rb493g...attacco?

[Joele]

Saluti a tutti ,
scenario:
modem Telecom su wan1 , connessione ppoe su wan1,routing verso le altre eth varie dove sono collegati pc in wifi e con cavo (una 10ina)..
quando funziona tutto e' cosi:

493_ok1.png

quando succede l'imprevisto e' cosi:

493_nok1.png

Parliamo di connessione resodenziale Telecom adsl 1/20 Mb
Per risolvere il problema basta disconnettere la ppoe e tutto rifunziona con il nuovo ip..
Dalla seconda immagine si nota che ...up e down si invertono
Che ne dite?E' un problema di routerboard o sono sotto attacco
Come posso risolvere?
Grazie.

[steste64]

Cosa dice torch quando sei nella condizione 2 imprevista?

[ppraz]

Sei sicuramente sotto attacco.
Oltre che fare torch come suggerisce Stefano puoi andare in ip -> firewall -> connections
Troverai connessioni da infiniti ip verso il tuo pubblico WAN su tutti i servizi che hai in esecuzione.

Suggeimento:
disabilita tutti i servizi che non servono (o firewallali)
Io per esempio mi sono trovato sotto attacco dns e snmp
Per snmp ho definito gli ip autorizzati a inviare query, per dns invece ho messo una regola su ip -> firewall -> filters
la regola è

Codice: Seleziona tutto

/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=pppoe-out protocol=udp


tu eventualmente specifica una inbound interface diversa, ma credo ti sia come nel caso mio

[Joele]

Allora ,
intanto grazie delle dritte..
appena si verifica "l'imprevisto" provero' con torch e le connessioni sul firewall e vi diro' , intanto ho gia' provveduto a creare la regola nel filter del firewall che attivero' quando si presenta l'imprevisto...
Per quanto riguarda i servizi (intendo IP->Services) ho attivo solo il winbox available solo su lan interna ,poi
ho una regola in Nat (tcp)per un dvr, e una (udp) per un server vpn sempre su lan...
Per il momento non e' ancora capitato...aspetto.
Grazie ancora e stay tuned..

[uniconnect]

In effetti anche io come Stefano prima farei un torch per provare a stabilire la natura dell'attacco, e soprattutto per capire verso quale servizio o device della rete ... non è detto che sia proprio la rb, anche se visti "numeri" è assai probabile...
Cmq potrebbe trattarsi anche di DoS... prova a firewallare il servizio ICMP quando compare l'anomalia
Certamente, come dice il buon ppraz, è buona norma firewallare DNS sempre ...

Ciao

[Joele]

Saluti ,
l'anomalia fino adesso non si e' piu' presentata,per il momento funziona tutto e non ho toccato niente..sperem duri cosi...