Mikrotik verifica log firewall

[Akkor]

Buongiorno sono nuovo del forum e da qualche settimana ho cominciato a studiare il mondo Mikrotik e RouterOs

Sul mio Mikrotik ho impostato delle regole firewall basilari e sto facendo il log di tutto quello che viene droppato

Ieri ho notato che sul log appare sempre lo stesso mac address che non mi sembra appartenere alla mia lan

 

May/30/2020 09:02:23 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 47.91.78.70:25387->78.13.240.188:33002, len 44
May/30/2020 09:02:23 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 47.254.135.53:32401->78.13.240.188:33002, len 44
May/30/2020 09:02:27 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 18.194.78.112:38938->78.13.240.188:46295, len 44
May/30/2020 09:02:27 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 47.254.176.66:41274->78.13.240.188:46295, len 44
May/30/2020 09:02:27 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 47.254.135.53:32401->78.13.240.188:46295, len 44
May/30/2020 09:02:37 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 47.254.176.66:41274->78.13.240.188:48763, len 44
May/30/2020 09:02:37 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 47.254.135.53:32401->78.13.240.188:48763, len 44
May/30/2020 09:02:39 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 18.194.78.112:38938->78.13.240.188:39414, len 44
May/30/2020 09:02:39 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 47.91.78.150:50685->78.13.240.188:39414, len 44
May/30/2020 09:02:39 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 47.91.76.21:34715->78.13.240.188:39414, len 44
May/30/2020 09:02:39 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 159.148.147.229:30000->78.13.240.188:5678, len 60
May/30/2020 09:02:40 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto TCP (ACK,RST), 37.244.28.103:80->78.13.240.188:16179, len 40
May/30/2020 09:02:40 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto TCP (ACK,RST), 37.244.28.103:80->78.13.240.188:16178, len 40
May/30/2020 09:02:40 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 8.8.4.4:53->78.13.240.188:5678, len 80
May/30/2020 09:02:40 firewall,info input: in:PPOE-FTTH out:(unknown 0), src-mac 70:e4:22:2a:04:00, proto UDP, 8.8.8.8:53->78.13.240.188:5678, len 80

Da quello che ho capito il log andrebbe letto come:

- info input: traffico in entrata

- in:PPOE-FTTH out: traffico sulla connessione PPOE-FTTH (connessione internet)

- (unknown 0): non ho idea che cosa sia

- src-mac 70:e4:22:2a:04:00: mac address delle macchina che sta generando traffico in entrata

- proto UDP: protocollo su cui sta venendo generato il traffico

- 47.254.135.53:32401: indirizzo ip sorgente del traffico e relativa porta

- 78.13.240.188:46295: mio ip pubblico e relativa porta

- len 44: non ne ho idea

 

Volevo conferma che la mia lettura del log fosse corretta

 

Grazie

[del_user_237282]

Dovrebbe essere corretta

 

Len 44 dovrebbe significare che la lunghezza del pacchetto trasmesso (in inglese length) è di 44 byte

[Andrea Annoni]

Il pacchetto arriva nella chain di input, sulla connessione PPPoE attestata alla porta con MAC address 70:e4:22 ecc ecc, con protocollo TCP o UDP proveniente dall'IP XXX.XXX.XXX.XXX.  e di lunghezza XX (numero byte).

 

 

 

Se vuoi un forte consiglio EVITA di pubblicare indirizzi IP......soprattutto il tuo................. ti faccio notare che Mikrotik soffre anche di numerosi exploit.....................................

 

Modificato: 30 maggio 2020 da Andrea Annoni

[Akkor]

6 ore fa, Andrea Annoni ha scritto:

Se vuoi un forte consiglio EVITA di pubblicare indirizzi IP......soprattutto il tuo................. ti faccio notare che Mikrotik soffre anche di numerosi exploit.....................................

 

 

Ti ringrazio del consiglio ma ho ip dinamico che in questi casi considero un bene e dopo aver fatto il post ho buttato giù la connessione per avere un ip diverso

 

Comunque la domanda voleva dare seguito a un problema piuttosto grosso che ho avuto un mese fa circa

Il mio server casalingo è stato bucato ed è stato usato per fare attacchi Ddos sopratutto a server di OVH in Francia e Canada tanto da saturarmi la banda delle mia FTTH Tiscali

Motivo per cui ho preso il Mikrotik per poter avere un firewall decente al posto di quelli commerciali

Ora sul firewall ho impostato delle regole che credo siano corrette per evitare disastri del genere in futuro ma in realtà alcune le ho scopiazzate da guide online e vorrei essere certo di essere protetto...............avrei proprio bisogno di una pseudo consulenza amichevole 😉