Роутер Mikrotik, утекает трафик. Как найти причину?

Question

[Faint]

Вечер добрый! Имеется Mikrotik 951G в доме как домашний роутер. Начал замечать утечку трафика, причем исходящего! Заметил по графикам использования интерйфейса l2tp.


Даже ночью он присутствует, когда все компьютеры, телефоны, планшеты выключены 100%. Для проверки выдергивал кабель к компьютеру - трафик утекает. Через компьютер, что шнурком подключен, выключал wifi - трафик течет. Как только включу интерфейс l2tp, так сразу утекает. Причем, ресурсы динамически меняются и просто запретить исходящий на определенный адрес не получится. Адреса постоянно каких-либо хостеров или провайдеров.

Будьте добры, помогите советом как найти причину этого.

Answer 1

[shur1k]

Был похожий случай, служба DNS оказалась открыта извне и ее активно использовали.
Вычислил с помощью /tool torch и /tool profile. Закрыл 53 порт на внешнем интерфейсе и все стало нормально.

ip firewall filter add chain=input dst-address=1.2.3.4 protocol=udp dst-port=53 action=drop

Comments

[Faint]

Хм, dns usage около 95% и правда. Что же писать в dst-address, если испольщую локальный dns? Локальный днс сервер?

[shur1k]

Добавьте адрес внешнего интерфейса wan

[Дмитрий Лебедев]

Тоже столкнулся с подобной проблемой http://forum.mikrotik.com/viewtopic.php?f=2&t=75318

Answer 2

[Grims]

Что ж Вы так рубите сплеча? Слишком брутально, нужно изящнее коллеги, изящнее!

/ip firewall filter
add action=add-src-to-address-list address-list="dns flood" address-list-timeout=1h chain=input dst-port=53 in-interface=ether1 protocol=udp
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp src-address-list="dns flood"

Comments

[vitrusnet]

Grims Ваше правило схоже с некими ресурсами. Не знаю кто автор. Но оно работает. У меня загрузка CPU с 70- 89 % упала до 5-7%. Молодца. Спасибо.

[SM95]

та же проблема как у автора вопроса была, только на pptp интерфейсе. После применения правил, также как у vitrusnet загрузка с CPU упала до минимума и лишний трафик на интерфейса исчез. Спасибо.

[sezonovb]

Помогло, также упала нагрузка CPU.

[Superalpina]

Спасибо , реально работает !

[ZardoZAntony]

А зачем рубить только второй запрос? Если мы не хотим быть DNS сервером, то мы рубим сразу 53 порт наглухо. И нагрузка меньше будет.

[Grims]

ZardoZAntony, ну в таком случае два правила не нужно, они больше для анализа: кто и откуда ломиться, как часто, чтобы принять окончательное решение или написать более специфичный фильтр, если Mikrotik исполняет функции DNS сервера.
А если ваше устройство все таки не должно быть резолвером DNS извне, то тогда можно и так:

[admin@Mikrotik] > ip dns set allow-remote-requests=no