Mikrotik IPv4/IPv6 firewall

[deniSun]

Ο λογος σου μας χορτασε......

Ορίστε αχόρταγε...

[macro]

Ε........ αυτο σε ρωταω σε τοσα ποστ πως το διαπιστωσες. Αυτο ειναι η διαπιστωση. τι εκανες για να το βρεις?

[xhaos]

Σε συνέχεια αυτού και αυτού των οδηγών παραθέτω τις ρυθμίσεις για IPv4 και IPv6 firewall.

IPv4 firewall:

Spoiler:

/ip firewall filter
*** Allow only needed icmp codes in icmp chain:

Κώδικας:

	add chain=icmp protocol=icmp icmp-options=0:0 action=accept \ comment="Echo reply" 
	add chain=icmp protocol=icmp icmp-options=3:0 action=accept \ comment="Net unreachable" 
	add chain=icmp protocol=icmp icmp-options=3:1 action=accept \ comment="Host unreachable" 
	add chain=icmp protocol=icmp icmp-options=4:0 action=accept \ comment="Allow source quench" 
	add chain=icmp protocol=icmp icmp-options=8:0 action=accept \ comment="Allow echo request" 
	add chain=icmp protocol=icmp icmp-options=11:0 action=accept \ comment="Allow time exceed" 
	add chain=icmp protocol=icmp icmp-options=12:0 action=accept \ comment="Allow parameter bad" 
	add chain=icmp action=drop comment="Deny all other types"
	add action=drop chain=input comment="Disable ICMP ping" in-interface=pppoe-out1 disabled=no protocol=\ icmp

*** Drop port scanners

Κώδικας:

	add chain=input protocol=tcp in-interface=pppoe-out1 psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list " disabled=no

*** Various combinations of TCP flags can also indicate port scanner activity:

Κώδικας:

	add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"
	add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"
	add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"
	add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"
	add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"
	add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"

*** Drop those IPs in both Input & Forward chains:

Κώδικας:

	add chain=input src-address-list="port scanners" action=drop comment="Dropping port scanners" disabled=no

*** Router protection :

Κώδικας:

	add chain=input connection-state=invalid action=drop \ comment="Drop Invalid connections" 
	add chain=input connection-state=established action=accept \ comment="Allow Established connections" 
	add chain=input src-address=192.168.5.0/24 action=accept \ in-interface=pppoe-out1

*** Customer protection (forward chain - traffic passing through the router):

Κώδικας:

	add chain=forward connection-state=invalid \ action=drop comment="Drop invalid connections" 
	add chain=forward connection-state=established action=accept \ comment="Allow already established connections" 
	add chain=forward connection-state=related action=accept \ comment="Allow related connections"

*** Block Bogon IP addresses:

Κώδικας:

	add chain=forward src-address=127.0.0.0/8 action=drop
	add chain=forward dst-address=127.0.0.0/8 action=drop
	add chain=forward src-address=169.254.0.0/16 action=drop
	add chain=forward dst-address=169.254.0.0/16 action=drop
	add chain=forward src-address=172.16.0.0/12 action=drop
	add chain=forward dst-address=172.16.0.0/12 action=drop
	add chain=forward src-address=192.0.0.0/24 action=drop
	add chain=forward dst-address=192.0.0.0/24 action=drop
	add chain=forward src-address=192.0.2.0/24 action=drop
	add chain=forward dst-address=192.0.2.0/24 action=drop
	add chain=forward src-address=198.18.0.0/15 action=drop
	add chain=forward dst-address=198.18.0.0/15 action=drop
	add chain=forward src-address=198.51.100.0/24 action=drop
	add chain=forward dst-address=198.51.100.0/24 action=drop
	add chain=forward src-address=203.0.113.0/24 action=drop
	add chain=forward dst-address=203.0.113.0/24 action=drop
	add chain=forward src-address=224.0.0.0/3 action=drop
	add chain=forward dst-address=224.0.0.0/3 action=drop

*** Make jumps to new chains:

Κώδικας:

	add chain=forward protocol=tcp action=jump jump-target=tcp in-interface=pppoe-out1\ comment="Make jumps to new chains"
	add chain=forward protocol=udp action=jump jump-target=udp in-interface=pppoe-out1
	add chain=forward protocol=icmp action=jump jump-target=icmp in-interface=pppoe-out1

*** Create TCP chain and deny some TCP ports in it (revise port numbers as needed):

Κώδικας:

	add chain=tcp protocol=tcp dst-port=69 action=drop \ comment="Deny TFTP"
	add chain=tcp protocol=tcp dst-port=111 action=drop \ comment="Deny RPC portmapper"
	add chain=tcp protocol=tcp dst-port=135 action=drop \ comment="Deny RPC portmapper"
	add chain=tcp protocol=tcp dst-port=137-139 action=drop \ comment="Deny NBT"
	add chain=tcp protocol=tcp dst-port=445 action=drop \ comment="Deny cifs"
	add chain=tcp protocol=tcp dst-port=2049 action=drop comment="Deny NFS" 
	add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="Deny NetBus"
	add chain=tcp protocol=tcp dst-port=20034 action=drop comment="Deny NetBus" 
	add chain=tcp protocol=tcp dst-port=3133 action=drop comment="Deny  BackOriffice"

*** Create UDP chain and deny some UDP ports in it (revise port numbers as needed):

Κώδικας:

	add chain=udp protocol=udp dst-port=69 action=drop comment="Deny TFTP" 
	add chain=udp protocol=udp dst-port=111 action=drop comment="Deny PRC portmapper" 
	add chain=udp protocol=udp dst-port=135 action=drop comment="Deny PRC portmapper" 
	add chain=udp protocol=udp dst-port=137-139 action=drop comment="Deny NBT" 
	add chain=udp protocol=udp dst-port=2049 action=drop comment="Deny NFS" 
	add chain=udp protocol=udp dst-port=3133 action=drop comment="Deny BackOriffice"

IPv6 firewall:

Spoiler:

*** Create IPv6 firewall filters

Κώδικας:

/ipv6 firewall filter
	add action=accept chain=input comment="Router - Allow IPv6 ICMP" disabled=no protocol=icmpv6
	add action=accept chain=input comment="Router - Accept established connections" connection-state=established disabled=no
	add action=accept chain=input comment="Router - Accept related connections" connection-state=related disabled=no
	add action=drop chain=input comment="Router - Drop invalid connections" connection-state=invalid disabled=no
	add action=accept chain=input comment="Router- UDP" disabled=no	protocol=udp
	add action=accept chain=input comment="Router - From our LAN" disabled=no in-interface=bridge1
	add action=drop chain=input comment="Router - Drop other traffic" disabled=no
	add action=drop chain=forward comment="LAN - Drop invalid Connections" connection-state=invalid disabled=no
	add action=accept chain=forward comment="LAN - Accept UDP" disabled=no protocol=udp
	add action=accept chain=forward comment="LAN - Accept ICMPv6" disabled=no protocol=icmpv6
	add action=accept chain=forward comment="LAN - Accept established Connections" connection-state=established disabled=no
	add action=accept chain=forward comment="LAN - Accept related connections" connection-state=related disabled=no
	add action=accept chain=forward comment="LAN - Internal traffic" disabled=no in-interface=bridge1		
	add action=reject chain=forward comment="LAN - Drop everything else" connection-state=new disabled=no in-interface=pppoe-out1 reject-with=icmp-no-route

συγνώμη κιόλας, δεν ξέρω, αλλά γιατί τα udp τα έχεις ελεύθερα;

[deniSun]

συγνώμη κιόλας, δεν ξέρω, αλλά γιατί τα udp τα έχεις ελεύθερα;

Πολύ παλιά υλοποίηση.
Την έχω αλλάξει.

[forzageol]

Πολύ παλιά υλοποίηση.
Την έχω αλλάξει.

Εάν επιτρέπεται για τους λιγότερο γνώστες, πως θα πρέπει να είναι χωρίς ελεύθερα udp;

[deniSun]

Εάν επιτρέπεται για τους λιγότερο γνώστες, πως θα πρέπει να είναι χωρίς ελεύθερα udp;

Από default επιτρέπονται να περνάνε τα πάντα.
Στις τελευταίες υλοποιήσεις ακολουθώ διαφορετική λογική.
Κόβω τα πάντα και επιτρέπω μόνο αυτά που θέλω.
Δηλαδή... εκτός από αυτά που αφήνω να περάσουν, τίποτε άλλο δεν περνάει.

[teodor_ch]

ευχαριστώ όποιον είχε αναφέρει το port knocking!

νομίζω μόνο με port scan μπορεί να ανοίξει η ασφαλής θύρα πχ. 10080
(που έχω firewall rules για port scan)

έχω input tcp 10500 add-to-addresslist =knocktemp για 10"
μετά input tcp 10400 from-addresslist=knocktemp add-to-addresslist=knocksafe για 1 ώρα

και τέλος dst-nat to lanip:10080 from addresslist=knocksafe

για να μπώ βάζω στο browser
πχ.
teodor.gr:10500
και κατευθείαν βάζω
teodor.gr:10400

και έτσι μπορώ να μπώ στο IPteodor.gr:10080 που θέλω

απο εδώ η ιδέα
https://mum.mikrotik.com//presentati...10/discher.pdf

μπορώ να προσθέσω και άλλα βήματα ή και Layer7 αλλά ακόμα δεν είμαι τόσο τρελός!
θα βάλω για τσεκάρισμα τη knocksafe 7days και θα βλέπω αν εμφανιστεί κάποια άσχετη ΙΡ για έξτρα ασφάλεια

[forzageol]

Διάβασα σχετικά με "Firewall filter rules for DNS" εδώ.

Στις υλοποιήσεις σας στα post δεν είδα κάτι αντίστοιχο, είναι για το καλύπτεστε με διαφορετικό τρόπο?

[deniSun]

Διάβασα σχετικά με "Firewall filter rules for DNS" εδώ.

Στις υλοποιήσεις σας στα post δεν είδα κάτι αντίστοιχο, είναι για το καλύπτεστε με διαφορετικό τρόπο?

Ανάλογα με την υλοποίηση.
Δεν υπάρχει κάποιος κανόνας που πρέπει να ακολουθούμε όλοι.

[teodor_ch]

Διάβασα σχετικά με "Firewall filter rules for DNS" εδώ.

Στις υλοποιήσεις σας στα post δεν είδα κάτι αντίστοιχο, είναι για το καλύπτεστε με διαφορετικό τρόπο?

Και εγώ έχω κανόνες στην κορυφή για drop tcp/udp 53 αλλά μάλλον με το drop all others δεν χρειάζεται.

Το σκεπτικό μου είναι ότι αφού υπάρχει dns server μπορεί να ανοίγει θύρες μόνο του (παρόμοια με το SIP) για να λειτουργήσει.
Δε το νομίζω να το κάνει το ΜΚ, δεν αξίζει να το δοκιμάσω αν ισχύει οπότε έβαλα δύο κανόνες και τέλος!

Πιάνουν πακέτα, αλλά αυτό μάλλον/μπορεί να οφείλεται στο ότι είναι στην αρχή και πρίν απο το drop all others.

[macro]

Λοιπον εχω αυτο το firewall με αυτη τη σειρα που βλεπετε

Κώδικας:

/ip firewall filter
add action=accept chain=input comment="Accept Input Established Related " \
    connection-state=established,related
add action=drop chain=input comment="Drop Invalid connections" \
    connection-state=invalid
add action=jump chain=forward comment="Make jumps to ICMP chains" \
    jump-target=icmp protocol=icmp
add action=accept chain=forward comment="Accept forward established,related" \
    connection-state=established,related
add action=drop chain=forward comment="Drop Invalid connections" \
    connection-state=invalid
add action=accept chain=forward comment="Accept Torrent" dst-address=\
    192.168.1.2 port=61132 protocol=tcp
add action=accept chain=forward dst-address=192.168.1.2 port=61132 protocol=\
    udp
add action=accept chain=input comment="Allow ICMP" in-interface=all-ppp \
    protocol=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=\
    icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 \
    protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 \
    protocol=icmp
add action=accept chain=icmp comment=\
    "host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 \
    protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 \
    protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 \
    protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 \
    protocol=icmp
add action=drop chain=icmp comment="deny all other types"
add action=drop chain=input comment="Drop DNS queries from WAN" dst-port=53 \
    in-interface=all-ppp protocol=udp
add action=drop chain=input dst-port=53 in-interface=all-ppp protocol=tcp
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="Add port scanners to list" \
    in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
    protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
    protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______SYN/RST scan" \
    protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
    protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
    protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
    protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" \
    src-address-list="port scanners"
add action=accept chain=input comment="Allow all input from LAN" \
    in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" \
    in-interface=!all-ppp
add action=drop chain=input comment="Drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface=all-ppp
add action=drop chain=forward connection-nat-state=!dstnat connection-state=\
    new in-interface=all-ppp
add action=drop chain=input comment="Drop everything else" in-interface=\
    all-ppp
add action=drop chain=forward in-interface=all-ppp

Αυτοι οι 2 κανονες forward στο τελος σας πιανουν ποτε τπτ? Να τους σβησω?

Επειδη εχω την εντυπωση οτι αν πεσουν τα πακετα απο το input δε προκειται ποτε να περασει τπτ απο το forward.

[gfdimopo]

Υπάρχει κάποιος τρόπος να βλέπουμε τι χρησιμοποιεί κάθε εφαρμογή ? Δηλαδή ποιες πόρτες κλπ?

[macro]

Αυτο το ξερεις ηδη απο την εφαρμογη. Αλλιως ενας πρακτικος τροπος ειναι στη καρτελλα firewall>connections του RB.

[deniSun]

Λοιπον εχω αυτο το firewall με αυτη τη σειρα που βλεπετε

Κώδικας:

/ip firewall filter
add action=accept chain=input comment="Accept Input Established Related " \
    connection-state=established,related
add action=drop chain=input comment="Drop Invalid connections" \
    connection-state=invalid
add action=jump chain=forward comment="Make jumps to ICMP chains" \
    jump-target=icmp protocol=icmp
add action=accept chain=forward comment="Accept forward established,related" \
    connection-state=established,related
add action=drop chain=forward comment="Drop Invalid connections" \
    connection-state=invalid
add action=accept chain=forward comment="Accept Torrent" dst-address=\
    192.168.1.2 port=61132 protocol=tcp
add action=accept chain=forward dst-address=192.168.1.2 port=61132 protocol=\
    udp
add action=accept chain=input comment="Allow ICMP" in-interface=all-ppp \
    protocol=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=\
    icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 \
    protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 \
    protocol=icmp
add action=accept chain=icmp comment=\
    "host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 \
    protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 \
    protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 \
    protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 \
    protocol=icmp
add action=drop chain=icmp comment="deny all other types"
add action=drop chain=input comment="Drop DNS queries from WAN" dst-port=53 \
    in-interface=all-ppp protocol=udp
add action=drop chain=input dst-port=53 in-interface=all-ppp protocol=tcp
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="Add port scanners to list" \
    in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
    protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
    protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______SYN/RST scan" \
    protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
    protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
    protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
    protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" \
    src-address-list="port scanners"
add action=accept chain=input comment="Allow all input from LAN" \
    in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" \
    in-interface=!all-ppp
add action=drop chain=input comment="Drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface=all-ppp
add action=drop chain=forward connection-nat-state=!dstnat connection-state=\
    new in-interface=all-ppp
add action=drop chain=input comment="Drop everything else" in-interface=\
    all-ppp
add action=drop chain=forward in-interface=all-ppp

Αυτοι οι 2 κανονες forward στο τελος σας πιανουν ποτε τπτ? Να τους σβησω?

Επειδη εχω την εντυπωση οτι αν πεσουν τα πακετα απο το input δε προκειται ποτε να περασει τπτ απο το forward.

Αν δεν ξεφύγει κάτι από το input δεν θα περάσει παρά μέσα.
Οπότε λογικό είναι να μην μαζεύει κάτι εκεί.
Και σε εμένα που έχω κάτι αντίστοιχο δεν μαζεύει τίποτε.
Αλλά είναι στο τέλος μετά το input οπότε δεν βαραίνει σε κάτι στην όλη διαδικασία.
Το αφήνω για λόγους λογικής να υπάρχει, από την στιγμή που υπάρχει με κάποιο τρόπο allow forward.

Τα drop μπορείς να τα έχεις με γενική γραφή.
πχ να μην τα δεσμεύεις με Interface.
Αυτό βέβαια προϋποθέτει ότι προηγουμένως έχεις ορίσει ρητά και κατηγορηματικά όλα όσα θέλεις να περνάνε από κάποιο συγκεκριμένο interface.
Οπότε μια γενική δήλωση drop σου κόβει τα πάντα από παντού, όσα δηλαδή δεν έχεις ορίσει παραπάνω ότι επιτρέπεις να περνάνε.
Έτσι είσαι σίγουρος ότι δεν θα μπορέσει να περάσει τίποτε παρά μόνο όσα δήλωσες.

[macro]

Τη σειρα την βλεπεις σωστη απο πανω προς τα κατω? Θα το δοκιμασω αυτο το γενικο που λες.



Λοιπον τα εβγαλα τα interfaces απο τα drops, εκτος απο το drop dns queries from wan που νομιζω οτι σε αυτο δε πρεπει να βγει και προς το παρον μου δουλευουν ολα μια χαρα. Θα δειξει βεβαια ειναι νωρις ακομη για να εχω ολοκληρωμενη αποψη.