Как заблокировать трафик из внутренней сети?

Question

[BelongToDiE]

Здравствуйте.

Есть Микротик RB951G-2HnD под управлением RouterOS v6. Много месяцев все работает исправно и без сбоев.

И тут внезапно приходит письмо от провайдера со следующим содержанием: "Установленное у вас оборудование пропускает ваш локальный трафик в публичную сеть. Вам необходимо заблокировать посторонний трафик из вашей внутренней сети". В письме приложенный tcpdump, где видно, что адреса из подсети 192.168.1.0/24 ломятся с разных портов на внешние адреса по 80 и 443 портам (веб трафик).

На Микротике реализован bridge-local, вот часть правил файрвола:

chain=input action=accept connection-state=established,related log=no log-prefix="" 
chain=input action=drop in-interface=IPS log-prefix="" 
chain=forward action=accept connection-state=established,related log=no log-prefix="" 
chain=forward action=accept in-interface=bridge-local out-interface=IPS log-prefix="" 
chain=forward action=accept in-interface=IPS out-interface=bridge-local log-prefix=""

Пробовал запретить локальной подсети обращаться на интерфейс провайдера, но это не помогло:

chain=output action=drop dst-address=192.168.1.0/24 out-interface=IPS log=no log-prefix=""

Через wireshark видно, что пакеты локальных клиентов уходят на bridge-local.

Никак не могу до конца сообразить решение данной проблемы. Подскажите, в какую сторону копать?

Comments

[Дмитрий Шицков]

INPUT - трафик приходящий на роутер (терминируется соединение на нём)
OUTPUT - трафик уходящий с роутера (генерируется роутером)
FORWARD - транзитный трафик.

Если у вас кто-то или что-то ломится с серыми адресами, то у вас с NAT что-то не так

[Wexter]

у вас трафик из 192.168.1.0/24 в сторону провайдера не попадает под NAT по каким-то причинам. Смотрите правила в таблице NAT

[Vladimir Zhurkin]

BelongToDiE обычно такое бывает, когда сеть воткнули в switch провайдера.
Я бы смотрел провод провайдера снифером на предмет откуда ветер дует, не думаю что тут настройки в тики виноваты

Answer 1

[Владимир]

Проверить нат(маскарадинг)
Проверить что wan порт не в бридже с lan портами

Comments

[BelongToDiE]

wan порта нет в бридже, маскарадинг стоит:

chain=srcnat action=masquerade out-interface=IPS log-prefix=""

[Владимир]

оч странно - берите тогда torch и смотрите трафик на интерфейсе IPS

[BelongToDiE]

в торче показывает, что пакеты уходят с внешних адресов на адрес IPS.

[Владимир]

Это нормально - явной проблемы не видно. Похоже вам стоит уточнить проблему с техподдержкой провайдера. Попробывать воспроизвести проблему и тд.

[BelongToDiE]

Владимир, спасибо, скорее всего, так и поступлю после выходных.

Answer 2

[Денис]

Маскарад включить

Comments

[BelongToDiE]

спасибо за наводку. я так понимаю, включать надо маскарад на bridge-local для цепочки srcnat?

232    ;;; bridge-local
      chain=srcnat action=masquerade out-interface=bridge-local log=no log-prefix=""

[Денис]

Вам в сторону провайдера надо маскарад, а не в сторону локальной сети

[BelongToDiE]

Денис, в сторону провайдера уже было создано правило для маскарада, потому и уточнил про bridge-local

1    ;;; IPS
      chain=srcnat action=masquerade out-interface=IPS log-prefix=""

[Денис]

А в самом маскараде никаких условий нет?
Проверить что wan порт не в бридже с lan портами. И в провайдерский провод не включен какой коммутатор

[BelongToDiE]

Денис, никаких других условий нет. интерфейс провайдера отсутствует в бридже, а кабель прова идет сразу в микротик. сейчас нагуглил еще один из вариантов решения:

/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 action=masquerade

проверяю, как отработает

[nApoBo3]

BelongToDiE, это у вас будет маскарад с ваших адресов, которые могут идти и не в интерфейс провайдера.

Answer 3

[Dmitry]

Эмм, а интернет у ваших пользователей работает?

Comments

[BelongToDiE]

конечно работает :)

[nApoBo3]

BelongToDiE, Если работает, значит этот тип трафика ходит корректно, иначе бы не работал.

Answer 4

[sanglyb]

Проверьте, что бы в бридже не было объединения провайдеров и Лан портов. В ip firewall nat проверьте, что бы было правило маскарадинга.

Answer 5

[Руслан]

заблокируйте трафик на внешнем порту это запретить входящий трафик на WAN порту



chain input

протокол TCP

any port 443

in interface pppoe

action=drop