Regras de firewall

[wallner]

Olá amigos,

trabalho em um provedor de internet, temos aqui um servidor PPPoE com autenticação via radius. Nunca tive problemas, mas de uns dias para cá estou tendo uma dor de cabeça enorme, mais ou menos por 2 minutos o meu link do nada vai ao consumo total, ficando toda internet lenta, e tenho percebido que na ether de saida para rua está o consumo X dos clientes, e na ether que chega o link o consumo da uns 4 mgbs a mais. Na hora que acontece o maior consumo, pelo torch na ether do link, consigo ver o ip que está indo tantos megas, porém sempre muda. Tem vezes que aparece como protocolo icmp, as vezes tcp.

Desculpas se não consegui explicar direito, pois estou precisando muito de uma ajuda, com alguma regra de firewall, ou alguma dica

Obrigado

[Acronimo]

Olá amigos,

trabalho em um provedor de internet, temos aqui um servidor PPPoE com autenticação via radius. Nunca tive problemas, mas de uns dias para cá estou tendo uma dor de cabeça enorme, mais ou menos por 2 minutos o meu link do nada vai ao consumo total, ficando toda internet lenta, e tenho percebido que na ether de saida para rua está o consumo X dos clientes, e na ether que chega o link o consumo da uns 4 mgbs a mais. Na hora que acontece o maior consumo, pelo torch na ether do link, consigo ver o ip que está indo tantos megas, porém sempre muda. Tem vezes que aparece como protocolo icmp, as vezes tcp.

Desculpas se não consegui explicar direito, pois estou precisando muito de uma ajuda, com alguma regra de firewall, ou alguma dica

Obrigado

Post print das interfaces

[m4d3]

O amigo pode estar sendo vitima de um ataque, pelo torch capture os ips de origem (src-address), redes com ubnt infectados com skynet se tornam mais vulneráveis a este tipo de ataque, um firewall simples de forward pode bloquear a passagem até o destino mas não vai evitar que um atacante continue disparando o ataque.

Código :

/ip firewall filter
add action=drop chain=forward comment=PC.BLOCK disabled=no src-address-list=ips_bloqueados
add action=drop chain=forward comment=PC.BLOCK disabled=no dst-address-list=ips_bloqueados

Feito isso, adicione os ips que deseja bloquear (capturados pelo torch) a lista 'ips_bloqueados'.

Desejo sucesso...

[m4d3]

Coloque estas regras acima de quaisquer outras...

[wallner]

Obrigado a todos, mas criei uma regra de drop no ping, desde então nunca mais tive problemas!


Abraços

[godoy]

Obrigado a todos, mas criei uma regra de drop no ping, desde então nunca mais tive problemas!


Abraços

Amigo ... aconselharia a estender um pouco mais seu firewall, pois como você havia informado as vezes acontece com ICMP mas as vezes com TCP, se você bloqueou somente o ICMP significa que ainda esta vulnerável.

Faça a liberação do que você quer que funcione e abaixo delas DROP todo o restante. Assim teu firewall estará bem fechado para ataques.

Essa linhagem de firewall pode ser aplicada a qualquer chain (IMPUT, FORWARD ou criada).

Saudações

[wallner]

Muito obrigado amigo Godoy, o que você falou realmente está acontecendo


Olha o que está acontecendo, o Src Addres é o ip do meu servidor.
Tem hora que esse consumo vai bem mais de 10 Mb.
Obs: uso o Dns da Google!

Se alguém puder me da mais uma ajuda! Obrigado

[godoy]

Muito obrigado amigo Godoy, o que você falou realmente está acontecendo ...

Fico feliz quando alguém prospera com um conselho aqui do Under.

... Olha o que está acontecendo, o Src Addres é o ip do meu servidor.
Tem hora que esse consumo vai bem mais de 10 Mb.
Obs: uso o Dns da Google!

Se alguém puder me da mais uma ajuda! Obrigado ...

Amigo ... você tentou fazer conforme expliquei anteriormente (liberando apenas o que quer e no final Drop geral)?

Saudações.

[wallner]

Desculpa a demora para responder, mas fiz o que você disse Godoy, está tudo certo agora!
Tudo funcionando perfeitamente!!

Muito Obrigado

Olha que curioso


Alguns clientes estão navegando mais do que devia! muito estranho..
to usando a versão 5.14


obrigado