Роутер Mikrotik как заблокировать чужой транзитный трафик по UDP?

Question

[HodOut]

Здравствуйте.
Оборудование Mikrotik hEX (RB750Gr3)
Пакеты 6.49.7
Прошивка 6.49.7
Подключение к провайдеру Ростелеком через PPPoE, физический порт подключения eth1. Оборудование работает пару лет.

Сегодня появилась проблема, на порту eth1, куда подключен кабель от провайдера появился трафик, по всей видимости видео через мой роутер пошло.


Причем трафик показывает именно на eth1, а не на PPPoE соединение с провайдером. В списке соединений этого трафика нет. Bridge не используется, нет socks, web прокси. Никаких протоколов маршрутизации нет, левых пользователей на устройстве нет. VPN нет.

В маршрутизации только добавленные мной маршруты. Маршрут к 0.0.0.0/0 через PPPoE интерфейс. В RAW пусто. Сервисные порты все выключены, из сервисов только Winbox, остальные выключены.

Не могу закрыть этот чужой трафик, в IP > Firewall > Connections его нет. Правила логирования его соответственно не видят. Пробовал в маршрутизации добавить чужие адреса с типом blackhole роутер их не видит, а трафик по прежнему идет.

FastPath как я понимаю только на Bridge можно сделать, но у меня Bridge не используется.

И тем не менее трафик идет и я не понимаю, как его заблокировать. Заявку провайдеру оставил, но не факт, что поможет, так как оборудование мое.

Comments

[rPman]

если это трафик вне pppoe соединения то либо это провайдер накосячил либо... может кто то к тебе на линию подсел и гадит? ну это точно маловероятно, бессмысленно и сложно.

позвони провайдеру, операторо сразу скажи чтобы соединял со специалистом, скажи как есть, оператор поймет по словарному запасу что ты не рядовой пользователь и соединит

для провайдера опасность может быть в том что по ошибке он может чужой приватный трафик тебе лить, что не секурно, так что думаю пошевелятся

[HodOut]

IP которому идет трафик из другого региона, но тоже ростелеком. Я в данный момент не очень понимаю, как получилось помимо PPPoE соединения гнать этот трафик. И не понимаю, а как его заблокировать то. Случаи, когда из сети провайдера технически было возможно подключиться к сети клиента за роутером я слышал, но там с NAT были вопросы.

[Strabbo]

HodOut,

IP которому идет трафик из другого региона, но тоже ростелеком.

IP, которму идет траффик это мультикаст, он никому не принадлежит.

Я в данный момент не очень понимаю, как получилось помимо PPPoE соединения гнать этот трафик.

Скорее всего у провайдера не настроен IGMP snooping и поэтому траффик идет кому надо и кому не надо(вам).

А теперь давайте разберемся с проблемой. траффик можно дропнуть фаерволом, но на порт он к вам всёравно прилетит. Если задача снизить нагрузку на порт, то фаервол вам не поможет.
Если хотите просто избавиться от этого траффика, то вам помодет только ТП провайдера.

P.S. тут по мелочам пройдемся

по всей видимости видео через мой роутер пошло

через ваш роутер ничего не идет, идет соседям ну и к вам заодно и потом на вашем же роутере этот трафик дропается если вы не используете IPTV.

Причем трафик показывает именно на eth1

Потому что траффик идет к вам со свича, а не с PPOE сервера.

[HodOut]

А теперь давайте разберемся с проблемой. траффик можно дропнуть фаерволом, но на порт он к вам всёравно прилетит.

Спасибо, это я понимаю, но в Firewall не вижу этого трафика :(. В IP - Settings вообще все поотключал, чтобы точно не работали технологии обхода фильтра. Трафик не вижу в Firewall. Заблокировать на входе было бы спокойнее. Вот только не понимаю как, если в Connections его нет.


Пока надеюсь, что проблема на стороне провайдера, но все равно не спокойно на душе от такого.

[Strabbo]

HodOut,

Вот только не понимаю как, если в Connections его нет.

Не сильно знаком с микротиком, но насколько я помню Connections показывет траффик который идет к роутеру на CPU или транзит. А этот мультикаст никуда не идет) так что скорее всего его в списке его не будет. На микротике нельзя просто на интерфейс повесить правило, которое запретит траффик, который у вас виден через торч?

[HodOut]

На микротике нельзя просто на интерфейс повесить правило, которое запретит траффик, который у вас виден через торч?

Я раньше думал, что можно. Теперь знаю, что не всегда :).
В свойствах switch есть кстати опция потенциально похожая, редирект на CPU, но в моем чипе это не поддерживается.

[Strabbo]

HodOut, Это пробовали?

[HodOut]

Strabbo, да. Все сводится к тому, что этот трафик не попадает в цепочку firewall, и поэтому не знаю как еще кроме как в firewall его заблокировать. Секция RAW ни output ни prerouting так же не помогают.

[Strabbo]

HodOut, Ну смотрите, этот трафик приходя на ваш роутер просто дропается. с фаерволом вы добьетесь того же. смысла что-то делать в вашем случае на фаерволе нету, потому что траффик все равно придет к вам на порт. Если у вас забивается канал и вы не можете получить скорость, которую купили у провайдера, тогда стоит ругаться с провайдером. А если проблем нету, то пусть будет так как есть сейчас.

[HodOut]

Strabbo, спасибо за поддержку! Конфиг своего роутера откатил на исходный после всех изменений. Время реакции у провайдера 12 часов, буду ждать ответа. Работе почти не мешает, процессор на 3 процента нагружен. Хорошо, что нет теперь оплаты за гигабайты, а то насчитали бы :).

[Strabbo]

HodOut,

Хорошо, что нет теперь оплаты за гигабайты, а то насчитали бы :).

Не волнуйтесь, в вашем случае трафик считается на pppoe сервере :) так что ниче там не насчитали бы

Answer 1

[Drno]

я у РТ обычно делаю те же правила блокировки в фаерволле на eth1 что и на ppoe(WAN)

Comments

[HodOut]

Проблема в том, что я этот трафик вижу только через torch на eth1, в Firewall и в IP > Firewall > Connections этот трафик не отображается, соответственно ни правило логирования, ни запрета не работают.

[Drno]

HodOut, ну как то очень странно

Answer 2

[Gansterito]

Это мультикаст трафик ТВ Ростелеком.
Вполне возможно, что даже не кодированный.
Подключитесь ноутбуком с VLC и посмотрите.
Лучше в техподдержку Ростелеком сказать что-то вроде "получаю большое количество multicast-трафика, хотя не пользуюсь услугами ТВ, прошу проверить корректность работы IGMP на оборудовании доступа". Возможно, кто-то на 2-ом уровне поддержки обратит внимание на Ваш ТТ и исправит проблему.

Answer 3

[HodOut]

Спасибо всем, кто откликнулся. Решено провайдером, перенастроили свое оборудование.