BelongToDiE
@BelongToDiE

Как заблокировать трафик из внутренней сети?

Здравствуйте.

Есть Микротик RB951G-2HnD под управлением RouterOS v6. Много месяцев все работает исправно и без сбоев.

И тут внезапно приходит письмо от провайдера со следующим содержанием: "Установленное у вас оборудование пропускает ваш локальный трафик в публичную сеть. Вам необходимо заблокировать посторонний трафик из вашей внутренней сети". В письме приложенный tcpdump, где видно, что адреса из подсети 192.168.1.0/24 ломятся с разных портов на внешние адреса по 80 и 443 портам (веб трафик).

На Микротике реализован bridge-local, вот часть правил файрвола:
chain=input action=accept connection-state=established,related log=no log-prefix="" 
chain=input action=drop in-interface=IPS log-prefix="" 
chain=forward action=accept connection-state=established,related log=no log-prefix="" 
chain=forward action=accept in-interface=bridge-local out-interface=IPS log-prefix="" 
chain=forward action=accept in-interface=IPS out-interface=bridge-local log-prefix=""

Пробовал запретить локальной подсети обращаться на интерфейс провайдера, но это не помогло:
chain=output action=drop dst-address=192.168.1.0/24 out-interface=IPS log=no log-prefix=""

Через wireshark видно, что пакеты локальных клиентов уходят на bridge-local.

Никак не могу до конца сообразить решение данной проблемы. Подскажите, в какую сторону копать?
  • Вопрос задан
  • 1208 просмотров
Пригласить эксперта
Ответы на вопрос 5
@MechanID
Админ хостинг провайдера
Проверить нат(маскарадинг)
Проверить что wan порт не в бридже с lan портами
Ответ написан
@notwrite
Маскарад включить
Ответ написан
hempy80
@hempy80
Внесистемный администратор
Эмм, а интернет у ваших пользователей работает?
Ответ написан
@sanglyb
Проверьте, что бы в бридже не было объединения провайдеров и Лан портов. В ip firewall nat проверьте, что бы было правило маскарадинга.
Ответ написан
Комментировать
msHack
@msHack
заблокируйте трафик на внешнем порту это запретить входящий трафик на WAN порту

5eaec7f180be9288606169.png

chain input

протокол TCP

any port 443

in interface pppoe

action=drop
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы