Mikrotik IPv4/IPv6 firewall

**paull** · 17-11-15, 09:25

Θα ήθελα να κάνω μιά ερώτηση σχετικά με το firewall. Στον οδηγό για το IPv6 firewall υπάρχει στο τέλος ένας κανόνας για να κάνει drop ο,τιδήποτε φθάνει εκεί. Στο IPv4 firewall δεν είδα να υπάρχει κάποιος ανάλογος κανόνας. Θα πρέπει να τον προσθέσουμε στο IPv4 firewall ή το αφήνουμε όπως είναι στον οδηγό;

**Lagman** · 17-11-15, 20:10

Αρχικό μήνυμα από deniSun

Οι λόγοι που μπορεί να μην έχεις δίκτυο είναι:
1. Να έχει πρόβλημα ο brass και να μην παίρνεις ΙΡ.
2. Να έχει πρόβλημα ο brass και να μην διακινεί περαιτέρω τα πακέτα.
3. Να σου πέσει η γραμμή και να μην πέσει ο pppoe client.
4. Να έχει πρόβλημα η περαιτέρω δρομολόγηση μετά τον brass.

Στην δική σου περίπτωση πιστεύω ότι ισχύει το 1 ή το 2 και λιγότερο κάποιο από τα υπόλοιπα.
Οι ΙΡ που αναφέρεις αντιστοιχούν σε μη πραγματικές διευθύνσεις και δεν πρέπει να σε ανησυχούν.

Έκανα disable enable τον pppoe client μια χαρά, ανοίγω το pc μετά από κάποιες ώρες δεν είχα πρόσβαση, κάνω ping το mikrotik gateway 951(σαν αυτό που είχες) 900ms και να μην απαντάει... νέκρωσε και ενα hap lite που έχω δε κατάλαβα τι έγινε, βγάζω το pc, φαίνονται απο το Laptop μια χαρά τα Mikrotik... Ανοίγω wireshark βάζω να κάνει capture και αυτό που πρόσεξα ήταν οτι είχα πάρα πολλά πακέτα με source και destination διάφορες mac address protocol της μορφής 0χ6606 0χ6706 0χ6d16 κλπ με info Ethernet II .

Δεν μπορώ να καταλάβω γιατί δεν μπορούσα να δω τα mikrotik .

Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση.

Όνομα: FRAMES_dont_stay_here.jpg
Εμφανίσεις: 18
Μέγεθος: 469,1 KB
ID: 163723

Δεν φταίει το Mikrotik LagMan, φταίει το άρρωστο μυαλό σου...

**deniSun** · 17-11-15, 22:29

Αρχικό μήνυμα από paull

Θα ήθελα να κάνω μιά ερώτηση σχετικά με το firewall. Στον οδηγό για το IPv6 firewall υπάρχει στο τέλος ένας κανόνας για να κάνει drop ο,τιδήποτε φθάνει εκεί. Στο IPv4 firewall δεν είδα να υπάρχει κάποιος ανάλογος κανόνας. Θα πρέπει να τον προσθέσουμε στο IPv4 firewall ή το αφήνουμε όπως είναι στον οδηγό;

Οι πόρτες του ν4 με αυτούς του ν6 είναι διαφορετικές.
Οπότε δεν νομίζω ότι θα πρέπει να προσθέσεις κάτι επιπλέον στο ν4.

- - - Updated - - -

Αρχικό μήνυμα από Lagman

Έκανα disable enable τον pppoe client μια χαρά, ανοίγω το pc μετά από κάποιες ώρες δεν είχα πρόσβαση, κάνω ping το mikrotik gateway 951(σαν αυτό που είχες) 900ms και να μην απαντάει... νέκρωσε και ενα hap lite που έχω δε κατάλαβα τι έγινε, βγάζω το pc, φαίνονται απο το Laptop μια χαρά τα Mikrotik... Ανοίγω wireshark βάζω να κάνει capture και αυτό που πρόσεξα ήταν οτι είχα πάρα πολλά πακέτα με source και destination διάφορες mac address protocol της μορφής 0χ6606 0χ6706 0χ6d16 κλπ με info Ethernet II .

Δεν μπορώ να καταλάβω γιατί δεν μπορούσα να δω τα mikrotik .

Δεν φταίει το Mikrotik LagMan, φταίει το άρρωστο μυαλό σου...

Μήπως παίζει κανένα conflict στο δίκτυό σου;

**Lagman** · 18-11-15, 00:40

Αρχικό μήνυμα από deniSun

Οι πόρτες του ν4 με αυτούς του ν6 είναι διαφορετικές.
Οπότε δεν νομίζω ότι θα πρέπει να προσθέσεις κάτι επιπλέον στο ν4.

- - - Updated - - -

Μήπως παίζει κανένα conflict στο δίκτυό σου;

Το conflict μου ακούγεται λογικό αλλά γίνετε με ένα ip conflict μέσα σε 10 λεπτά το wireshark να έχει καταγράψει 200 διαφορετικές mac address ;;

Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση.

Όνομα: conversations.jpg
Εμφανίσεις: 17
Μέγεθος: 441,6 KB
ID: 163741

Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση.

Όνομα: conversations2.jpg
Εμφανίσεις: 9
Μέγεθος: 450,8 KB
ID: 163742

**deniSun** · 18-11-15, 19:11

To ασύρματο το έχεις ανοικτό;

**Lagman** · 18-11-15, 20:23

Αρχικό μήνυμα από deniSun

To ασύρματο το έχεις ανοικτό;

Κλειστό, θα δοκιμάσω όμως να βάλω την ίδια Ip με το mikrotik να δω το Ip conflict πως το καταγράφει το wireshark, και με ανοιχτό wifi .

Μήπως έχω κολλήσει τίποτα στο pc και δε το έχει πιάσει το antivirus, γιατί είχα προσπάθειες για να μπούνε με telnet .

**teodor_ch** · 25-11-15, 16:52

Αρχικό μήνυμα από paull

Θα ήθελα να κάνω μιά ερώτηση σχετικά με το firewall. Στον οδηγό για το IPv6 firewall υπάρχει στο τέλος ένας κανόνας για να κάνει drop ο,τιδήποτε φθάνει εκεί. Στο IPv4 firewall δεν είδα να υπάρχει κάποιος ανάλογος κανόνας. Θα πρέπει να τον προσθέσουμε στο IPv4 firewall ή το αφήνουμε όπως είναι στον οδηγό;

Μετά απο καιρό είπα να ασχοληθώ παραπάνω με το firewall.
Μιλάω μόνο για IPv4.

Στο τέλος είχα ένα Log everything else το οποίο έγραφε κάμποσες συνδέσεις.
Το άλλαξα σε drop everything else και έχασα κάθε επαφή ακόμα και τα dst-nat
οπότε έβαλα !dst-nat και πλέον νομίζω ότι δεν περνάει άσχετο.

Όσοι έχετε copy-paste το firewall του οδηγού,
βάλτε ένα log everything στο chain input και δείτε αν πιάνει κίνηση.

Απο εδώ το είχα δεί
http://wiki.mikrotik.com/wiki/Securing_your_router

- - - Updated - - -

και φυσικά μετά το drop everything else
χάθηκε και η πρόσβαση του openvpn
και έπρεπε να ανοίξω την πόρτα του

οπότε μέχρι τώρα είχα τρύπιο firewall!

**paull** · 26-11-15, 12:21

Αρχικό μήνυμα από teodor_ch

και φυσικά μετά το drop everything else
χάθηκε και η πρόσβαση του openvpn
και έπρεπε να ανοίξω την πόρτα του

οπότε μέχρι τώρα είχα τρύπιο firewall!

Αγόρασα τον Mikrotik router πριν λίγες ημέρες οπότε δεν έχω την εμπειρία να κάνω όλες τις απαραίτητες ρυθμίσεις και ο router ρυθμίστηκε σύμφωνα με τους οδηγούς που υπάρχουν εδώ. Είδα όμως στο documentation ότι ο router by default δέχεται όλα τα πακέτα τα οποία δεν γίνονται drop στο firewall γι'αυτό ρώτησα αν πρέπει να προστεθεί ο κανόνας που κάνει drop everything else.

**airbus** · 26-11-15, 14:14

με το quick set δεν ειναι το ιδιο? οι κανονες που βαζει το quickset δεν ειναι κομπλε?

**teodor_ch** · 26-11-15, 16:19

Αρχικό μήνυμα από paull

Αγόρασα τον Mikrotik router πριν λίγες ημέρες οπότε δεν έχω την εμπειρία να κάνω όλες τις απαραίτητες ρυθμίσεις και ο router ρυθμίστηκε σύμφωνα με τους οδηγούς που υπάρχουν εδώ. Είδα όμως στο documentation ότι ο router by default δέχεται όλα τα πακέτα τα οποία δεν γίνονται drop στο firewall γι'αυτό ρώτησα αν πρέπει να προστεθεί ο κανόνας που κάνει drop everything else.

Και εγώ το wiki είδα.
Επίσης δεν έχω δοκιμάσει το quick set για να ξέρω τί κάνει.

Κάποιος απο τους "παλιούς" που έχει εφαρμόσει κατα γράμμα τον οδηγό ας τσεκάρει αν είναι τρύπιος ή όχι.

**deniSun** · 26-11-15, 18:59

Δεν νομίζω ότι υπάρχει κάποιο θέμα με την ασφάλεια.
Αναλυτικά:
Ας υποθέσουμε ότι όλα είναι ανοικτά στο fw.
Αν δεν έχεις κάνει κάποιο port forward για κάποιον ΗΥ τότε,
έστω ότι κάποιο βλέπει ότι έχεις ανοικτές όλες τις πόρτες και δοκιμάζει να μπει πχ στην 21.
Από την στιγμή που δεν έχεις αναδρομολόγηση πακέτων με κάποιο port forward απλά δεν θα το στείλει πουθενά.
Άρα σε αυτή την περίπτωση δεν κινδυνεύεις.

Πάμε τώρα στην περίπτωση που δεν θέλει κάποιος να παραβιάσει κάποιον ΗΥ του εσωτερικού δικτύου αλλά το ίδιο το ΜΤ.
Σε αυτή την περίπτωση έχω δηλώσει στον ανάλογο οδηγό ότι θα πρέπει να ρυθμίσεις όλα τα service να λειτουργούν μόνο με ΙΡ του εσωτερικού δικτύου και με καμία άλλη.
Άρα και σε αυτή την περίπτωση κάποιος από έξω δεν θα μπορέσει να βλάψει το ΜΤ.

Και στις δύο περιπτώσεις εξαιρούνται όσοι θέλουν να κάνουν κάτι διαφορετικό πχ να έχουν ανοιχτές πόρτες προς τα έξω ή να θέλουν να βλέπουν από έξω το ΜΤ.
Σε αυτές τις περιπτώσεις θα πρέπει να κάνουν επιπλέον ρυθμίσεις ασφαλείας στο fw.
Αλλά επειδή το θεωρώ χαζό να θέλεις να βλέπεις από έξω το ΜΤ ή να κάνεις port forward γι αυτό έβαλα τον οδηγό για openvpn που θεωρώ ότι είναι ότι ποιο ασφαλές για αυτές τις περιπτώσεις.

Οι πόρτες του fw είναι όλες stealth.
Τουλάχιστον αυτό δείχνουν όλα τα security test που έχω τρέξει έως τώρα.
Οπότε δεν χρειάζεται να παθαίνουμε κρίσεις ασφαλείας και να λέμε ότι θέλουμε και αυτό και το άλλο.
Βέβαια αν μπορούμε να πάρουμε το 100% των μέτρων ασφαλείας τόσο το καλύτερο αρκεί να υπάρχει κάποια λογική σε αυτό.

Με την έως τώρα χρήση δεν είδα ποτέ κάποια ΙΡ να καταγράφεται να προσπαθεί να μου κάνει κάτι είτε σε κάποιον ΗΥ είτε στο ΜΤ.
Όταν κατεβάζω από torrent κάποιες ΙΡ που προσπαθούν να κάνουν port scanner μπλοκάρονται απευθείας και αποκλείονται.
Οπότε νομίζω ότι είμαστε αρκετά καλά.

Αν κάποιος κάνει εντόπισε κάποιο κενό (με δοκιμή σε συγκεκριμένες συνθήκες) ας ποστάρει τον τρόπο να κάνουμε και οι υπόλοιποι έλεγχο για να βρούμε λύση.
Σε αυτές τις περιπτώσεις να γράφεται και το τρόπο στησίματος όπως και το τι υπηρεσίες χρειάζεστε ώστε να μην ανησυχούν άδικα όλοι οι υπόλοιποι.
πχ μια τρύπα στις ρυθμίσεις του fw για port forward δεν αφορά όσους δεν χρησιμοποιούν port forward.

**teodor_ch** · 26-11-15, 19:13

Ειδικός δεν είμαι.
Ακολουθώ τις οδηγίες της Mikrotik στο επίσημο wiki!

Αν κάποιος ξέρει τη mac του υπολογιστή, δε μπορεί να στείλει πακέτο χωρίς port forward εάν το firewall το επιτρέπει?

Στο log είχα δεί πακέτα με τη mac επάνω.

**deniSun** · 26-11-15, 19:16

Αρχικό μήνυμα από teodor_ch

Ειδικός δεν είμαι.
Ακολουθώ τις οδηγίες της Mikrotik στο επίσημο wiki!

Αν κάποιος ξέρει τη mac του υπολογιστή, δε μπορεί να στείλει πακέτο χωρίς port forward εάν το firewall το επιτρέπει?

Στο log είχα δεί πακέτα με τη mac επάνω.

Τι είδους πακέτο μπορείς να στείλεις με mac που να μπορέσει να βλάψει το ΜΤ ή κάποιον ΗΥ;

**teodor_ch** · 26-11-15, 19:22

Αρχικό μήνυμα από deniSun

Τι είδους πακέτο μπορείς να στείλεις με mac που να μπορέσει να βλάψει το ΜΤ ή κάποιον ΗΥ;

εννοώ να παρακάμψεις το port forward αν γνωρίζεις τη mac του pc που θέλεις να επιτεθείς

**deniSun** · 26-11-15, 19:29

Αρχικό μήνυμα από teodor_ch

εννοώ να παρακάμψεις το port forward αν γνωρίζεις τη mac του pc που θέλεις να επιτεθείς

Ας υποθέσουμε ότι γνωρίζεις την mac του ΗΥ που θέλεις να χτυπήσεις.
Πώς θα γίνει αυτό;
Με τι τρόπο;

Θέμα: Mikrotik IPv4/IPv6 firewall

Παρόμοια Θέματα

Mikrotik IPv6 σε PPPoE client με modem σε bridge mode

Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ

Mikrotik 2011 DHCP lease failed without success Point to Multipoint

IPV6 + IPV4 SPEED TEST

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές