(РЕШЕНО) Дефолтные правила и DHCP

[Sir_Prikol]

Спокойно, сам был в таких-же ситуациях, для начала смотрим топологию, почему локалка попадает на маршрутизатор, для этого логгируем правила и смотрим запросы

[wan]

топология:
ВПН L3 общий
1здание (ВП) - МТ, 2 сети на одном порту - 192.168.38.0/24 и 192.168.98.0/24
2 (ДП) - МТ, 2 сети на одном порту - 192.168.95.0/24 и 192.168.195.0/24
3 (ДО) - МТ, 1 сеть 192.168.56.0/24
каждый сегмент = свой L2
МТ воткнуты портом ETHx_LAN_LOCAL в пачку комутаторов с рабочими станциями

МТ офисов связаны по L3 отдельными портами ETHx_LAN_WAN - сеть 172.16.0.0/29
все замаршрутизировано, все летает
кроме вышеупомянутого с правилами на invalid

уж куда проще сеть незнаю, глядя на другие Ваши посты с BGP и чемто еще, совершенно мне незнакомым, у меня просто кросс между двух компьютеров как в 90х для игры в doom2

[Sir_Prikol]

Ну во первых - у вас все сети идут через маршрутизатор, а это явно он начинает контролировать сеть. Ваша задача сделать так, чтобы маршрутизтор НЕ участвовал в этом всём, для этого выводите в отдельные бриджи локальную сеть и исключаете его из фаервола
Или, создаёте адреслисты и в фаере прописываете исключения на адреслисты

[Sir_Prikol]

уж куда проще сеть незнаю, глядя на другие Ваши посты с BGP и чемто еще, совершенно мне незнакомым, у меня просто кросс между двух компьютеров как в 90х для игры в doom2

Это у меня сеть проще не куда И то, потому что она дома, в продакшене там чёрт ногу сломит, но она настроена очень давно и я её не трогаю

[Chupaka]

извиняюсь за эмоции, но что-то х№%;"та какая-то
отключаю правила invalid - все работает как часы
включаю - ?%;№?%; полная

отключил правила, бесит

Вы сделали то, что я написал выше?

[wan]

Ну во первых - у вас все сети идут через маршрутизатор, а это явно он начинает контролировать сеть. Ваша задача сделать так, чтобы маршрутизтор НЕ участвовал в этом всём, для этого выводите в отдельные бриджи локальную сеть и исключаете его из фаервола
Или, создаёте адреслисты и в фаере прописываете исключения на адреслисты

а зачем бридж? отдельные порты в каждом микротике
Ваше второе предложение не совсем понял? В смысле совсем не понимаю как это реализовать. Пример элементарный можно?
Адреслисты знаю, но не понимаю в какие исключения

Предистория знакомства с МТ, принесли 27 декабря - 3 января сеть должна быть на нем. На тот момент я его первый раз в глаза увидел. Интересно, но с самообучением тяжно, староват

[Sir_Prikol]

Ну тут молодых нема

Значит так, создаётся адресс лист
в фаерволе в меню src-addresslist выставляется нужный и слева отмечается квадратик - что означает что исключить именно этот адресс-лист
В адресслисте нужно перечислисть все свои сети (если память не изменяет у Вас там BOGONS адресслист)

Вывод может быть примерно такой

Код: Выделить всё

 ;;; DNS flood protect (WAN List)
      chain=prerouting action=add-src-to-address-list in-interface-list=WAN dst-port=53 log=no log-prefix="dnsflood" protocol=udp 
      dst-address=!123.123.123.0/22 address-list=dnsflood address-list-timeout=1h 

[wan]

в фаерволе в меню src-addresslist выставляется нужный и слева отмечается квадратик - что означает что исключить именно этот адресс-лист

как листы делать я научился
вы имеете ввиду это сделать для правил по invalid?

Код: Выделить всё

/ip firewall address-list
add address=192.168.38.0/24 list=local
add address=192.168.98.0/24 list=local
add address=192.168.95.0/24 list=local
add address=192.168.195.0/24 list=local
add address=192.168.56.0/24 list=local

/ip firewall filter
add chain=input connection-state=invalid src-address-list=!local action=drop
add chain=forward connection-state=invalid src-address-list=!local action=drop

[Sir_Prikol]

Да, так тоже можно, но, я бы сменил название local на другое, ибо эта переменная где-то в самом микротике используется и могут вылезти не предсказуемые последствия

[wan]

поменял на более произвольное и понятное
Еще один вопрос: каким образом можно исключить все мои сети, возможно даже просто 192.168.0.0/16 из firewall?
В каждом правиле добавлять исключения или можно как-то хитро сделать и более правильно?

Chupaka добавлял в лог и мониторил то, что вы просили, там куча пакетов дропалось как в сторону WAN, так и по всей сети, в основном адреса серверов с портами виндовыми и оракловыми, но так-же много непонятных соединений. Я в этой конторе от вирусов избавлялся в сети года три, возможно еще не все вывел конечно,.... но не похоже на активность вирсную

[Sir_Prikol]

Ну, скажем так, 192.168.0.0/16 не совсем правильно в связке с ростелекомом, он имеет свойство выдавать серую адресацию "случайно"
Поэтому лучше всего использовать адреслисты и в каждом правиле, где надо исключить сеть, их их спользовать

Chupaka добавлял в лог и мониторил то, что вы просили

После добавления исключения по адреслистам, что стало с логами? Очистились или до сих пор присутствует дроп из локальной сети?

[wan]

После добавления исключения по адреслистам, что стало с логами? Очистились или до сих пор присутствует дроп из локальной сети?

Чисто стало
понаблюдаю завтра
Спасибо огромное за подсказки и разъяснения

[Chupaka]

Я писал добавить accept-правило с LAN на LAN перед дропающими

[wan]

Я писал добавить accept-правило с LAN на LAN перед дропающими

добавил, наблюдаю

[wan]

Я писал добавить accept-правило с LAN на LAN перед дропающими

Помогло!

Спасибо огромное