forum.lan.md

[flamenco]

У меня ситуация следующая: многие пользователи не заботятся об антивирусной защите, в результате через рутер проходит куча всяких непонятных УДП соединений.
В графе DST-address указан адрес с портом=0.
Кроме таких соединений, от многих пользователей по сети летит и куча другого мусора...
подскажите, как быть в такой ситуации?

[BuTaMuH]

MikroTik RouterOS – CommandLine Interface - BlockSpam
Часто возникает проблема, когда какая то рабочая станция заражается червем и начинает
слать спам, соответственно через какое то время , если вовремя не среагировать ваш IP
добавляют в спам-базы, и если у вас стоит почтовик на том же IP то начинаются проблемы с
хождением почты.
Данный пример продемонстрирует , как можно легко на МТ сделать пару правил и
блокировать нежелательный спам трафик.
1. Блокируем спамеров или инфицированных пользователей:
/ ip firewall filter
add chain=forward protocol=tcp dst-port=25 src-address-list=spammer
action=drop
2. Определяем и добавляем в лист пользователей инфицированных SMTP вирусом или
спамеров.
/ ip firewall filter
add chain=forward protocol=tcp dst-port=25 connection-limit=30,32
limit=50,5 src-address-list=!spammer action=add-src-to-address-list
address-list=spammer address-list-timeout=1d
Когда обнаружится пользователь, инфицированный SMTP червем или спамер то правило
добавит пользователя в лист spammer и блокирует исходящих SMTP трафик для него на 1
день.

Взято отсюда!
Ну и конечно антивирусы каждому пользователю. Я например звонил и говорил чтоб переустановили себе систему и антивирус, и юзер никогда не отказывался.... даже некоторые говорили: "Так вот почему у меня в последнее время чёт компьютер тормозит" . А спам по 25 порту я видел в 3х сетях после того как заметил в своей от одного пользователя, так что советую проверить, тем более что были случаи когда провайдер названивал и уведомлял что с "вашего ИП" идёт спам.

[flamenco]

надо будет добавить такое правило на всякий пожарный, хотя у меня смтп спамеров вроде нет...
что же делать в моем случае, когда создаются какие-то левые соединения по порту = 0 ? микротик их, по-моему, даже не маркирует...

[BuTaMuH]

а ты где их видишь в connections? или через Touch? Может проблема в самих настройках МТ?

[flamenco]

в connections:

через torch

[KirillTs]

GARENA НЕ НАРКО.... тфу... НЕ ВИРУС

[BuTaMuH]

ну как сказать пару узеров лишились своих аккаунтов там. Я думаю что Гарена хак - опасная штучка, иногда даже тазик жутко тормозит от неё. Я вот тоже заметил что она у мну по 1513 работает. Сегодня вечером проверю , нет ли спама по 0-порту во время её работы.

[Igoras]

А что это за чтука такая? типа виртуальная сеть поверх существующей? типа как хамачи что ли?

А вообще можно ведь выставить чтобы мтик блочил исходящие по удп с дст-порт=0, или нет?

BuTaMuH,
да, у айтека док полезный, но я тебе уже писал насчет него... юзеры попадут в блеклист не сразу, а через пару писем... имхо прикольнее заблочить всех, а потом по запросу проверенным людям открывать 25 порт... и кстати это спасает только от вирусов, которые рассылают что-то по почте... а вот как бороться с теми, кто на сетевые расшаренные ресурсы свою копию кидает.. я пока что только руками на умном свитче вписываю мак и жду пока обратятся, что "инет не пашет"... самое интересное что сколько людям не говорил чтоб не запускали файл с именем гамез и иконкой уторрента или космического кораблика...

[flamenco]

А вообще можно ведь выставить чтобы мтик блочил исходящие по удп с дст-порт=0, или нет?

пробовал сделать так. создал правило, но соединения всё равно шли. наверное мтик не маркирует пакеты с дст-порт=0 ...

[flamenco]

что за соединения вообще такие с дст-порт=0 ? у меня всего с нескольких ИПов такие сыпятся. надо будет попросить этих юзеров, юзают ли они гарену...

[BuTaMuH]

эт гарена =) иногда тоже дст порт не опознан =) А с чего ты взял что это вирус? Жалобы есть? =)
По этой теме у мну есть вопрос... garena.com для Молдовы залочен, можно ли как-то через какую-то проксю заруливать юзеров. Сам могу через анонимний прокси лезть туда, а можно ли как-то автоматизировать это?

Igoras
Да это большая виртуальная игровая сеть. garena.com но залесть туда можно только через анонимный прокси. Удобная штука... играешь с европой с неплохими пингами =)
А смысл их полностью лочить? мне достаточно увидеть спамера и я его предупреждаю чтоб винду переставил и антивир... и счаз ни одного нет а у тебя они так и торчат.

[FAST-NET]

La mine spre exemplu de o saptamina peste fiecare doua zile pe o ora in retea apar timeout-uri serioase, dupa cautare multa am ajuns la un switch tplink 16 port, lam stins... totul ok, lam pornit iarashi probleme, am skimbat switch-ul shi parka normal, ieri seara la ora 23.00 iarashi incepe problema sa apara, deodata mam dus la locul trecut, dar de data aceasta scoteam cite un port shi lam gasit pe user de "aur", lam deconectat, azi ma duc de dimineata la dinsu, el shio cumparat notebook nou, Windows Vista, Kaspersky oficial cumparat shi totul in regula, dar numai conectez cablu iar "timeot" in toata reteaua. Iam spus clar sa reinstaleze sistema si sa verifice, dupe ce a reinstalat sistema lam conectat shi parka tfu-tfu nus probleme.

[BuTaMuH]

У мну сеть упала как-то раз из за флудящей мыльницы. А флудила она потому что у юзера собачка родила... и щенки пометили свитч. =) Потом, уже новый свитч, работал некоторое время в пакете, чёрном и не прозрачном, чтоб индикаторы не привлекали внимание. Я это к тому что "вирусы" в сети бывают разные, всё надо перепроверить 10 раз.

[Igoras]

че-то мы тут скатились с вирусованных компов на флуд в локалке... вирусы обычно не устраивают шторм в локалке, а спамят или чужие ящики/форумы или же чужие открытые шары в сети.... в первом случае фильтр на фаерволле, а во втором - по мак-адресу на умных свитчах, на самом ближнем к вирусованному компу.

[BuTaMuH]

Угу. Вот есть интересная ситуация. Один клиент утверждает что из за другого клиента в сети слетают кодеки. Ситуация такая, антивирус (каспер) начинает кричать что с компьютера ...0.55 идёт атака. После как юзер блокирует это соединение, всё видео отказывается работать. После очередной переустановки кодеков, - вновь работает. Есть ещё одна странность. Клиенту ...0.55 переустановил винду месяца 2 назад, по поводу завирусованости компьютера, почистил вроде что мог, привезли им новую красивую вэб-камеру с США. Мучился с дровами и кое-как запустил тогда. Через некоторое время отвалилась, переустанавливал драйвера переносил через программу драйвера с другого компьютера где она успешно заработала,повторные попытки восстановить работу вэбкамеры не принесли успеха. Тем не менее камера легко принимает драйвера и от виндоуса и работает у меня дома, на работе, и ещё на 3ем тазике (винда такая же). Решил юзеру опять переустановить винду. Драйвера ставятся стандартные, компьютер распазнает подключение устройства в узб а камера не пашет. При переключении на усб 1 в биосе - работает как фотоаппарат щелкая каждые 10 сек картинку или подвисает и это в скайпе. Как-то раз клиент сам переустановил винду, ту что я ему дал. Камера заработала, но не прошло и недели как опять чёрная съёмка. Получается что возможно у него какой-то вирус, но я ставил нод бизнес едишн и тот не жаловался. Есть предположение что после каждой переустановки виндоуса я его чищу а юзер опять инсталлирует какой-то софт и всё слетает.

[Mistakila]

Перед слетанием кодеков появляется сообщение generic host.....и чето там
Нужно ставить патчи от микрософта (WindowsXP-KB958644-x86-RUS и eng соответственно) и наступает моментальное счастье.

[KirillTs]

Или вырубить службу доступа к файлам и принтерам... или в сервисах "сервер" ... но у меня патч не стоит и службы включены если появляются флудящие компы в сети я сразу об этом узнаю =)

[Mistakila]

За аномальной активностью пакетов от юзера и к юзеру ревностно следят в МТК, и при случае рубают внешку. При многократном повторении выезжают на место, посмотреть что же за дятел такой долбит. При необходимости увеличивают дупло этому дятлу