Θα ήθελα να κάνω μιά ερώτηση σχετικά με το firewall. Στον οδηγό για το IPv6 firewall υπάρχει στο τέλος ένας κανόνας για να κάνει drop ο,τιδήποτε φθάνει εκεί. Στο IPv4 firewall δεν είδα να υπάρχει κάποιος ανάλογος κανόνας. Θα πρέπει να τον προσθέσουμε στο IPv4 firewall ή το αφήνουμε όπως είναι στον οδηγό;
Εμφάνιση 46-60 από 2112
-
17-11-15, 09:25 Απάντηση: Mikrotik IPv4/IPv6 firewall #46
-
17-11-15, 20:10 Απάντηση: Mikrotik IPv4/IPv6 firewall #47
Έκανα disable enable τον pppoe client μια χαρά, ανοίγω το pc μετά από κάποιες ώρες δεν είχα πρόσβαση, κάνω ping το mikrotik gateway 951(σαν αυτό που είχες) 900ms και να μην απαντάει... νέκρωσε και ενα hap lite που έχω δε κατάλαβα τι έγινε, βγάζω το pc, φαίνονται απο το Laptop μια χαρά τα Mikrotik... Ανοίγω wireshark βάζω να κάνει capture και αυτό που πρόσεξα ήταν οτι είχα πάρα πολλά πακέτα με source και destination διάφορες mac address protocol της μορφής 0χ6606 0χ6706 0χ6d16 κλπ με info Ethernet II .
Δεν μπορώ να καταλάβω γιατί δεν μπορούσα να δω τα mikrotik .
Δεν φταίει το Mikrotik LagMan, φταίει το άρρωστο μυαλό σου...
-
17-11-15, 22:29 Απάντηση: Mikrotik IPv4/IPv6 firewall #48
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
18-11-15, 00:40 Απάντηση: Mikrotik IPv4/IPv6 firewall #49
-
18-11-15, 19:11 Απάντηση: Mikrotik IPv4/IPv6 firewall #50
To ασύρματο το έχεις ανοικτό;
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
18-11-15, 20:23 Απάντηση: Mikrotik IPv4/IPv6 firewall #51
-
25-11-15, 16:52 Απάντηση: Mikrotik IPv4/IPv6 firewall #52
Μετά απο καιρό είπα να ασχοληθώ παραπάνω με το firewall.
Μιλάω μόνο για IPv4.
Στο τέλος είχα ένα Log everything else το οποίο έγραφε κάμποσες συνδέσεις.
Το άλλαξα σε drop everything else και έχασα κάθε επαφή ακόμα και τα dst-nat
οπότε έβαλα !dst-nat και πλέον νομίζω ότι δεν περνάει άσχετο.
Όσοι έχετε copy-paste το firewall του οδηγού,
βάλτε ένα log everything στο chain input και δείτε αν πιάνει κίνηση.
Απο εδώ το είχα δεί
http://wiki.mikrotik.com/wiki/Securing_your_router
- - - Updated - - -
και φυσικά μετά το drop everything else
χάθηκε και η πρόσβαση του openvpn
και έπρεπε να ανοίξω την πόρτα του
οπότε μέχρι τώρα είχα τρύπιο firewall!
-
26-11-15, 12:21 Απάντηση: Mikrotik IPv4/IPv6 firewall #53
Αγόρασα τον Mikrotik router πριν λίγες ημέρες οπότε δεν έχω την εμπειρία να κάνω όλες τις απαραίτητες ρυθμίσεις και ο router ρυθμίστηκε σύμφωνα με τους οδηγούς που υπάρχουν εδώ. Είδα όμως στο documentation ότι ο router by default δέχεται όλα τα πακέτα τα οποία δεν γίνονται drop στο firewall γι'αυτό ρώτησα αν πρέπει να προστεθεί ο κανόνας που κάνει drop everything else.
-
26-11-15, 14:14 Απάντηση: Mikrotik IPv4/IPv6 firewall #54
με το quick set δεν ειναι το ιδιο? οι κανονες που βαζει το quickset δεν ειναι κομπλε?
-
26-11-15, 16:19 Απάντηση: Mikrotik IPv4/IPv6 firewall #55
-
26-11-15, 18:59 Απάντηση: Mikrotik IPv4/IPv6 firewall #56
Δεν νομίζω ότι υπάρχει κάποιο θέμα με την ασφάλεια.
Αναλυτικά:
Ας υποθέσουμε ότι όλα είναι ανοικτά στο fw.
Αν δεν έχεις κάνει κάποιο port forward για κάποιον ΗΥ τότε,
έστω ότι κάποιο βλέπει ότι έχεις ανοικτές όλες τις πόρτες και δοκιμάζει να μπει πχ στην 21.
Από την στιγμή που δεν έχεις αναδρομολόγηση πακέτων με κάποιο port forward απλά δεν θα το στείλει πουθενά.
Άρα σε αυτή την περίπτωση δεν κινδυνεύεις.
Πάμε τώρα στην περίπτωση που δεν θέλει κάποιος να παραβιάσει κάποιον ΗΥ του εσωτερικού δικτύου αλλά το ίδιο το ΜΤ.
Σε αυτή την περίπτωση έχω δηλώσει στον ανάλογο οδηγό ότι θα πρέπει να ρυθμίσεις όλα τα service να λειτουργούν μόνο με ΙΡ του εσωτερικού δικτύου και με καμία άλλη.
Άρα και σε αυτή την περίπτωση κάποιος από έξω δεν θα μπορέσει να βλάψει το ΜΤ.
Και στις δύο περιπτώσεις εξαιρούνται όσοι θέλουν να κάνουν κάτι διαφορετικό πχ να έχουν ανοιχτές πόρτες προς τα έξω ή να θέλουν να βλέπουν από έξω το ΜΤ.
Σε αυτές τις περιπτώσεις θα πρέπει να κάνουν επιπλέον ρυθμίσεις ασφαλείας στο fw.
Αλλά επειδή το θεωρώ χαζό να θέλεις να βλέπεις από έξω το ΜΤ ή να κάνεις port forward γι αυτό έβαλα τον οδηγό για openvpn που θεωρώ ότι είναι ότι ποιο ασφαλές για αυτές τις περιπτώσεις.
Οι πόρτες του fw είναι όλες stealth.
Τουλάχιστον αυτό δείχνουν όλα τα security test που έχω τρέξει έως τώρα.
Οπότε δεν χρειάζεται να παθαίνουμε κρίσεις ασφαλείας και να λέμε ότι θέλουμε και αυτό και το άλλο.
Βέβαια αν μπορούμε να πάρουμε το 100% των μέτρων ασφαλείας τόσο το καλύτερο αρκεί να υπάρχει κάποια λογική σε αυτό.
Με την έως τώρα χρήση δεν είδα ποτέ κάποια ΙΡ να καταγράφεται να προσπαθεί να μου κάνει κάτι είτε σε κάποιον ΗΥ είτε στο ΜΤ.
Όταν κατεβάζω από torrent κάποιες ΙΡ που προσπαθούν να κάνουν port scanner μπλοκάρονται απευθείας και αποκλείονται.
Οπότε νομίζω ότι είμαστε αρκετά καλά.
Αν κάποιος κάνει εντόπισε κάποιο κενό (με δοκιμή σε συγκεκριμένες συνθήκες) ας ποστάρει τον τρόπο να κάνουμε και οι υπόλοιποι έλεγχο για να βρούμε λύση.
Σε αυτές τις περιπτώσεις να γράφεται και το τρόπο στησίματος όπως και το τι υπηρεσίες χρειάζεστε ώστε να μην ανησυχούν άδικα όλοι οι υπόλοιποι.
πχ μια τρύπα στις ρυθμίσεις του fw για port forward δεν αφορά όσους δεν χρησιμοποιούν port forward.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
26-11-15, 19:13 Απάντηση: Mikrotik IPv4/IPv6 firewall #57
Ειδικός δεν είμαι.
Ακολουθώ τις οδηγίες της Mikrotik στο επίσημο wiki!
Αν κάποιος ξέρει τη mac του υπολογιστή, δε μπορεί να στείλει πακέτο χωρίς port forward εάν το firewall το επιτρέπει?
Στο log είχα δεί πακέτα με τη mac επάνω.
-
26-11-15, 19:16 Απάντηση: Mikrotik IPv4/IPv6 firewall #58
-
26-11-15, 19:22 Απάντηση: Mikrotik IPv4/IPv6 firewall #59
-
26-11-15, 19:29 Απάντηση: Mikrotik IPv4/IPv6 firewall #60
Παρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks