Evitar el Ataque a RaptorCache

[joemg6]

Evitar ataque a RaptorCache

Si no cerramos algunos puertos de acceso a Raptor, desde internet podríamos ser víctima de ataques al servidor y esto con el tiempo produciría que el servidor no funcione correctamente y que la red se ponga lenta, ahí unas reglas para evitar ataques.

Código (mk) [Seleccionar] Expandir


/ip firewall filter
add action=drop chain=forward comment="Bloqueo puerto 21,22,23 " disabled=\
    no dst-port=21,22,23 in-interface=pppoe-out1 protocol=tcp
add action=drop chain=forward comment="Bloqueo Externo Thunder" disabled=no \
    dst-port=3128,8080 in-interface=pppoe-out1 protocol=tcp

Donde pppoe-out1 es la interface de entrada de internet, en caso no se tenga esta interface se cambia por la interface WAN que se tenga.

[haroldbb24]

excelente regla y tambien contra los virus

[JOtiniano]

Evitar el Ataque al ThunderCache

Si no cerramos algunos puertos de acceso al Thundercache desde internet podríamos ser víctima de ataques al servidor y esto con el tiempo produciría que el thunder no funcione correctamente y que la red se ponga lenta, ahí unas reglas para evitar el ataque al Thunder.

Código (mk) [Seleccionar] Expandir


/ip firewall filter
add action=drop chain=forward comment="Bloqueo puerto 21,22,23 " disabled=\
    no dst-port=21,22,23 in-interface=pppoe-out1 protocol=tcp
add action=drop chain=forward comment="Bloqueo Externo Thunder" disabled=no \
    dst-port=3128,8080 in-interface=pppoe-out1 protocol=tcp

Donde pppoe-out1 es la interface de entrada de internet, en caso no se tenga esta interface se cambia por la interface WAN que se tenga.

Estimado JOEMG,
Existe alguna regla para bloquear Spammer en la Red, te hago esta consulta por que tengo una IP Publica NAT y cada cierto tiempo se infecta y mi proveedor tiene que cambiarla.
Estuve averiguando y es verdad que aparece en las Listas de Spammer (http://www.dnsqueries.com/es/mi_ip_esta_en_lista_negra.php), por lo que me indica la Pagina en donde hago seguimiento a mi IP, me indican que es por Posibles Troyanos, Spammer o Proxy.
Espero puedas apoyarme con esto.
SL2.

[gbarrerax]

Hola a todos, ojala y alguien me pueda auxiliar, resulta que llevo ya 2 veces formateando el equipo que tiene el thunder y en ambas ocasiones me doy cuenta que al estar la regla de re direccion al thunder empieza a enviar informacion hacia el internet, cuando normalmente no hacía eso, ¿Alguien sabe a que se debe esto?, he intentado averiguar por donde viene el problema, pero no doy con ello. Gracias

[firecold]

Hola a todos, ojala y alguien me pueda auxiliar, resulta que llevo ya 2 veces formateando el equipo que tiene el thunder y en ambas ocasiones me doy cuenta que al estar la regla de re direccion al thunder empieza a enviar informacion hacia el internet, cuando normalmente no hacía eso, ¿Alguien sabe a que se debe esto?, he intentado averiguar por donde viene el problema, pero no doy con ello. Gracias

Amigo no has intentado un firewall con politicas drop, eso quiere decir que deniegas todo y solo permites lo que necesitas, te doy un ejemplo el cual uso en mi maquina:

Código [Seleccionar] Expandir

#!/bin/bash
############################################################
# VARIABLES DEL SCRIPT
############################################################
#Ruta del binario de iptables
IPTABLES=/sbin/iptables
#Interfaz conectada a internet
INTERNET="eth0"
#Interfaz conectada a nuestra LAN
LAN="eth1"
#Declarar la clase de la red local
CLASS=192.168.1.0/24
#Declarar el resto de la red
UNIVERSE=0.0.0.0/0
############################################################
# ELIMINACION DE REGLAS EXISTENTES
############################################################
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F
############################################################
# ESTABLECEMOS POLITICAS POR DEFECTO (CERRADO)
############################################################
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
############################################################
# COMIENZAN REGLAS DE FILTRADO
############################################################
#El localhost se deja acceso total
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS DE INPUT                       #
#*************************************************************#
#*************************************************************#
#PERMITIR PETICIONES ICMP QUE VENGAN DE LAS IPS DE LA RED
$IPTABLES -A INPUT -p ICMP -s $CLASS -j ACCEPT
#PERMITIR PINGS DESDE INTERNET
$IPTABLES -A INPUT -p icmp -i $INTERNET --icmp-type echo-reply -j ACCEPT
#PERMITIR EL USO DEL SERVIDOR DNS
$IPTABLES -A INPUT -p udp -s $CLASS --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s $CLASS --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp -d $CLASS --sport 53 -j ACCEPT
$IPTABLES -A INPUT -p tcp -d $CLASS --sport 53 -j ACCEPT
# WEB
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 82 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 84 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 443 -j ACCEPT
# PROXY
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 8080 -j ACCEPT
# Control del Ciber
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 10000 -j ACCEPT
# IPP
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 631 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 631 -j ACCEPT
#ACCESSO A SMB DESDE LA RED LOCAL
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 135 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 137 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 138 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 139 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p tcp --dport 445 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 137 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 138 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 139 -j ACCEPT
$IPTABLES -A INPUT -i $LAN -s $CLASS -p udp --dport 445 -j ACCEPT
#PERMITIR ACCESO A LAS CONEXIONES ESTABLECIDAS
$IPTABLES -A INPUT -i $INTERNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS DE OUTPUT                    #
#*************************************************************#
#*************************************************************#
#PERMITIR CONTESTAR LAS PETICIONES ICMP DE LAS IPS DE LA RED
$IPTABLES  -A OUTPUT -p ICMP -d $CLASS -j ACCEPT
#PERMITIR PNGS DESDE INTERNET
$IPTABLES -A OUTPUT -p icmp -o $INTERNET --icmp-type echo-request -j ACCEPT
#DNS
$IPTABLES -A OUTPUT -p udp -d $CLASS --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d $CLASS --sport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p udp -d $CLASS --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d $CLASS --dport 53 -j ACCEPT
# WEB
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 80 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 443 -j ACCEPT
# PROXY
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 3128 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 8080 -j ACCEPT
# Control del Ciber
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 10000 -j ACCEPT
# IPP
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 631 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 631 -j ACCEPT
#ACCESSO A SMB DESDE LA RED LOCAL
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 135 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 137 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 138 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 139 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p tcp --sport 445 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 137 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 138 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 139 -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -d $CLASS -p udp --sport 445 -j ACCEPT
#PERMITIR EL ACCESO A LAS CONEXCIONES ESTABLECIDAS
$IPTABLES -A OUTPUT -o $INTERNET -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $LAN -d $CLASS -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS DE FORWARD                 #
#*************************************************************#
#*************************************************************#
#HABILITAR CONSULTA DNS
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p udp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 53 -j ACCEPT
#HABILITAR EL POP3
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 110 -j ACCEPT
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 995 -j ACCEPT
#HABILITAR TRAFICO WEB
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p tcp --dport 80 -j ACCEPT
#HABILITAR PING
$IPTABLES -A FORWARD -i $LAN -o $INTERNET -p icmp -j ACCEPT
#PERMITIR EL USO DE MSN MESSENGER
$IPTABLES -A FORWARD -p tcp --dport 1863 -j ACCEPT
#PERMITIR EL USO DEL SSL
$IPTABLES -A FORWARD  -i $LAN -o $INTERNET -p tcp --dport 443 -j ACCEPT
#HABILITAR LAS CONEXIONES ESTABLECIDAS
$IPTABLES -A FORWARD -i $INTERNET -o $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT
#*************************************************************#
#*************************************************************#
#                       REGLAS De NAT                         #
#*************************************************************#
#*************************************************************#
#ACTIVANDO EL NAT USANDO MASQUERADE
#echo "1" > /proc/sys/net/ipv4/ip_forward
$IPTABLES -t nat -A POSTROUTING -s $CLASS -d $UNIVERSE -o $INTERNET -j MASQUERADE
$IPTABLES -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128

[gbarrerax]

Hola Firecold, te agradezco la prontitud de tu respuesta, esto me sirve teniendo al thunder en forma paralela al mikrotik, viendo esa sugerencia, ¿que opinas del Arno's Firewall?  Saludos

[firecold]

Hola Firecold, te agradezco la prontitud de tu respuesta, esto me sirve teniendo al thunder en forma paralela al mikrotik, viendo esa sugerencia, ¿que opinas del Arno's Firewall?  Saludos

claro que te funciona, solo deves saber que puertos necesitas abrir para la comunicacion entre thunder y mk, en lo personal no uso mk, pero por ejemplo si el internet no entra desde thunder, entonces el problema esta en otro lado, con respecto a arno's firewall pienso que es mejor cuando uno hace su propio firewall, una asi aprendes y otra que sabes que estas bloqueando y que estas permitiendo, Saludos

[luistec]

En estos dias se ha identificado un virus que abre miles de conexiones HTTP a la vez, para evitar este tipo de ataque deben de poner las siguientes reglas en el Mikrotik

Código (mk) [Seleccionar] Expandir


/ip firewall address-list add address=118.69.169.0/24 disabled=no list=Sites_Virus comment="tienduyen.com"
/ip firewall address-list add address=206.161.219.0/24 disabled=no list=Sites_Virus comment="pkgiangho.com"
/ip firewall address-list add address=207.226.152.0/24 disabled=no list=Sites_Virus comment="tienduyen.com"
/ip firewall filter add place-before=0 chain=forward comment="Virus HTTP Con" dst-address-list=Sites_Virus action=drop
/ip firewall nat add place-before=0 chain=dstnat comment="Virus HTTP Con" dst-address-list=Sites_Virus action=accept

En caso tenga este comportamiento de muchas conexiones seria bueno hacer un torch, para ver de que direccion proviene, ya que puede ser que cambie de origen.

Saludos.

[gbarrerax]

Hola de nuevo:

Bien, despues de varios días formateando e implementando el firewall ya en forma personalizada del amigo Firecold, los problemas persisten, las dudas que tengo son:

1.- ¿Es normal que utilizando el thunder en paralelo a mikrotik, el cache llegue a generar un trafico excesivo sobre el upload del servicio?
2.- Lo anterior debido a que cuando tengo la redireccion NAT en el Mikrotik el trafico en upload se llegue a disparar hasta 3 veces cuando el servicio esta sin redireccionar al thunder, ¿A alguien mas le ha pasado o es normal?
3.- Por ultimo, pueden facilitarme algunas ideas de como detectar actividad anormal en el thunder.

Gracias

[willysantana]

Evitar el Ataque al ThunderCache

Si no cerramos algunos puertos de acceso al Thundercache desde internet podríamos ser víctima de ataques al servidor y esto con el tiempo produciría que el thunder no funcione correctamente y que la red se ponga lenta, ahí unas reglas para evitar el ataque al Thunder.

Código (mk) [Seleccionar] Expandir


/ip firewall filter
add action=drop chain=forward comment="Bloqueo puerto 21,22,23 " disabled=\
   no dst-port=21,22,23 in-interface=pppoe-out1 protocol=tcp
add action=drop chain=forward comment="Bloqueo Externo Thunder" disabled=no \
   dst-port=3128,8080 in-interface=pppoe-out1 protocol=tcp

Donde pppoe-out1 es la interface de entrada de internet, en caso no se tenga esta interface se cambia por la interface WAN que se tenga.

amigo como podrías bloquear los dns externo del server.
no se si esto estaría bien.
/ip firewall filter
add action=drop chain=input comment="Bloqueo DNS cache externo" disabled=\
   no dst-port=53 in-interface=ether1 protocol=udp
o esto no es necesario para el cuidado de la red.

[luistec]

amigo como podrías bloquear los dns externo del server.
no se si esto estaría bien.
/ip firewall filter
add action=drop chain=input comment="Bloqueo DNS cache externo" disabled=\
    no dst-port=53 in-interface=ether1 protocol=udp
o esto no es necesario para el cuidado de la red.

Utiliza la cadena forward y en el in-interface tiene que ser la de tu PPPoE-Client o WAN.

Saludos.

[willysantana]

Utiliza la cadena forward y en el in-interface tiene que ser la de tu PPPoE-Client o WAN.

Saludos.

amigo asi estaría bien la wan de mi red es ether1
/ip firewall filter
add action=drop chain=forward comment="Bloqueo DNS cache externo" disabled=\
   no dst-port=53 in-interface=ether1 protocol=udp


amigo para bloquear el ping asi estaría bien
/ip firewall filter
add action=drop chain=input comment="bloqueo de ping" disabled=\
   no in-interface=ether5-local protocol=icmp
la ether5 es mi red la lan

[willysantana]

En estos dias se ha identificado un virus que abre miles de conexiones HTTP a la vez, para evitar este tipo de ataque deben de poner las siguientes reglas en el Mikrotik

Código (mk) [Seleccionar] Expandir


/ip firewall address-list add address=118.69.169.0/24 disabled=no list=Sites_Virus comment="tienduyen.com"
/ip firewall address-list add address=206.161.219.0/24 disabled=no list=Sites_Virus comment="pkgiangho.com"
/ip firewall address-list add address=207.226.152.0/24 disabled=no list=Sites_Virus comment="tienduyen.com"
/ip firewall filter add place-before=0 chain=forward comment="Virus HTTP Con" dst-address-list=Sites_Virus action=drop
/ip firewall nat add place-before=0 chain=dstnat comment="Virus HTTP Con" dst-address-list=Sites_Virus action=accept

En caso tenga este comportamiento de muchas conexiones seria bueno hacer un torch, para ver de que direccion proviene, ya que puede ser que cambie de origen.

Saludos.

amigo como puedo saber si algún IP o virus me esta atacando el microtik.
cuantos conexiones es normal para cada IP así podre saber si en la red al IP con conexiones anormal.
gracias.

[lantiano]

Hola estas reglas tambien sirven para el raptor 2 ???

[luistec]

Hola estas reglas tambien sirven para el raptor 2 ???

Claro, las reglas con las mismas ya que usan los mismos puertos.

Saludos.

[lantiano]

En estos dias se ha identificado un virus que abre miles de conexiones HTTP a la vez, para evitar este tipo de ataque deben de poner las siguientes reglas en el Mikrotik

Código (mk) [Seleccionar] Expandir


/ip firewall address-list add address=118.69.169.0/24 disabled=no list=Sites_Virus comment="tienduyen.com"
/ip firewall address-list add address=206.161.219.0/24 disabled=no list=Sites_Virus comment="pkgiangho.com"
/ip firewall address-list add address=207.226.152.0/24 disabled=no list=Sites_Virus comment="tienduyen.com"
/ip firewall filter add place-before=0 chain=forward comment="Virus HTTP Con" dst-address-list=Sites_Virus action=drop
/ip firewall nat add place-before=0 chain=dstnat comment="Virus HTTP Con" dst-address-list=Sites_Virus action=accept

En caso tenga este comportamiento de muchas conexiones seria bueno hacer un torch, para ver de que direccion proviene, ya que puede ser que cambie de origen.

Saludos.

Hola gracias por tu respuetsa, estos ip se deben adaptar a los que tnemos en uso verdad ?
Y de acuerdo a cada interface que tenemos operativa ???
Gracias

[driver.shoot]

gclub มือถือ So, what do you think?  Do you agree? Thanks again to share articles like these, I have come across. So this is going to be an unusual one here, but I haven't been able to find any information despite searching the web for weeks now. รับแทงบอลออนไลน์ I was starting to think all newbie reports would involve getting robbed or nearly arrested. Lol