsec, NATy, ...) a nechat ciste zaklad, 3 pravidla ve filter, masquarade, dhcp server, dns.

    Dal jsem zkousel vzit i jiny mikrotik(stejny typ) vcetne adapteru, ale jenom jsem na nem udelal restore zalohy.

    FW je aktualni verze 7.16.1 stable, zkousel jsem i 7.15, 7.1.2 a 6.49.13, stejnej vysledek.

    U mikrotiku jsem uz zazil divny chovani, ze to nereagovalo na nektery zmeny v nastaveni bridge nebo VLANu, ale vzdy pomohlo nesahat na nastaveni a udelat restart.
    22.11.2024 23:29 MarV | skóre: 11
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    A jiný kus se choval stejně? Obnova ze zálohy je ošidná, protože pokud tam je nějaká podivnost ve zbytku konfigurace, tak se zatáhne zpět. Je-li k dispozici jiný kus na pokusy, tak reset do defaultu, ručně nakonfigurovat nezbytné minimum (nenahrávat zálohu) a vyzkoušet, zda je problém stejný či ne. Jinak doufám, že si rozumíme ohledně FW (u mikrotiku tím označují něco jako BIOS a verze může být jiná, než verze instalovaného OS). Viz. zde. Řeší se to v sekci System => RouterBOARD.
    22.11.2024 23:46 RadekXxX | skóre: 10
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Jo chova se to uplne stejne. U FW si nejsu jistej, myslis "Firmware type" ? Jinak "upgrade firmware" je stejny. Mam tady par cistych RB750, tak zkusim nastavit uplny minimum a pak dam vedet jak se to chova a poslu nastaveni.
    23.11.2024 00:59
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Nastav to zvenku na drop a nech to být. Ono je to přestane časem bavit.
    23.11.2024 06:59 MarV | skóre: 11
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Více o problematice FW verze zde, ale nejspíš to nebude tvůj problém. Pořád bych to tipoval na nějakou záludnou chybu ve zbytku konfigurace (bez kompletního výpisu těžko říct), která se projevuje současně s útokem.

    Mimochodem fungovalo to někdy správně? Kdy to začalo? Nějaká souvislost se změnou na tvé straně (upgrade, nová zařízení v síti, ...)? Sledoval jsi i celkový provoz na WAN interface (případně ostatních), když nastává problém (tj. ne jen část mířící na port 53)? Ve skupině WAN je opravdu jen ether1? Je tam IPv6?
    23.11.2024 09:44 RadekXxX | skóre: 10
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Vzal jsem uplne cisty mikrotik a udelal pouze zakladni nastaveni, nic vic. Chova se to stejne, kdyz vypnu pravidlo "WAN->DNS REJECT", tak nastane problem, nebo kdyz mu zmenim ACTION=DROP

    Toto je kompletni nastaveni: 
    # nov/23/2024 09:37:48 by RouterOS 6.48.6
# software id = XL6J-3WUP
#
# model = RB750Gr3
# serial number = HCQ08APYDF2
/interface bridge
add admin-mac=18:FD:74:2B:24:93 auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.1.100-192.168.1.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.1/24 interface=bridge network=192.168.1.0
add address=109.x.x.12/24 interface=ether1 network=109.x.x.0
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input protocol=icmp
add action=reject chain=input comment="WAN->DNS REJECT" dst-port=53 in-interface-list=WAN protocol=udp reject-with=icmp-host-unreachable
add action=drop chain=input comment="ALL WAN INPUT DROP" in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=15001 in-interface-list=all protocol=tcp to-addresses=192.168.1.2 to-ports=15001
add action=src-nat chain=srcnat dst-address=192.168.1.2 dst-port=15001 protocol=tcp to-addresses=109.x.x.12
add action=dst-nat chain=dstnat dst-port=81 in-interface-list=all protocol=tcp to-addresses=192.168.1.10 to-ports=81
add action=src-nat chain=srcnat dst-address=192.168.1.10 dst-port=81 protocol=tcp to-addresses=109.x.x.12
/ip route
add distance=1 gateway=109.x.x.1
/system clock
set time-zone-name=Europe/Prague
/system identity
set name=RouterOS
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
    23.11.2024 09:55 RadekXxX | skóre: 10
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Jeste bych dodal, ze za mikrotikem je pripojeny kabelem pouze notebook, jinak je cela sit odpojena.
    Řešení 1× (RadekXxX (tazatel))
    23.11.2024 10:11 RadekXxX | skóre: 10
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Tak problem se vyresil, snad me neukamenujete. Ten DROP vadil kabelovymu modemu, je tam CISCO EPC3212, kdyz jsem ho vypnul a zapnul, tak muzu provoz normalne dropovat, toto by me vubec nenapadlo, protoze, kdyz jsem vypnul vsechny pravidla a nechal otevreny provoz, tak konektivita jela uplne bez problemu. Tak se vsem omlouvam za ztraceny cas a dekuji.
    23.11.2024 11:12 X
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Ocividne bylo nejak nakopnute to Cisco.
    23.11.2024 11:22 Tom K | skóre: 22
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Mohlo by to byt preplnenou NAT tabulkou u toho modemu. Kdyz se udela DROP, tak se nic nevrati zpatky a modem musi drzet zaznam v tabulce az do timeoutu (klidne i 600s u UDP). Kdezto u REJECT ho muze hned zase vyhodit. Buh vi jak se bude chovat pokud se tahle tabulka preplni.
    echo -n "u48" | sha1sum | head -c3; echo
    23.11.2024 11:38 RadekXxX | skóre: 10
    Rozbalit Rozbalit vše Re: Mikrotik DNS z WAN, REJECT vs DROP
    Myslim, ze modem by nemel NATovat, mel by byt v rezimu BRIDGE, verejnou IP mam pevne nastavenou primo v mikrotiku, ale uvidim. Kazdopadne od te doby co se to rozjelo uz ma mikrotik zahozenych vice nez 2.5M packetu a porada to funguje.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.