Hallo zusammen,
ich betreibe ein MikroTik Routerboard RB2011UAS-RM an einem Glasfaseranschluss und habe seit heute Mittag einen ungewöhnlich hohen Traffic bemerkt.
Hunderte Verbindungen von 2.91.138.221 (unterschiedliche Ports) per UDP nach 61.93.17.245:53, teils auch von 2.91.138.221 zum Google Name-Server 8.8.8.8. Ich kann das um ehrlich zu sein nicht so richtig interpretieren.
https://dig.whois.com.au/ip/2.91.138.221
https://dig.whois.com.au/ip/61.93.17.245
Die im Router integrierte Firewall basiert auf IP-Tables und ist nach dieser Anleitung konfiguriert:
https://wiki.mikrotik.com/wiki/Tips...rs_and_Experienced_Users_of_RouterOS#Firewall
Deaktivierte Regeln hab ich mal aus der Liste entfernt.
Das Ziel für den Moment ist eine "ganz normale" Firewall, wie sie beispielsweise eine Fritzbox besitzt. Keine besonderen Features oder Wünsche. Der Router soll von außen nicht konfigurierbar sein. VPN verwende ich im Moment nicht.
Kann mir jemand einen Tipp geben, was da los ist und wo noch eine Lücke in der Firewall ist?
Danke schonmal.
ich betreibe ein MikroTik Routerboard RB2011UAS-RM an einem Glasfaseranschluss und habe seit heute Mittag einen ungewöhnlich hohen Traffic bemerkt.
Hunderte Verbindungen von 2.91.138.221 (unterschiedliche Ports) per UDP nach 61.93.17.245:53, teils auch von 2.91.138.221 zum Google Name-Server 8.8.8.8. Ich kann das um ehrlich zu sein nicht so richtig interpretieren.
https://dig.whois.com.au/ip/2.91.138.221
https://dig.whois.com.au/ip/61.93.17.245
Die im Router integrierte Firewall basiert auf IP-Tables und ist nach dieser Anleitung konfiguriert:
https://wiki.mikrotik.com/wiki/Tips...rs_and_Experienced_Users_of_RouterOS#Firewall
Code:
Flags: X - disabled, I - invalid, D - dynamic
17 ;;; Offene Ports am Router sichern
chain=input action=drop protocol=tcp in-interface=pppoe-out1 dst-port=21,22,23,53,80,443 log=no log-prefix=""
18 ;;; Accept established and related packets
chain=input connection-state=established,related
19 ;;; Accept all connections from local network
chain=input action=accept in-interface=bridge1 log=no log-prefix=""
20 ;;; Drop invalid packets
chain=input action=drop connection-state=invalid
21 ;;; Drop all packets which are not destined to routes IP address
chain=input action=drop dst-address-type=!local
22 ;;; Drop all packets which does not have unicast source IP address
chain=input action=drop src-address-type=!unicast
23 ;;; Drop all packets from public internet which should not exist in public network
chain=input action=drop src-address-list=NotPublic in-interface=ether01-wan
24 ;;; Accept established and related packets
chain=forward action=accept connection-state=established,related log=no log-prefix=""
25 ;;; Drop invalid packets
chain=forward action=drop connection-state=invalid
26 ;;; Drop new connections from internet which are not dst-natted
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether01-wan
27 ;;; Drop all packets from public internet which should not exist in public network
chain=forward action=drop src-address-list=NotPublic in-interface=ether01-wan
28 ;;; Drop all packets from local network to internet which should not exist in public network
chain=forward action=drop dst-address-list=NotPublic in-interface=ether01-wan
29 ;;; Drop all packets in local network which does not have local network address
chain=forward action=drop src-address=!192.168.243.0/24 in-interface=bridge1
30 ;;; In case firewall filters are used to drop some traffic forward packets which belong to natted connection
chain=forward action=accept connection-state=established,related connection-nat-state=dstnat in-interface=ether01-wan log=no log-prefix=""
Das Ziel für den Moment ist eine "ganz normale" Firewall, wie sie beispielsweise eine Fritzbox besitzt. Keine besonderen Features oder Wünsche. Der Router soll von außen nicht konfigurierbar sein. VPN verwende ich im Moment nicht.
Kann mir jemand einen Tipp geben, was da los ist und wo noch eine Lücke in der Firewall ist?
Danke schonmal.