Сыпется трафик из локалки во внешку

Базовая функциональность RouterOS
Slan
Сообщения: 3
Зарегистрирован: 13 апр 2021, 18:41

Сыпется трафик из локалки во внешку

Сообщение Slan »

Добрый день, подскажите пожалуйста.
провайдер жалуется что трафик из моей внутренней сети сыпется во внешку NAT
Не могу понять как в обход NAT это выходит?
Провайдер также прислал логи:
Apr 13 14:24:46 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.107.x(0) -> 107.155.53.x(0), 1 packet
Apr 13 14:24:51 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.106.x(0) -> 95.167.139.x(0), 1 packet
Apr 13 14:24:55 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.107.x(0) -> 64.233.162.x(0), 1 packet
Apr 13 14:25:00 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.106.x(0) -> 91.213.144.x(0), 1 packet
Apr 13 14:25:09 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.108.x(0) -> 87.250.251.x(0), 1 packet
Apr 13 14:25:23 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.108.x(0) -> 157.240.205.x(0), 1 packet
Apr 13 14:25:49 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.107.x(0) -> 31.13.72.x(0), 1 packet
Apr 13 14:26:00 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.106.x(0) -> 5.255.255.x(0), 1 packet
Apr 13 14:26:41 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.107.x(0) -> 62.115.252.x(0), 1 packet
Apr 13 14:27:21 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.107.x(0) -> 80.239.137.x(0), 1 packet
Apr 13 14:28:12 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.107.x(0) -> 87.250.251.x(0), 1 packet
Apr 13 14:28:14 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.107.x(0) -> 213.180.204.x(0), 1 packet
Apr 13 14:28:25 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.107.x(0) -> 107.155.53.x(0), 1 packet
Apr 13 14:28:29 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.107.x(0) -> 62.128.100.x(0), 1 packet
Apr 13 14:28:35 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.107.x(0) -> 185.157.97.x(0), 1 packet
Apr 13 14:28:46 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.107.x(0) -> 87.250.250.x(0), 1 packet
Apr 13 14:28:51 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.108.x(0) -> 88.221.16.x(0), 1 packet
Apr 13 14:29:09 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.107.x(0) -> 31.13.72.x(0), 1 packet
Apr 13 14:29:15 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.107.x(0) -> 31.13.72.x(0), 1 packet
Apr 13 14:29:22 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.106.x(0) -> 91.213.144.x(0), 1 packet
Apr 13 14:29:38 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.108.x(0) -> 162.247.243.x(0), 1 packet
Apr 13 14:29:46 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.107.x(0) -> 17.57.146.x0), 1 packet
Apr 13 14:30:10 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.108.x(0) -> 52.210.122.x(0), 1 packet
Apr 13 14:30:19 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.106.x(0) -> 217.69.133.x(0), 1 packet
Apr 13 14:31:21 MSK: %SEC-6-IPACCESSLOGP: list denied tcp 172.30.107.x(0) -> 80.239.137.x(0), 1 packet

Из железо это Mikrotik CCR1009-8G-1S-1S+
Аватара пользователя
Chupaka
Сообщения: 3081
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Сыпется трафик из локалки во внешку

Сообщение Chupaka »

Приветствую.

А у вас в forward дропаются пакеты с connection-state=invalid?
Slan
Сообщения: 3
Зарегистрирован: 13 апр 2021, 18:41

Re: Сыпется трафик из локалки во внешку

Сообщение Slan »

Chupaka писал(а): 14 апр 2021, 02:20 Приветствую.

А у вас в forward дропаются пакеты с connection-state=invalid?
Да, вы думаете из за этого?
Аватара пользователя
Chupaka
Сообщения: 3081
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Сыпется трафик из локалки во внешку

Сообщение Chupaka »

Нет, это могло бы быть из-за того, что не дропаются... А SRC-NAT у вас как выглядит? Он точно всё покрывает?
Slan
Сообщения: 3
Зарегистрирован: 13 апр 2021, 18:41

Re: Сыпется трафик из локалки во внешку

Сообщение Slan »

Обычно, SRC-NAT на SRC-NAT на IP адрес который предоставляет провайдер.
Маскарадом не пользуюсь так как имею белый IP адрес.
Также у меня есть небольшое кол-во accept правил сетей для работы IPsec esp там задействованы в основном src и dst адреса, но не думаю что они как-то связаны.