Доброго дня всем. На днях хакнули шлюз (mikrotik). (не представляю как, пароль был зубодробительный, но не об этом речь). Во внутреннюю сетку попасть не смогли, но закрыли подключение извне. Также предполагаю, что попыток влезть внутрь не оставили. Шлюз сбросил и восстановил конфиг. Интернет работает, но подключения извне так и не случилось. Сначала грешил, что где-то не те настройки в шлюзе. Но нет, все правильно. Начал проверять сервера. Обнаружил, что проблема в dns. Путем многих манипуляций (включая подсказки с данного сайта) добился от команды dcdiag /s:hide /test:dns следующих результатов (сначала старые данные):
Было:
Диагностика сервера каталогов
Выполнение начальной настройки:
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site\HIDE
Запуск проверки: Connectivity
......................... HIDE - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site\HIDE
Запуск проверки: DNS
Проверки DNS выполняются без зависания. Подождите несколько минут...
......................... HIDE - пройдена проверка DNS
Выполнение проверок разделов на: DomainDnsZones
Выполнение проверок разделов на: ForestDnsZones
Выполнение проверок разделов на: Schema
Выполнение проверок разделов на: Configuration
Выполнение проверок разделов на: hide
Выполнение проверок предприятия на: hide.local
Запуск проверки: DNS
Результаты проверки контроллеров домена:
Контроллер домена: Hide.hide.local
Домен: hide.local
TEST: Delegations (Del)
Ошибка: DNS-сервер: server.hide.local. IP-адрес:<Недоступен> [Missing glue A record]
Отчет о результатах проверки DNS-серверов, используемых приведенными выше контроллерами домена:
DNS-сервер: 10.221.0.50 (<name unavailable>)
1 - проверка на данном DNS-сервере не пройдена
PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 10.221.0.50
DNS-сервер: 10.221.1.100 (<name unavailable>)
1 - проверка на данном DNS-сервере не пройдена
PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 10.221.1.100
Отчет по результатам проверки DNS:
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Домен: hide.local
Hide PASS PASS PASS FAIL PASS PASS n/a
......................... hide.local - не пройдена проверка DNS

Стало:
Диагностика сервера каталогов
Выполнение начальной настройки:
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site\HIDE
Запуск проверки: Connectivity
......................... HIDE - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site\HIDE
Запуск проверки: DNS
Проверки DNS выполняются без зависания. Подождите несколько минут...
......................... HIDE - пройдена проверка DNS
Выполнение проверок разделов на: DomainDnsZones
Выполнение проверок разделов на: ForestDnsZones
Выполнение проверок разделов на: Schema
Выполнение проверок разделов на: Configuration
Выполнение проверок разделов на: hide
Выполнение проверок предприятия на: hide.local
Запуск проверки: DNS
......................... hide.local - пройдена проверка DNS

Но проблема осталась. Извне недоступность на порты. Также обнаружил, что часть выданных ip адресов не имеют доступа в интернет. DHCP работает, выдает адреса без проблем. Диспетчер серверов говорит, что все лучше не бывает. Помогите понять, где проблема!!!!

P.S. Предыстория dhcp: была сеть /24 (пусть будет 192.168.0.х). Стало нехватать. Сделали /23. И вот адреса из новой подсети не получают интернет (пусть будет 192.168.1.х).

miksoft,

Спасибо большое за ссылки. Действительно не следил за новостями.

[quot bga83]Viohinondhcp: была сеть /24 (пусть будет 192.168.0.х). Стало нехватать. Сделали /23. И вот адреса из новой подсети не получают интернет (пусть будет 192.168.1.х).судя по всему доступ порезан на проксе или в настройках NAT(в зависимости от того как именно доступ в интернет организован), у сети осталась старая маска.

Спасибо большое действительно пропустил в одном правиле маску. Изнутри интернет заработал на всех устройствах. Но победить отсутствие подключения извне пока не удалось.

eNose,

Может, я чего не понимаю.

eNose,

Отключены три правила с резервного провайдера. Или вы о другом? Если о другом, то ткните носом, пожалуйста.

eNose,

И тем не менее доступ извне не работает.

eNose,

Dst. address - внешний IP шлюза.
To address, to ports - куда надо подключение отправить.

В маскараде scr.address - локальная сеть (пусть будет вида 192.168.0.0/23)

eNose,

Нет данных. Создал несколько правил в логгинге. Сложилось ощущение, что запрос к шлюзу на подключение не приходит. Хотя сам адрес пингуется.

eNose,

Микротик и выступает в роли шлюза. Провайдер сказал, что у них настройки не менялись и все отлично. Может вы подскажете, как правильно с нуля сконфигурировать привила файрвола?

eNose,

Нет. 1 IP, 1 провод.

Пинг до конечного хоста не идет. Шлюз извне пингуется.

eNose,

А может быть проблема в том, что я обновлял прошивку на микротике и в новой прошивке правила стали работать по другому?

bga83ViohinoneNose,

А может быть проблема в том, что я обновлял прошивку на микротике и в новой прошивке правила стали работать по другому?а может все-таки запустить сниффер и посмотреть где именно проблема происходит?

А как понять, где проблема? Данные я получил и открыл, но вот читать этот лог... На что обратить внимание? (Фрагмент)

eNoseViohinon,

про недоступность удаленного порта кто кричит - микротик?

Это сниф с микротика, да. Но что интересно, адрес 5.139.236.196 - это Ростелеком с какого-то удаленного от меня города. И что он от меня хочет непонятно. У меня совсем другой провайдер.

bga8

Интересно. Подскажете, как найти с какого хоста идет запрос туда?

Ребята! Ну это какой-то бред! Я восстанавливаю старую конфигурацию. Там есть настройки со старыми портами. Проверяю доступность - открыты. Ставлю новые порты - открываются примерно на минуту и закрываются. Ставлю опять старые порты - тоже закрыты. Причем я просто поменял порты!

eNose,



0 ;;; Allow incoming established connections
chain=input action=accept connection-state=established log=no log-prefix=""

1 ;;; Allow incoming related connections
chain=input action=accept connection-state=related log=no log-prefix=""

2 ;;; Allow incoming ICMP
chain=input action=accept protocol=icmp log=no log-prefix=""

3 X ;;; Allow incoming PPTP
chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=""

4 ;;; Allow incoming GRE (for PPTP)
chain=input action=accept protocol=gre log=no log-prefix=""

5 X ;;; Allow incoming SSH via Azimut
chain=input action=accept protocol=tcp dst-address=100.100.100.100 in-interface=l2tp-client dst-port=4589 log=no log-prefix=""

6 X ;;; Allow incoming WinBox via Azimut
chain=input action=accept protocol=tcp dst-address=95.129.56.200 in-interface=l2tp-client dst-port=8291 log=no log-prefix=""

7 X ;;; Allow incoming HTTP via Azimut
chain=input action=accept protocol=tcp dst-address=95.129.56.200 in-interface=l2tp-client dst-port=80 log=no log-prefix=""

8 ;;; IP addresses for UISCom telephony
chain=input action=accept src-address=1.1.1.0/27 log=no log-prefix=""

9 ;;; Allow all from LAN to any
chain=forward action=accept src-address=192.168.0.0/23 dst-address=0.0.0.0/0 in-interface=bridge-LAN log=no log-prefix=""

10 ;;; Allow all from VLAN to any
chain=forward action=accept src-address=192.168.100.0/24 dst-address=0.0.0.0/0 in-interface=bridge_vlan100 log=no log-prefix=""

11 ;;; Allow all from LAN to me
chain=input action=accept src-address=192.168.0.0/23 dst-address=192.168.1.1 in-interface=bridge-LAN log=no log-prefix=""

12 ;;; Allow all from any to LAN
chain=forward action=accept src-address=0.0.0.0/0 dst-address=192.168.0.0/23 out-interface=bridge-LAN log=no log-prefix=""

13 ;;; Allow all from any to VLAN
chain=forward action=accept src-address=0.0.0.0/0 dst-address=192.168.100.0/24 out-interface=bridge_vlan100 log=no log-prefix=""

14 ;;; Allow all outgoing traffic
chain=output action=accept log=no log-prefix=""

15 ;;; Drop anything not explicitly allowed
chain=input action=drop log=no log-prefix=""

16 ;;; Drop anything not explicitly allowed
chain=forward action=drop log=no log-prefix=""

Где: 192.168.1.1 - шлюз, 100.100.100.100 - внешний ip, 1.1.1.0/27 - на телефонию (хотя это правило вообще убрать надо, по другому все давно работает)

Паранойя до добра не доводит. )

eNose,

eNose,

eNose,

Почему вы решили, что не работает?

eNose,

Трафик не постоянный, но цифры нет-нет да меняются.

eNose,

Не помогло.

eNose,

Не помогло.

eNose,

А у вас при этом внешний порт был закрыт? Я тут проверяю (portscan_ru). Порты все равно закрыты.
Ошибки такой не было.

eNose,

Походу проблема все же в службах КД. Будем копать.

Всем спасибо. Проблема решена. Пришлось обратиться к сторонним людям. Была проблема в транспорте пакетов. Одно из правил заворачивало соединение на себя. (Ну это я так понял происходящее). Переделали все с нуля, включая адресацию. Там как-то мудро завернули обработку пакетов, поэтому сюда результат действий приложить не могу.