Неизвестный IP в таблице ARP

[6apakyda]

Открыл winbox и увидел в таблице ARP, что интерфейс второго провайдера получил непонятный IP. Я сразу отключил передачу трафика через этот интерфейс, но привязывать Ip в таблице пока не хочу, ведь надо найти виновника.
В голове крутится мысль, что на каком-то из ПК в сети завёлся вирус, который притворяется dhcp сервером!?
Подскажите что делать? Какие вообще мысли по этому странному поводу...
Спасибо

[Chupaka]

"интерфейс второго провайдера" - это какой? телепатов тут нет и чем IP непонятен? как адрес получается от провайдера статика/dhcp)?

[6apakyda]

Второй провайдер висит на интерфейсе eth1, и в таблице арп его никогда не было, а тут появился интерфейс с неизвестным мне ip. В настройках все адреса статичные и dhcp нету.
В общем в итоге я нашёл проблему:
Оказалось, что кто-то из вне подключался(?) к днс, и что-то через него делал, но вот почему он оказался в таблице арп я не понял в итоге:
1. Убрал галочку разрешающую всем кому не лень обращаться к днс на микротике (Allow Remote Requests)

DNS.png

2. Добавил правило чтобы блокировать все пакеты на 53 порт, на все интерфейсы кроме eth2(смотрит в локальную сеть)
0 chain=input action=drop protocol=udp in-interface=!ether2 dst-port=53 log=no log-prefix="query_in_drop"

И алилуя, непонятный ip исчез из таблицы арп

[Chupaka]

Если у клиентов указан DNS роутера, то Allow remote requests всё же придётся вернуть

[6apakyda]

У клиентов указан dns не роутера, но если бы был указан роутера и поставлена галочка, то как бороться с вредителями?

[Chupaka]

Как всегда: закрывать доступ к роутеру из Интернета, разрешать только нужное и в малых дозах