Akkor Inserito: 30 maggio 2020 Segnala Share Inserito: 30 maggio 2020 Buongiorno sono nuovo del forum e da qualche settimana ho cominciato a studiare il mondo Mikrotik e RouterOs Sul mio Mikrotik ho impostato delle regole firewall basilari e sto facendo il log di tutto quello che viene droppato Ieri ho notato che sul log appare sempre lo stesso mac address che non mi sembra appartenere alla mia lan May/30/2020 09:02:23 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 47.91.78.70:25387->78.13.240.188:33002, len 44 May/30/2020 09:02:23 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 47.254.135.53:32401->78.13.240.188:33002, len 44 May/30/2020 09:02:27 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 18.194.78.112:38938->78.13.240.188:46295, len 44 May/30/2020 09:02:27 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 47.254.176.66:41274->78.13.240.188:46295, len 44 May/30/2020 09:02:27 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 47.254.135.53:32401->78.13.240.188:46295, len 44 May/30/2020 09:02:37 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 47.254.176.66:41274->78.13.240.188:48763, len 44 May/30/2020 09:02:37 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 47.254.135.53:32401->78.13.240.188:48763, len 44 May/30/2020 09:02:39 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 18.194.78.112:38938->78.13.240.188:39414, len 44 May/30/2020 09:02:39 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 47.91.78.150:50685->78.13.240.188:39414, len 44 May/30/2020 09:02:39 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 47.91.76.21:34715->78.13.240.188:39414, len 44 May/30/2020 09:02:39 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 159.148.147.229:30000->78.13.240.188:5678, len 60 May/30/2020 09:02:40 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto TCP (ACK,RST), 37.244.28.103:80->78.13.240.188:16179, len 40 May/30/2020 09:02:40 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto TCP (ACK,RST), 37.244.28.103:80->78.13.240.188:16178, len 40 May/30/2020 09:02:40 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 8.8.4.4:53->78.13.240.188:5678, len 80 May/30/2020 09:02:40 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 8.8.8.8:53->78.13.240.188:5678, len 80 Da quello che ho capito il log andrebbe letto come: - info input: traffico in entrata - in:PPOE-FTTH out: traffico sulla connessione PPOE-FTTH (connessione internet) - (unknown 0): non ho idea che cosa sia - src-mac 70:e4:22:2a:04:00: mac address delle macchina che sta generando traffico in entrata - proto UDP: protocollo su cui sta venendo generato il traffico - 47.254.135.53:32401: indirizzo ip sorgente del traffico e relativa porta - 78.13.240.188:46295: mio ip pubblico e relativa porta - len 44: non ne ho idea Volevo conferma che la mia lettura del log fosse corretta Grazie Link al commento Condividi su altri siti More sharing options...
del_user_237282 Inserita: 30 maggio 2020 Segnala Share Inserita: 30 maggio 2020 Dovrebbe essere corretta Len 44 dovrebbe significare che la lunghezza del pacchetto trasmesso (in inglese length) è di 44 byte Link al commento Condividi su altri siti More sharing options...
Andrea Annoni Inserita: 30 maggio 2020 Segnala Share Inserita: 30 maggio 2020 (modificato) Il pacchetto arriva nella chain di input, sulla connessione PPPoE attestata alla porta con MAC address 70:e4:22 ecc ecc, con protocollo TCP o UDP proveniente dall'IP XXX.XXX.XXX.XXX. e di lunghezza XX (numero byte). Se vuoi un forte consiglio EVITA di pubblicare indirizzi IP......soprattutto il tuo................. ti faccio notare che Mikrotik soffre anche di numerosi exploit..................................... Modificato: 30 maggio 2020 da Andrea Annoni Link al commento Condividi su altri siti More sharing options...
Akkor Inserita: 30 maggio 2020 Autore Segnala Share Inserita: 30 maggio 2020 6 ore fa, Andrea Annoni ha scritto: Se vuoi un forte consiglio EVITA di pubblicare indirizzi IP......soprattutto il tuo................. ti faccio notare che Mikrotik soffre anche di numerosi exploit..................................... Ti ringrazio del consiglio ma ho ip dinamico che in questi casi considero un bene e dopo aver fatto il post ho buttato giù la connessione per avere un ip diverso Comunque la domanda voleva dare seguito a un problema piuttosto grosso che ho avuto un mese fa circa Il mio server casalingo è stato bucato ed è stato usato per fare attacchi Ddos sopratutto a server di OVH in Francia e Canada tanto da saturarmi la banda delle mia FTTH Tiscali Motivo per cui ho preso il Mikrotik per poter avere un firewall decente al posto di quelli commerciali Ora sul firewall ho impostato delle regole che credo siano corrette per evitare disastri del genere in futuro ma in realtà alcune le ho scopiazzate da guide online e vorrei essere certo di essere protetto...............avrei proprio bisogno di una pseudo consulenza amichevole 😉 Link al commento Condividi su altri siti More sharing options...
Messaggi consigliati
Crea un account o accedi per commentare
Devi essere un utente per poter lasciare un commento
Crea un account
Registrati per un nuovo account nella nostra comunità. è facile!
Registra un nuovo accountAccedi
Hai già un account? Accedi qui.
Accedi ora