Evitar Ataque a MikroTik Webproxy y DNS cache

Tema en 'Manuales Ryohnosuke' iniciado por ryohnosuke, 9 Dic 2010.

  1. ALEJANDROGORDON

    ALEJANDROGORDON Well-Known Member

    Me Gusta recibidos:
    1.730
    actualmente estamos usando en routers la version 6.25 no he tenido problemas y en inalambrico la version 6.17 sin problemas hasta el momento =)
     
  2. luisbaezalc

    luisbaezalc Member

    Me Gusta recibidos:
    2
    Ryoh, intente utilizar esta regla tal y como dices pero me sale este mensaje expected end of command (line 1 column 130), se que es una novatada pero no me deja aplicar la regla ayudame por favor
     
  3. ryohnosuke

    ryohnosuke MikroTik Support Guy Administrador

    Me Gusta recibidos:
    620
    in-interface=WAN

    Cambia WAN por el nombre de la interfaz WAN que tienes.

    Saludos.
     
  4. ..:: Husky WiFi ::..

    ..:: Husky WiFi ::.. Active Member

    Me Gusta recibidos:
    30
    Gracias por este tutorial, entendible ;)

    Mis reglas en el Script; (Yo tengo IP Pública en el ether1)

    /ip firewall filter add action=drop chain=input comment="Bloqueo WebProxy Externo" disabled=no dst-port=8080 in-interface=ether1 protocol=tcp

    /ip firewall filter add action=drop chain=input comment="Bloqueo DNS Caché Externo" disabled=no dst-port=53 in-interface=ether1 protocol=udp
     
  5. kr4ken88

    kr4ken88 Member

    Me Gusta recibidos:
    17
    Mi caso: Balanceador y aparte un Administrador que redirecciona las peticiones de los clientes a 80 a Squid en paralelo en 3128.

    Quiero aplicar la regla en balanceador. Sería esta? (por cada input)

    /ip firewall filter add action=drop chain=forward comment="Bloqueo webproxy externo" disabled=no dst-port=3128 in-interface=pppoe-out1 protocol=tcp

    O tendría que bloquear el 80 en forward? :confused:
     
    Última edición: 4 Sep 2015
  6. ..:: Husky WiFi ::..

    ..:: Husky WiFi ::.. Active Member

    Me Gusta recibidos:
    30
    No lo tienes que aplicar en tu balanceador.
    Tienes que aplicarlo en el equipo que administra los clientes, porque son los paquetes limitados por IP.

    Si pones dicha regla en el balanceo, estás limitando los/el equipo que administras para dar internet a tus clientes, les tardaría mucho abrir páginas tus clientes.

    Saludos coordiales.-
     
  7. rubems

    rubems New Member

    Me Gusta recibidos:
    0
    ola ryohnosuke un gusto estar en tu foro,, tengo un rb 2011 de administrador de las cuales abastezco a mis clientes con 4 APs en 2.4 y 5.8 ghz con un buen ancho de banda lo suficiente para no tener caidas de lags en las horas puntas, teniendo ademas buenos punto a puntos en todos mis enlaces.PERO EN ESTOS ULTIMOS DIAS cuando pineo al 8.8.8.8 EN MIS APs CLIENTES Y DESDE LAS MISMAS ATENAS CLIENTES JUSTO EN LA HORA PUNTA.. VEO QUE SE ENTRECORTA DEMANCIADO.. bueno consulte a un amigo que tuvo el mismo problema y me dijo que podria haber un EXCESO DE CONEXIONES EN MI RED ,, tengo buen ancho de banda pero hay EXCESO DE CONEXIONES ME AFIRMA..LA regla QUE REFIERES se aplicaria tambien cuando hay problemas de exceso de conexiones en una red? y como seriaa las ordenes o los comandos a ejecutar,,,?? espero hacerme entender, gracias.
     
  8. juvigir

    juvigir Member

    Me Gusta recibidos:
    9
    a probar :D.
     
  9. MaikelAcevedo

    MaikelAcevedo Member

    Me Gusta recibidos:
    2
    Buenas ryohnosuke, pues en la configuracion de evitar el ataque a mikrotik webproxy y dns cache que mensionas, veo que en in interfaces pones ppoe- out1, en mi caso no uso ppeoe yo uso es wan y lan, en que in interface tengo que poner, wan o lan, ya que trabajo con webproxy cache y dns
     
  10. osman.cg

    osman.cg Member

    Me Gusta recibidos:
    22
    in-interface=wan
    se debe colocar el nombre de la interfaz que se encuentra conectado a internet, en el caso tuyo seria wan, de esa manera vas a evitar que puedan usar tu webproxy o dns desde internet.
     
    A MaikelAcevedo le gusta esto.
  11. MaikelAcevedo

    MaikelAcevedo Member

    Me Gusta recibidos:
    2
    gracias osman entonces pondre la wan que es la de mi proveedor
     
  12. pelinho

    pelinho New Member

    Me Gusta recibidos:
    0
    Estimado Ryo:
    Estas reglas que son INPUT (tengo WebProxy y DNS) para mejor uso irán antes o después de las reglas INPUT de conexiones establecidas/relacionas e invalida...Gracias....por tu
    respuesta.
     
  13. ADVANCED.Net

    ADVANCED.Net Well-Known Member

    Me Gusta recibidos:
    131
    Que tal, recien me acabo de percatar que tengo ataques al DNS del mikrotik administrador, aplique las reglas al WAN.
    pero las reglas no se mueven y aun sigo teniendo un exceso de connections, alguna solución.
    [​IMG]
     
  14. MaikelAcevedo

    MaikelAcevedo Member

    Me Gusta recibidos:
    2
    estas reglas protegen el mikrotik de ataques?
    /ip firewall filter
    add chain=input comment="Firewall WAN" dst-port=8291 in-interface=ether1 protocol=tcp
    add chain=input connection-state=established in-interface=ether1
    add chain=input connection-state=related in-interface=ether1
    add action=drop chain=input in-interface=ether1

    La recomendacion cual seria si en interface se pone en la wan o en la lan con el !
     
  15. ..:: Husky WiFi ::..

    ..:: Husky WiFi ::.. Active Member

    Me Gusta recibidos:
    30
    No, no protegen del todo.

    No entiendo lo que quieres consultar sobre la recomendación a dar, creo que lo que quieres saber es donde van las reglas (a que interfaz), de ser así las reglas se tienen que poner en la interfaz WAN.

    En este post y otros, tienes buenas reglas para proteger al Mikrotik,.
     

Compartir esta página