Systemshik
@Systemshik

Mikrotik Router закрытие порта 53 и дальнейшие проблемы?

Здравствуйте . Имеется Mikrotik Router CCR1009-8G-1S. Однажды мне позвонил провайдер и сказал что у меня открыт порт 53 через который мой роутер используют для проведения DDOS Attak и что я должен его закрыть. Ну после небольшого поиска в интернете я нашёл как его закрыть , и закрыл. И тут появилась такая проблема простые Wi-Fi роутеры как D-link или TP-Link перестали выдавать интернет , интернет появляется только при отключения дропа этого порта.
Что делать не знаю .
  • Вопрос задан
  • 10821 просмотр
Решения вопроса 1
A_M
@A_M
Основная специализация - системы видеонаблюдения
Подозреваю, что вы его отключили по всем интерфейсам. Закрывать 53 порт нужно по wan-интерфейсу в цепочке INPUT.

chain=input action=drop connection-state=new protocol=udp in-interface=ether1 dst-port=53 log=no log-prefix=""
chain=input action=drop connection-state=new protocol=tcp in-interface=ether1 dst-port=53 log=no log-prefix=""
Примерно так.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
ifaustrue
@ifaustrue
Пишу интересное в теллеграмм канале @cooladmin
ну и "заодно", так сказать. Вам так же нужно сделать:
1. Закрыть NTP
/ip firewall filter add chain=input action=drop connection-state=new protocol=udp in-interface=ether1 dst-port=123 log=no log-prefix=" "
/ip firewall filter add chain=input action=drop connection-state=new protocol=tcp in-interface=ether1 dst-port=123 log=no log-prefix=" "
2. Перейти в IP Services и там выключить лишнее, оставив, скажем, www и winbox
3. На цепочку инпут со стороны внешнего интерфейса повешать правило с connection state established, а остальное drop ровно как в статье
wiki.mikrotik.com/wiki/Securing_New_RouterOs_Router

add chain=input connection-state=established action=accept comment="accept established connection packets" disabled=no in-interface=ether1
add chain=input connection-state=related action=accept comment="accept related connection packets" disabled=no in-interface=ether1
add chain=input connection-state=invalid action=drop comment="drop invalid packets" disabled=no in-interface=ether1
Ответ написан
Systemshik
@Systemshik Автор вопроса
Спасибо получилось, осталось спросить у провайдера всё ли нормально. просто код поменял

/ip firewall filter add chain=input action=drop connection-state=new protocol=udp in-interface=ether1 dst-port=53 log=no log-prefix=" "
/ip firewall filter add chain=input action=drop connection-state=new protocol=tcp in-interface=ether1 dst-port=53 log=no log-prefix=" "
Ответ написан
sizaik
@sizaik
сисадмин, Витебск
Коллеги, а почему бы вообще не закрыть всё, оставив только безусловно необходимое - скажем, управление снаружи по Winbox, если вы им пользуетесь?
/ip firewall action=accept connection-state=new protocol=tcp in-interface=ether1 dst-port=8219 log=no log-prefix=" "
/ip firewall action=accept connection-state=established in-interface=ether1 log=no log-prefix=" "
/ip firewall filter add chain=input action=drop connection-state=new in-interface=ether1
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы