Как заблокировать трафик из внутренней сети? Здравствуйте.
Есть Микротик RB951G-2HnD под управлением RouterOS v6. Много месяцев все работает исправно и без сбоев.
И тут внезапно приходит письмо от провайдера со следующим содержанием: "Установленное у вас оборудование пропускает ваш локальный трафик в публичную сеть. Вам необходимо заблокировать посторонний трафик из вашей внутренней сети". В письме приложенный tcpdump, где видно, что адреса из подсети 192.168.1.0/24 ломятся с разных портов на внешние адреса по 80 и 443 портам (веб трафик).
На Микротике реализован bridge-local, вот часть правил файрвола:chain=input action=accept connection-state=established,related log=no log-prefix=""
chain=input action=drop in-interface=IPS log-prefix=""
chain=forward action=accept connection-state=established,related log=no log-prefix=""
chain=forward action=accept in-interface=bridge-local out-interface=IPS log-prefix=""
chain=forward action=accept in-interface=IPS out-interface=bridge-local log-prefix=""
Пробовал запретить локальной подсети обращаться на интерфейс провайдера, но это не помогло:chain=output action=drop dst-address=192.168.1.0/24 out-interface=IPS log=no log-prefix=""
Через wireshark видно, что пакеты локальных клиентов уходят на bridge-local.
Никак не могу до конца сообразить решение данной проблемы. Подскажите, в какую сторону копать?
Как заблокировать трафик из внутренней сети? Здравствуйте.
Есть Микротик RB951G-2HnD под управлением RouterOS v6. Много месяцев все работает исправно и без сбоев.
И тут внезапно приходит письмо от провайдера со следующим содержанием: "Установленное у вас оборудование пропускает ваш локальный трафик в публичную сеть. Вам необходимо заблокировать посторонний трафик из вашей внутренней сети". В письме приложенный tcpdump, где видно, что адреса из подсети 192.168.1.0/24 ломятся с разных портов на внешние адреса по 80 и 443 портам (веб трафик).
На Микротике реализован bridge-local, вот часть правил файрвола:chain=input action=accept connection-state=established,related log=no log-prefix=""
chain=input action=drop in-interface=IPS log-prefix=""
chain=forward action=accept connection-state=established,related log=no log-prefix=""
chain=forward action=accept in-interface=bridge-local out-interface=IPS log-prefix=""
chain=forward action=accept in-interface=IPS out-interface=bridge-local log-prefix=""
Пробовал запретить локальной подсети обращаться на интерфейс провайдера, но это не помогло:chain=output action=drop dst-address=192.168.1.0/24 out-interface=IPS log=no log-prefix=""
Через wireshark видно, что пакеты локальных клиентов уходят на bridge-local.
Никак не могу до конца сообразить решение данной проблемы. Подскажите, в какую сторону копать?
Есть Микротик RB951G-2HnD под управлением RouterOS v6. Много месяцев все работает исправно и без сбоев.
И тут внезапно приходит письмо от провайдера со следующим содержанием: "Установленное у вас оборудование пропускает ваш локальный трафик в публичную сеть. Вам необходимо заблокировать посторонний трафик из вашей внутренней сети". В письме приложенный tcpdump, где видно, что адреса из подсети 192.168.1.0/24 ломятся с разных портов на внешние адреса по 80 и 443 портам (веб трафик).
На Микротике реализован bridge-local, вот часть правил файрвола:chain=input action=accept connection-state=established,related log=no log-prefix=""
chain=input action=drop in-interface=IPS log-prefix=""
chain=forward action=accept connection-state=established,related log=no log-prefix=""
chain=forward action=accept in-interface=bridge-local out-interface=IPS log-prefix=""
chain=forward action=accept in-interface=IPS out-interface=bridge-local log-prefix=""
Пробовал запретить локальной подсети обращаться на интерфейс провайдера, но это не помогло:chain=output action=drop dst-address=192.168.1.0/24 out-interface=IPS log=no log-prefix=""
Через wireshark видно, что пакеты локальных клиентов уходят на bridge-local.
Никак не могу до конца сообразить решение данной проблемы. Подскажите, в какую сторону копать?
Не можешь разобраться в этой теме?
Обратись за помощью к экспертам
Гарантированные бесплатные доработки
Быстрое выполнение от 2 часов
Проверка работы на плагиат
Интересные статьи из справочника
Поможем написать учебную работу
Отвечай на вопросы, зарабатывай баллы и трать их на призы.
Подробнее
Подробнее
Для блокировки трафика из внутренней сети на Микротике, вам нужно создать правило файрвола, которое будет блокировать пакеты с исходящим адресом из вашей внутренней сети (192.168.1.0/24) на порты 80 и 443.
Пример правила файрвола для блокировки исходящего трафика из внутренней сети на порты 80 и 443:
/ip firewall filteradd chain=forward src-address=192.168.1.0/24 protocol=tcp dst-port=80,443 action=drop
После добавления данного правила, все пакеты с исходящим адресом из внутренней сети на порты 80 и 443 будут блокироваться.
Также убедитесь, что правильно настроены ваши интерфейсы (IPS и bridge-local) и правила файрвола применены в правильном порядке. Если проблема не решается, рекомендуется обратиться к специалистам по настройке сетевого оборудования.