Неизвестные устройста в обзоре сети.

Базовая функциональность RouterOS
Аватара пользователя
r136a8
Сообщения: 185
Зарегистрирован: 04 дек 2017, 00:01

Неизвестные устройста в обзоре сети.

Сообщение r136a8 »

Добрый день, использую RB4011
на Mac OS в обзоре сети заметил новые устройства ( у меня таких пак нет) меня что взломали?
https://i86.fastpic.ru/big/2019/0904/ab ... b996ab.png
https://i86.fastpic.ru/big/2019/0904/44 ... 2f4944.png
Неизвестные устройства minint* и stilecpe

В IP - DHCP Srrver - Leases новых IP нет, как и где еще можно посмотреть, как можно разобраться?

Мой firewall:

Код: Выделить всё

# model = RB4011iGS+5HacQ2HnD
/ip firewall filter
add action=reject chain=forward comment=\
    "No packet walking between the bridges" in-interface=bridge4-NET-G \
    out-interface=bridge1-NET-V reject-with=icmp-network-unreachable
add action=reject chain=forward in-interface=bridge4-NET-G out-interface=\
    bridge2-NET-E reject-with=icmp-network-unreachable
add action=reject chain=forward in-interface=bridge4-NET-G out-interface=\
    bridge3-NET-S reject-with=icmp-network-unreachable
add action=reject chain=forward in-interface=bridge1-NET-V out-interface=\
    bridge4-NET-G reject-with=icmp-network-unreachable
add action=reject chain=forward in-interface=bridge2-NET-E out-interface=\
    bridge4-NET-G reject-with=icmp-network-unreachable
add action=reject chain=forward in-interface=bridge3-NET-S out-interface=\
    bridge4-NET-G reject-with=icmp-network-unreachable
add action=drop chain=forward comment=Huawei connection-mark="" disabled=yes \
    src-address=192.168.6.23
add action=drop chain=input comment="Drop access to DNS from WAN" dst-port=53 \
    in-interface-list=WANs protocol=tcp
add action=drop chain=input dst-port=53 in-interface-list=WANs protocol=udp
add action=accept chain=forward comment=\
    "Forward and Input Established and Related connections" connection-state=\
    established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=add-src-to-address-list address-list=ddos-blacklist \
    address-list-timeout=1d chain=input comment=\
    "DDoS Protect - Connection Limit" connection-limit=100,32 \
    in-interface-list=WANs protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp \
    src-address-list=ddos-blacklist
add action=jump chain=forward comment="DDoS Protect - SYN Flood" \
    connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=WANs \
    jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet \
    protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
    tcp-flags=syn
add action=drop chain=input comment="Protected - Ports Scanners" \
    src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" \
    address-list-timeout=none-dynamic chain=input in-interface-list=WANs log=\
    yes protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="1.5. Protected - WinBox Access" \
    src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List Winbox" \
    address-list-timeout=none-dynamic chain=input connection-state=new \
    dst-port=38391 in-interface-list=WANs log=yes log-prefix="BLACK WINBOX" \
    protocol=tcp src-address-list="Winbox Stage 3"
add action=add-src-to-address-list address-list="Winbox Stage 3" \
    address-list-timeout=1m chain=input connection-state=new dst-port=38391 \
    in-interface-list=WANs protocol=tcp src-address-list="Winbox Stage 2"
add action=add-src-to-address-list address-list="Winbox Stage 2" \
    address-list-timeout=1m chain=input connection-state=new dst-port=38391 \
    in-interface-list=WANs protocol=tcp src-address-list="Winbox Stage 1"
add action=add-src-to-address-list address-list="Winbox Stage 1" \
    address-list-timeout=1m chain=input connection-state=new dst-port=38391 \
    in-interface-list=WANs protocol=tcp
add action=accept chain=input dst-port=38391 in-interface-list=WANs protocol=\
    tcp
add action=accept chain=input comment="Access Normal Ping" in-interface-list=\
    WANs limit=50/5s,2:packet protocol=icmp
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WANs
add action=drop chain=input comment=Bogon_Wan_Drop in-interface-list=WANs \
    src-address-list=BOGONS
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface-list=WANs
https://i87.fastpic.ru/big/2019/0904/6e ... 83376e.jpg

Прошу помощи чтоб разобраться с этим и закрыть дыры если существуют.

Спасибо.

Аватара пользователя
Chupaka
Сообщения: 2622
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Неизвестные устройста в обзоре сети.

Сообщение Chupaka »

Добрый.

Скриншоты правил файрвола - одна из самых бесполезных штук, которые я знаю :)

В интернетиках пишут, что minint и stilecpe - это всякие версии Windows PE (первая, например, используется Symantec Ghost'ом).

У вас сеть состоит из единственного RB4011, к которому подключены все другие устройства?

В целом, идите в Bridge -> Hosts, смотрите, где у вас чего неучтённого светится, для начала.

Аватара пользователя
r136a8
Сообщения: 185
Зарегистрирован: 04 дек 2017, 00:01

Re: Неизвестные устройста в обзоре сети.

Сообщение r136a8 »

Chupaka писал(а):
05 сен 2019, 11:54
В интернетиках пишут, что minint и stilecpe - это всякие версии Windows PE (первая, например, используется Symantec Ghost'ом).
Несколько раз восстанавливал пк через Acronis True Image (может это он был?)
Chupaka писал(а):
05 сен 2019, 11:54
У вас сеть состоит из единственного RB4011, к которому подключены все другие устройства?
да
Chupaka писал(а):
05 сен 2019, 11:54
В целом, идите в Bridge -> Hosts, смотрите, где у вас чего неучтённого светится, для начала.
В Bridge -> Hosts на мой взгляд все чисто, все мое!
https://i86.fastpic.ru/big/2019/0909/b7 ... a47ab7.jpg
тут я правда не очень понял почему так много записей от точки доступа RBcAP2nD и mac адеса разные чем на коробке (те что ниже первых двух) за исключение первых двух тех что выделен красным

Аватара пользователя
Chupaka
Сообщения: 2622
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Неизвестные устройста в обзоре сети.

Сообщение Chupaka »

А в DHCP никаких устройств этих нет?

Откуда взялась RBcAP2nD?..

Аватара пользователя
r136a8
Сообщения: 185
Зарегистрирован: 04 дек 2017, 00:01

Re: Неизвестные устройста в обзоре сети.

Сообщение r136a8 »

Chupaka писал(а):
09 сен 2019, 15:03
А в DHCP никаких устройств этих нет?

Откуда взялась RBcAP2nD?..

В DHCP- Leases таких устройст нет, да. Немогу сказать откуда они взялись, так-как сам не понимаю.

RBcAP2nD подключен через 10й порт и настроен capsman.

Аватара пользователя
Chupaka
Сообщения: 2622
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Неизвестные устройста в обзоре сети.

Сообщение Chupaka »

r136a8 писал(а):
09 сен 2019, 15:51
В DHCP- Leases таких устройст нет, да. Немогу сказать откуда они взялись, так-как сам не понимаю.
Они до сих пор есть?..
r136a8 писал(а):
09 сен 2019, 15:51
RBcAP2nD подключен через 10й порт и настроен capsman.
А говорили, что RB4011 - единственный :)

Аватара пользователя
r136a8
Сообщения: 185
Зарегистрирован: 04 дек 2017, 00:01

Re: Неизвестные устройста в обзоре сети.

Сообщение r136a8 »

Chupaka писал(а):
09 сен 2019, 17:41
Они до сих пор есть?..
да ничего не изменилось

Chupaka писал(а):
09 сен 2019, 17:41
А говорили, что RB4011 - единственный :)
извените я видно не понял, к RB4011 подключен как точка доступа RBcAP2nD

Аватара пользователя
Chupaka
Сообщения: 2622
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Неизвестные устройста в обзоре сети.

Сообщение Chupaka »

r136a8 писал(а):
09 сен 2019, 18:02
Chupaka писал(а):
09 сен 2019, 17:41
Они до сих пор есть?..
да ничего не изменилось
Т.е. в обзоре вы их видите, но в Hosts никого в этот момент не появляется?.. Даже интересно, откуда ответы приходят :) Может, WireShark'ом посмотреть, кто это такие?..