Επιστροφή στο Forum : Mikrotik IPv4/IPv6 firewall
ναι καταλαβα ........ σου απαντησα, οτι ετσι τοχα και εγω καποια στιγμη, πιο πανω απο το http, πρεπει να βαλεις ομως except πορτες γιατι θα τις πιανει ολες, ακομη και των τορρεντ.
μα αυτό θέλω, τα πάντα όλα
Όταν είναι να κλείσει μία σύνδεση να μήν υπάρχει περίπτωση να γίνει drop αυτό το πακέτο!
Είτε είναι p2p είτε είναι http.
ΥΓ. και τον απο πάνω κανόνα
add action=passthrough chain=forward in-interface=all-ppp protocol=tcp tcp-flags=fin
add action=passthrough chain=forward out-interface=all-ppp protocol=tcp tcp-flags=fin
ΥΓ2. Απάντα στο άλλο τοπικ
καλησπέρα, σε συνεχεια του θεματος με την κινητη σε mikrotik απο εδω και του προβληματος 4 : https://www.adslgr.com/forum/threads/877556-%CE%A4%CF%81%CF%8C%CF%80%CE%BF%CE%B9-%CE%B3%CE%B9%CE%B1-internet-%CE%BA%CE%B9%CE%BD%CE%B7%CF%84%CE%AE%CF%82-%CF%83%CE%B5-Mikrotik-Routerboard/page11
θα αναφερω τι προβλημα εχω.
Στο 951-internet οπως το ονομαζω επειδη εχω και 951-awmn router εκει, εχω περασει τα firewall filters που εχω και στο 109, εχω βγαλει μονο οτι εχει σχεση με το openvpn (αυτα τα εχω κανει disable γιατι θα κανω καποια στιγμη) και με ipsec και l2tp, επειδη εχει μονο pptp vpn server και client.
Επισης στους κανονες για το pptp vpn εχω βαλει τα σωστα subnets.
Nα πω οτι ειναι σεταρισμενο σαν switch γιατι το δουλευω ετσι (εχει σημασια για το ενα προβλημα απο τα 2 σχετικα με εναν κανονα).
To παραθετω και παρακατω :
/ip firewall filter
add action=accept chain=input dst-address=10.71.99.0/24 src-address=10.2.237.0/27
add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid disabled=yes
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add action=accept chain=input comment=OpenVPN disabled=yes dst-port=1722 port="" protocol=tcp
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=accept chain=forward connection-nat-state=dstnat
add action=accept chain=input connection-nat-state=dstnat
add action=accept chain=forward comment="from openvpn" disabled=yes in-interface=all-ppp src-address=10.2.237.248/29
add action=accept chain=forward comment="from pptp vpn" in-interface=all-ppp src-address=10.71.99.248/29
add action=accept chain=input comment="from openvpn" disabled=yes in-interface=all-ppp src-address=10.71.99.248/29
add action=accept chain=input comment="from pptp vpn" in-interface=all-ppp src-address=10.71.99.248/29
add action=drop chain=forward comment="Drop forward everything else" disabled=yes log-prefix=forward-all-others
add action=drop chain=input comment="Drop input everything else" disabled=yes
με τους 2 τελευταιους κανονες εχω θεμα, τοσο στο 951 αυτο, οσο και στο 109.
Τι γινεται τωρα, το 109 τρεχει εναν pptp vpn server και δινει ip απο το subnet μου στο 951 με σκοπο να περναει ολα τα 10.0.0.0/8 μεσω ιντερνετ κινητης.
Οποτε στο 109 η εισερχομενη κινηση ερχεται απο το ip cloud του 951.
Το αναποδο γινεται με pptp vpn server απο το 951 προς το 109.
Ο πρωτος κανονας εμποδιζει αυτη την κινηση μεσω ιντερνετ.
Ο δευτερος κανονας που λεει forward δεν με αφηνει να φτασω στα επομενα μηχανηματα.
Δλδ απο το 109 πχ προς το 951 φτανω στο 951 αλλα δεν φτανω τα αλλα που ειναι συνδεδεμενα επανω του.
Το ιδιο και απο το 951 προς το 109, και τα 2 τονιζω οτι παιζουν σαν switch και ολες οι πορτες ειναι bridge.
Eπισης στο 951 την ωρα που το εφτιαχνα δεχτηκα αρκετες επιθεσεις απο καποιους....δειτε φωτο παρακατω.
Ολες οι υπηρεσιες αυτες μετα απο αυτο εγιναν ανοιχτες για συγκεκριμενα subnets μεσω awmn αρα μεσω των vpn μου και οχι απο ιντερνετ.
επισης εγινε καταγραφη αργοτερα και απο post scanners.
Εψαξα λιγο και βρηκα αυτο δλδ να αφησω το firewall να περασει η πορτα του vpn https://forum.mikrotik.com/viewtopic.php?t=60480
αλλα ηθελα να ρωτησω δεν γινεται καπως να πω στα 2 μηχανηματα 109 και 951-internet να αφηνει να περναει αλλα να δηλωσω να περναει οτι ερχεται απο το αντιστοιχο ονομα του ip cloud?
το θεμα κατι μου θυμιζει σχετικα με openvpn νομιζω οταν ειχαμε βαλει αυτους τους 2 τελευταιους κανονες το ειχε κοψει τοτε.
Και πρεπει να ειχα βαλει αυτο add action=accept chain=input comment=OpenVPN disabled=yes dst-port=1722 port="" protocol=tcp οχι φυσικα με disable το εχω κανει τωρα επειδη δεν εχει το 951 προς το παρον ovpn.
Ενημερωτικά# ειδα Στα log ότι κάποιος από Κορέα επιτυχώς έκανε σύνδεση στο pptp!!!!!
Δεδομένου μάλιστα ότι έχω κανονικό μοναδικό rand password 12char!!!!
Άρα υπάρχει μεγάλο πρόβλημα με το pptp, κάτι που το ξέραμε.
Μαθήματα:
1. Αν έχουμε pptp κλπ υποχρεωτικά σε DMZ.
2. Αν δεν ταξιδεύουμε firewall rule που επιτρέπει σύνδεση μόνο από ελληνικά ip. . (http://www.ipdeny.com/ipblocks/)
3. Κόβουμε χαζά logs τύπου dhcp συνδέσεις κλπ ώστε να δούμε τα ουσιαστικά log entries.
Ακριβως γιαυτο ειναι προτιμοτερο να δουλευουμε αλλα ειδη VPN, προσωπικα θεωρω περισσοτερο ασφαλες απο ολα το openvpn για ευνοητους λογους.
Αλλα λογω βιασυνης βαζω pptp, ή οταν εχω δυσκολια σε καποιο μηχανημα που δεν ειναι δικο μου και δεν μπορω να του βαλω αρχεια.
Τελικα αυτο που ρωτησα και θα λυσει και το θεμα ασφαλειας αυτο στο PPTP VPN γινεται????
δλδ αντι να επιτρεψουμε ΟΛΕΣ τις εισερχομενες κλησεις σε μια πορτα που περνανε το firewall μας, να μπορουμε να του δηλωσουμε ενα συγκεκριμενο DDNS ονομα και μονο αυτο να μπορει να συνδεθει.
Αυτο μπορει να γινει?
ειδα και εγω στα logs μια ip απο tokyo και αντικατεστησα το pptp vpn server στο 951 με το ιντερνετ απο κινητη με openvpn server.
Tελικα εκτος απο αυτους τους 2 κανονες
add action=drop chain=forward comment="Drop forward everything else" disabled=yes log-prefix=forward-all-others
add action=drop chain=input comment="Drop input everything else" disabled=yes
που μου κοβουν το vpn που περναει απο το ιντερνετ εχω θεμα και με αλλον (μονο στο 951 κινητης) :
add action=drop chain=forward comment="Drop forward everything else" disabled=yes log-prefix=forward-all-others
με αυτον εδω τον κανονα ενεργο, ο openvpn server που δινει ips απο το subnet που εχει το 951 κινητης, στο 109 δεν μπορω να δω τα αλλα μηχανηματα που εχει πανω το 951 που το δουλευω και σαν switch.
Ξερει κανεις τι κανουμε με ολους αυτους τους κανονες? αν ειναι disable ειναι μεγαλη "τρυπα" στο firewall?
μπορω να βαλω κατι αλλο για το προβλημα σε αυτα που κοβουν?
για τα 2 πρωτα εβαλα αυτο που ειπα σε προηγουμενο ποστ μου αλλα πρεπει να ειμαι εκει για να το δοκιμασω.
Ενημερωτικά# ειδα Στα log ότι κάποιος από Κορέα επιτυχώς έκανε σύνδεση στο pptp!!!!!
Δεδομένου μάλιστα ότι έχω κανονικό μοναδικό rand password 12char!!!!
Άρα υπάρχει μεγάλο πρόβλημα με το pptp, κάτι που το ξέραμε.
Μαθήματα:
1. Αν έχουμε pptp κλπ υποχρεωτικά σε DMZ.
2. Αν δεν ταξιδεύουμε firewall rule που επιτρέπει σύνδεση μόνο από ελληνικά ip. . (http://www.ipdeny.com/ipblocks/)
3. Κόβουμε χαζά logs τύπου dhcp συνδέσεις κλπ ώστε να δούμε τα ουσιαστικά log entries.
openvpn;
Είχα το pptp σαν backup σε περίπτωση που ήταν κλειστό το nas που τρέχει το ovpn. Δεν μου είχε δουλέψει ποτέ ό ovpn server στο mtik
Android 7, win10, centos, Ubuntu.
Android 7, win10, centos, Ubuntu.
Μέχρι android 7.1.1 το δούλευα χωρίς πρόβλημα σύμφωνα με τον οδηγό μου.
Είχα το pptp σαν backup σε περίπτωση που ήταν κλειστό το nas που τρέχει το ovpn. Δεν μου είχε δουλέψει ποτέ ό ovpn server στο mtik
καλημερα, εμενα παντα και server και client, και το νεο 951 που πηρα τωρα τρεχει και server και εχει και client πανω του.
Ηδη καταργησα ολα τα pptp απο τα rbs μου που ειχαν και δεν θα ξαναβαλω ποτε!
και εχω και clients windows xp, android, win7, linux.
αν ενδιαφερεσαι να παιξει κανε ενα θεματακι να το δουμε να γραψω και εγω.
Βασικα για server εχει θεμα εδω https://www.adslgr.com/forum/threads/858931-Mikrotik-OpenVPN-Server-%CE%BC%CE%B5-Android-Client
αλλα δεν εχει και για mikrotik ovpn client.
καλημερα, εμενα παντα και server και client, και το νεο 951 που πηρα τωρα τρεχει και server και εχει και client πανω του.
Ηδη καταργησα ολα τα pptp απο τα rbs μου που ειχαν και δεν θα ξαναβαλω ποτε!
και εχω και clients windows xp, android, win7, linux.
αν ενδιαφερεσαι να παιξει κανε ενα θεματακι να το δουμε να γραψω και εγω.
Βασικα για server εχει θεμα εδω https://www.adslgr.com/forum/threads/858931-Mikrotik-OpenVPN-Server-%CE%BC%CE%B5-Android-Client
αλλα δεν εχει και για mikrotik ovpn client.
Δεν έχω δεύτερο ΜΤ για να το σετάρω για openvpn client.
Δεν νομίζω να είναι δύσκολο να γίνει.
Το βασικό είναι να σου τρέχει ο server.
Άπαξ και μπορείς να συνδεθείς με έναν client μπορείς να συνδεθείς και με όλους τους άλλους.
Παραμετροποίηση χρειάζεται από μεριάς client.
Καλησπέρα, για την ιστορια ποιο δυσκολος client για openvpn για μενα ειναι αυτος του android, στο mikrotik ειναι piece of cake. H ιστορια ολη φυσικα και ειναι ο server!
Καλησπέρα, για την ιστορια ποιο δυσκολος client για openvpn για μενα ειναι αυτος του android, στο mikrotik ειναι piece of cake. H ιστορια ολη φυσικα και ειναι ο server!
Δεν είχα κάποια δυσκολία να τον σετάρω.
Εξ άλλου έχω και τον οδηγό βήμα-βήμα για όποιον θέλει.
εγω μιλησα για εμενα, αμα δεις και ποσα εχω γραψει εκει στο θεμα ειναι και καποιος καιρος που δεν επαιζε και ειχα δοκιμασει πανω απο εναν client και αν θυμαμαι καλα και τωρα δεν παιζω με αυτον που παιζεις εσυ.
Ασε που εχει παρα πολλα προγραμματα για android clients που σεταρονται με διαφορετικο τροπο, ενω ο mikrotik client ειναι ενας!
αν ειναι να μιλαμε για openvpn δεν τα λεμε καλυτερα στο δικο του θεμα?
Με τους κανόνες drop all others στο input και forward και με τη προυπόθεση ότι δεν έχεις κάποιον accept εκτός απο μέσα απο το δίκτυο σου έχεις λύσει το θέμα.
Επειδή νομίζω ότι το drop το έχεις, μήπως έχεις αφήσει κάποιο κανόνα στο input allow from *** και μπαίνουν και άλλοι?
Δές στα connections ένα δείγμα κίνησης στη θύρα 53 να βρούμε την αιτία.
Ή κάτσε κοίτα το αν είναι συνέχεια το πρόβλημα, ή βάλε κανόνα LOG input tcp/udp port 53 για να το πιάσεις.
οντως εχω κοψει μερικους κανονες επειδη εκοβαν τα vpn, ομως τωρα απο pptp τα εκανα openvpn και ξεχασα να τα δοκιμασω παλι.
Μπορει κατι με αυτα να γινεται.
καλη ιδεα η παρακολουθηση.
απο παλιοτερο ποστ μου ποιο πριν ισως να εχει σχεση με το προβλημα :
Ακριβως γιαυτο ειναι προτιμοτερο να δουλευουμε αλλα ειδη VPN, προσωπικα θεωρω περισσοτερο ασφαλες απο ολα το openvpn για ευνοητους λογους.
Αλλα λογω βιασυνης βαζω pptp, ή οταν εχω δυσκολια σε καποιο μηχανημα που δεν ειναι δικο μου και δεν μπορω να του βαλω αρχεια.
Τελικα αυτο που ρωτησα και θα λυσει και το θεμα ασφαλειας αυτο στο PPTP VPN γινεται????
δλδ αντι να επιτρεψουμε ΟΛΕΣ τις εισερχομενες κλησεις σε μια πορτα που περνανε το firewall μας, να μπορουμε να του δηλωσουμε ενα συγκεκριμενο DDNS ονομα και μονο αυτο να μπορει να συνδεθει.
Αυτο μπορει να γινει?
ειδα και εγω στα logs μια ip απο tokyo και αντικατεστησα το pptp vpn server στο 951 με το ιντερνετ απο κινητη με openvpn server.
Tελικα εκτος απο αυτους τους 2 κανονες
add action=drop chain=forward comment="Drop forward everything else" disabled=yes log-prefix=forward-all-others
add action=drop chain=input comment="Drop input everything else" disabled=yes
που μου κοβουν το vpn που περναει απο το ιντερνετ εχω θεμα και με αλλον (μονο στο 951 κινητης) :
add action=drop chain=forward comment="Drop forward everything else" disabled=yes log-prefix=forward-all-others
με αυτον εδω τον κανονα ενεργο, ο openvpn server που δινει ips απο το subnet που εχει το 951 κινητης, στο 109 δεν μπορω να δω τα αλλα μηχανηματα που εχει πανω το 951 που το δουλευω και σαν switch.
Ξερει κανεις τι κανουμε με ολους αυτους τους κανονες? αν ειναι disable ειναι μεγαλη "τρυπα" στο firewall?
μπορω να βαλω κατι αλλο για το προβλημα σε αυτα που κοβουν?
για τα 2 πρωτα εβαλα αυτο που ειπα σε προηγουμενο ποστ μου αλλα πρεπει να ειμαι εκει για να το δοκιμασω.
αν έχεις απενεργοποιήσει τους drop all others τότε δεν έχεις σωστό firewall!
αυτοί ΠΡΕΠΕΙ να υπάρχουν εκτός αν καταφέρεις απο πάνω να κάνεις drop ότι δεν θές (νομίζω αδύνατον!)
οπότε δές γιατί αυτοί οι κανόνες σε ενοχλούν (αντί για drop βάλε log και δές τί κίνηση κόβουν που ΔΕΝ θές)
και μετά βάλε ACCEPT απο πάνω τους για να μή την κόβουν
- - - Updated - - -
Έχω δεί στα γρήγορα κάποια ποστ σου αλλά συγνώμη δεν έχω το χρόνο να ασχοληθώ και έχεις και πολύ πολύπλοκο setup.
Οπότε δε μπορώ να σε βοηθήσω πιο συγκεκριμένα παρα μόνο να σε κατευθύνω.
Που βέβαια δεν είμαι certified mikrotik expert ούτε έχω επαγγελματική σχέση με τα δικτυακά. Εδώ μέσα ότι έχω μάθει!
νομιζω οτι η λυση περιγραφεται εδω https://forum.mikrotik.com/viewtopic.php?t=60480
ναι εχεις δικιο δεν ειναι λυση το disable, αλλα το εκανα γιατι εκει που ημουν δεν ειχα χρονο και επρεπε να φυγω και παλι δεν προλαβα το ΣΚ να ασχοληθω και εμειναν ετσι.
νομιζω οτι η λυση περιγραφεται εδω https://forum.mikrotik.com/viewtopic.php?t=60480
ναι εχεις δικιο δεν ειναι λυση το disable, αλλα το εκανα γιατι εκει που ημουν δεν ειχα χρονο και επρεπε να φυγω και παλι δεν προλαβα το ΣΚ να ασχοληθω και εμειναν ετσι.
η λύση σε τί?
Τελικά έβαλα το ovpn στο mtik και μάλιστα έφτιαξα τα πιστοποιητικά μέσα από το ίδιο το router os.
η λύση σε τί?
αν έχεις απενεργοποιήσει τους drop all others τότε δεν έχεις σωστό firewall!
αυτοί ΠΡΕΠΕΙ να υπάρχουν εκτός αν καταφέρεις απο πάνω να κάνεις drop ότι δεν θές (νομίζω αδύνατον!)
οπότε δές γιατί αυτοί οι κανόνες σε ενοχλούν (αντί για drop βάλε log και δές τί κίνηση κόβουν που ΔΕΝ θές)
και μετά βάλε ACCEPT απο πάνω τους για να μή την κόβουν
- - - Updated - - -
Έχω δεί στα γρήγορα κάποια ποστ σου αλλά συγνώμη δεν έχω το χρόνο να ασχοληθώ και έχεις και πολύ πολύπλοκο setup.
Οπότε δε μπορώ να σε βοηθήσω πιο συγκεκριμένα παρα μόνο να σε κατευθύνω.
Που βέβαια δεν είμαι certified mikrotik expert ούτε έχω επαγγελματική σχέση με τα δικτυακά. Εδώ μέσα ότι έχω μάθει!
Επειδη το κοβοταν το VPN και επειδη ο ενας κανονας εχει forward δεν εβλεπα τα αλλα μηχανηματα μεσω vpn μετα το ρουτερ δλδ, και ετσι τους εκλεισα.
Νομιζω αυτο που λεει εκει μπορει να επιτρεψει να περασει το vpn χωρις να εχω τοσους κανονες disable που κανουν μια τρυπα στο firewall.
Eπισης πριν ηταν PPTP τα 2 vpns και τωρα που τα εκανα openvpn δεν εχω δοκιμασει αν ακομα υπαρχει αυτο το θεμα.
Δεν χρειαζεται να ζητας συγνωμη, καταλαβαινω οτι ειναι πολυ δυσκολα και για εσενα και τον Deni και οποιον αλλον εχει ασχοληθει με τα δικα μου κατα καιρους, εχω κανει ενα καρο σελιδες με σημειωσεις και συνεχεια κατι ξεχναω και οταν ειμαι εκει μαλιστα. Ειδικα αν δεν εισαι τοπικα να κανεις δοκιμες να τα βλεπεις απο κοντα ειναι εξαιρετικα δυσκολα!
Τελικά έβαλα το ovpn στο mtik και μάλιστα έφτιαξα τα πιστοποιητικά μέσα από το ίδιο το router os.
εχει θεμα για openvpn server σε mikrotik, δεν γραφεις εκει καλυτερα? δε νομιζω οτι υπαρχει καποιος λογος να μπερδευουμε τα θεματα.
Οριστε και για να μην ψαχνεις : https://www.adslgr.com/forum/threads/858931-Mikrotik-OpenVPN-Server-%CE%BC%CE%B5-Android-Client
Tελικα οκ τα εφτιαξα τα firewalls, ειχα κατι κανονες για το openvpn λαθος και δεν δουλευαν γιαυτο και περνουσε οταν εκλεινα τους παραπανω κανονες, ηθελε input και forward accept απο το ενα subnet στο απεναντι και ετσι ολα μια χαρα τωρα με ολους τους κανονες ενεργους!
οποτε μας μενει να δουμε το DNS τωρα.
Για ριχτε μια ματια στο σχετικο θεμα τι εχουμε εδω? https://forum.mikrotik.com/viewtopic.php?t=73801
και https://www.facebook.com/academiamikrotikromania/posts/941801269204258
HOW TO PROTECT FROM DNS ATTACK!
Some simple rules to do for this:
1: Redirect all queries from your network to your ISP DNS.
/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53
2. Block external DNS queries to your Mikrotik routerboard
/ip firewall filter
add chain=input protocol=udp dst-port=53 in-interface=WAN action drop
add chain=input protocol=tcp dst-port=53 in-interface=WAN action drop
εχει δοκιμασει κανεις κατι να προτεινει???
καλησπέρα, τελικα τι να πω δεν ξερω τι γινεται σε αυτο το 951 που εχει πανω το ιντερνετ κινητης! με εχουν σκισει....
μετα απο το πανω θεμα με το DNS οπως εγραψα και σε αλλα θεματα ειχα τρελη καταναλωση απο το ΣΚ στα δεδομενα, θεωρησα οτι εφταιγαν οι καμερες επειδη τους εκανα κατι αλλαγες και ενεργοποιησα και τις 5. Ελα ομως που ενω αλλαξα το gateway στο DVR CCTV με το 951 του awmn που εχει ιντερνετ μεσω αυτου με ovpn client, το προβλημα παρεμεινε με τα δεδομενα να κανουν φτερα!!!
μετα νομιζα οτι εφταιγε η αλλαγη των 2 vpns απο PPTP σε OVPN. Ετσι σημερα τα εκλεισα και εβαλα ενα l2tp.
Τελικα παλι τα ιδια!!! εκλεισα το l2tp και ειδα το PPP να μετραει κινηση!!!!
παω στο firewall στα connections και ειδα 2 αγνωστες ips εξωτερικου με καποια 5ψηφια πορτα να εχουν σαν destination την internetiki μου ip της κινητης δλδ με port 23!!!!
υποψην οτι στο ip services το port 23 εχει προβαση μονο απο awmn ips.
Τελικα εκανα το ppp ενα restart πηρε αλλη ip αυτα εφυγαν και απο τοτε δεν εχει κινηση!!!
ενεργοποιησα μετα παλι τα 2 OVPNs και ολα καλα!!!!
Τι γινεται ρε παιδια εχει ιδεα κανεις???? δεν κοβεται το τελνετ οταν εχουμε δηλωσει απο το ip services ποιος θα εχει προβαση?
απο το linux pc μου αμα κανω nmap λεει αυτο :
[nikiforos@nikiforos-arch ~]$ nmap xxxxxxxxx.sn.mynetname.net
Starting Nmap 7.50 ( https://nmap.org ) at 2017-07-11 19:21 EEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.20 seconds
και κατι σχετικο εδω : https://forum.mikrotik.com/viewtopic.php?t=19009
μου φαινεται οτι αυτα χρειαζονται : https://blog.zemna.net/mikrotik/how-to-block-brute-force-attack-in-mikrotik-router/
τουλαχιστον σε αυτο της κινητης....
εκτος τα παραπανω εκανα και αυτα και θα δουμε :
https://www.facebook.com/academiamikrotikromania/posts/941801269204258
HOW TO PROTECT FROM DNS ATTACK!
Some simple rules to do for this:
1: Redirect all queries from your network to your ISP DNS.
/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53
2. Block external DNS queries to your Mikrotik routerboard
/ip firewall filter
add chain=input protocol=udp dst-port=53 in-interface=ppp-out1 action drop
add chain=input protocol=tcp dst-port=53 in-interface=ppp-out1 action drop
Αν εκλεισες το drop all others το πιθανοτερο ειναι να τον ηπιες εκεινη τη στιγμη. Αυτο δε το κλεινεις ποτε, ουτε για δοκιμη. Αν το κανεις, ρεσταρτ μετα για να αλλαξεις ip.
Αν εχεις allow all from lan inpit-forward δοκιμασε χωρις αυτους.
Κατέβαζες τίποτε από torrent;
Αν εκλεισες το drop all others το πιθανοτερο ειναι να τον ηπιες εκεινη τη στιγμη. Αυτο δε το κλεινεις ποτε, ουτε για δοκιμη. Αν το κανεις, ρεσταρτ μετα για να αλλαξεις ip.
Αν εχεις allow all from lan inpit-forward δοκιμασε χωρις αυτους.
Το ειχα κλεισει αυτα που ειχα πει, αν θυμαμαι καλα ηταν 3 κανονες, πολλες μερες πριν και δεν ειχε γινει τπτ!!! μια εβδομαδα ηταν κλειστοι!
μετα οταν το συζητησαμε βρηκα τι επρεπε να κανω, επετρεψα το openvpn με κανονες ποιο πριν accept στο in και forward και ετσι τα ειχα ολα ενεργα κανονικα, αυτο εγινε μετα, οποτε δεν φταινε αυτα.
Οπως φαινεται το Σαββατο αυτο που μας περασε το προβλημα εντοπιστηκε σχετικα με DNS και απο την Κυριακη και μετα που καταπινε τα MB για πλακα πρεπει να εγινε με τελνετ.
Γιαυτο και εβαλα τωρα τους κανονες που ειπα παραπανω να δουμε.
Κατέβαζες τίποτε από torrent;
δεν κατεβαζω εκει απο torrent πολυ σπανια και αν το κανω θα ειναι απο το ιντερνετ του 1ου 951 που εχει το ovpn client που δινω απο το 109 ιντερνετ μεσω του AWMN.
2,5gb την μερα και αλλα τοσα για το βραδυ εχει το προγραμμα μου δεν κατεβαζω με αυτα τπτ.
Ενας χαμος στο fw του 951 κινητης
/ip firewall filter
add action=accept chain=input dst-address=10.71.99.0/24 src-address=10.2.237.0/27
add action=accept chain=forward dst-address=10.71.99.0/24 src-address=10.2.237.0/27
add action=accept chain=forward comment="apodoxi openvpn server ips" dst-address=10.71.99.0/24 src-address=10.71.99.248/29
add action=accept chain=input comment="from openvpn" in-interface=all-ppp src-address=10.71.99.248/29
add action=accept chain=forward comment="from openvpn" in-interface=all-ppp src-address=10.2.237.248/29
add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related
add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=accept chain=forward connection-nat-state=dstnat
add action=accept chain=input connection-nat-state=dstnat
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=drop chain=forward comment="Drop forward everything else" log-prefix=forward-all-others
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=input comment="Drop SSH Brute Forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=input comment="Drop FTP Brute Forcers" dst-port=21 protocol=tcp src-address-list=ftp_blacklist
add action=add-src-to-address-list address-list=ftp_blacklist address-list-timeout=1d chain=input connection-state=new dst-port=21 protocol=tcp src-address-list=ftp_stage3
add action=add-src-to-address-list address-list=ftp_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=21 protocol=tcp src-address-list=ftp_stage2
add action=add-src-to-address-list address-list=ftp_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=21 protocol=tcp src-address-list=ftp_stage1
add action=add-src-to-address-list address-list=ftp_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=21 protocol=tcp
add action=drop chain=input comment="Drop Telnet Brute Forcers" dst-port=23 protocol=tcp src-address-list=telnet_blacklist
add action=add-src-to-address-list address-list=telnet_blacklist address-list-timeout=1d chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage3
add action=add-src-to-address-list address-list=telnet_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage2
add action=add-src-to-address-list address-list=telnet_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage1
add action=add-src-to-address-list address-list=telnet_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp
add action=drop chain=input dst-port=53 in-interface=ppp-out1 protocol=tcp
add action=drop chain=input dst-port=53 in-interface=ppp-out1 protocol=udp
add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
Αυτους τους κανονες εσυ δε πρεπει να τους εχεις με awmn διοτι ειναι σα να εισαι σε ενα ανοιχτο lan.
Ειχες κλεισει δλδ το drop all others και καποιος απο το ανοιχτο δικτυο που κατεβαζε τορρεντσ σου εκανε τη ζημια αθελα του, μεσω αυτου.
Ασε που εχω την εντυπωση οτι τα drop port scanners δε δουλευουν. Το εχει δοκιμασει κανεις σας?
το μηχανημα αυτο δεν παιζει με το κανονικο awmn, εχει subnet απο το 109 μεσω ιντερνετ κινητης με ovpn client. Δεν ειναι μερος του awmn δλδ οπως το αλλο 951 που το ονομαζω 951-Awmn.
Mπορω και να το κοψω ετσι κι αλλιως απο ολο το awmn (10.0.0.0/8 εφοσον στην αρχη εχω δωσει προσβαση στα δικα μου subnets).
Επισης αν καποιος κανει κατι απο την ip βρισκεις απο την σελιδα του δικτυου σε ποιον ανηκει το subnet δεν ειναι internet το awmn, οποτε γενικα δεν κανουν κατι.
Και οπου βαζουμε απαγορευτικα ειναι για "προσωπικα" μηχανηματα πχ δικτυακους εκτυπωτες, καμερες κτλ.
Tις μερες που ηταν κλειστοι εκεινοι οι κανονες ειπαμε δεν εγινε τπτ, οταν εγινε αυτο ηταν ηδη ενεργοι αυτοι οι κανονες αρα δεν ειναι απο αυτους.
Τα drop port scanners θεωρω οτι παιζουν εγω δεν μπορω να κανω scan οπως ειπα και πριν δεν δειχνει τπτ.
Και εχω δει και καταχωρηση της ip που προσπαθει να το κανει.
nmap xxxxxxxx.sn.mynetname.net
Starting Nmap 7.50 ( https://nmap.org ) at 2017-07-11 21:28 EEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.30 seconds
και ποιο ζορικη η εντολη με πολυ περισσοτερο ψαξιμο
nmap -Pn xxxxxxxxxx.sn.mynetname.net
Starting Nmap 7.50 ( https://nmap.org ) at 2017-07-11 21:29 EEST
Nmap scan report for xxxxxxxxx.sn.mynetname.net (xxx.xxx.x.xxx)
Host is up.
rDNS record for xxx.xxx.x.146: xxx-xxx-x-146.mobile.nym.cosmote.net
All 1000 scanned ports on xxxxxxxx.sn.mynetname.net (xxx.xxx.x.146) are filtered
Nmap done: 1 IP address (1 host up) scanned in 201.62 seconds
και μια φωτο απο το σκαναρισμα που εκανα τωρα και ακυρο εφαγα και καταγραφη ip εγινε, σορρυ αλλα πρεπει να σβηνω τα ευαισθητα στοιχεια...
οποτε τουλαχιστον στα δικα μου δουλευουν κανονικα τα drop scanners αλλα και η καταγραφη των ip τους.
Κατα καιρους εχω δει και αλλα απο χωρες του εξωτερικου.
εκτος τα χτεσινα βρηκα και αυτο περισσοτερο με ενδιαφερει και η προστασια για το winbox http://linux-sys-adm.com/how-to-configure-farewall-on-mikrotik/
τωρα αυτη η λιστα (blacklist) μου φαινεται too much!
αυτο θα το βαλω, την 1723 γιατι ειναι η πορτα για τα pptp vpn!
Step 3 – Add the following rules for Brute-force attack in terminal for Winbox:
add action=drop chain=input comment=”Drop Winbox brute forcers” \
src-address-list=”Winbox Black List”
add action=add-src-to-address-list address-list=”Winbox Black List” \
address-list-timeout=4w2d chain=input connection-state=new dst-port=\
8291,1723 in-interface=ether1 protocol=tcp src-address-list=\
“Winbox Stage 3″
add action=add-src-to-address-list address-list=”Winbox Stage 3″ \
address-list-timeout=5m chain=input connection-state=new dst-port=\
8291,1723 in-interface=ether1 protocol=tcp src-address-list=\
“Winbox Stage 2″
add action=add-src-to-address-list address-list=”Winbox Stage 2″ \
address-list-timeout=5m chain=input connection-state=new dst-port=\
8291,1723 in-interface=ether1 protocol=tcp src-address-list=\
“Winbox Stage 1″
add action=add-src-to-address-list address-list=”Winbox Stage 1″ \
address-list-timeout=5m chain=input connection-state=new dst-port=\
8291,1723 in-interface=ether1 protocol=tcp
καλημερα! παω να περασω αυτο στο 951 κινητης και δεν....κατι λεει για λαθος συνταξης αλλα δεν βρισκω τι ειναι, εχει καμια ιδεα κανεις?
Step 3 – Add the following rules for Brute-force attack in terminal for Winbox:
add action=drop chain=input comment=”Drop Winbox brute forcers” \
src-address-list=”Winbox Black List”
add action=add-src-to-address-list address-list=”Winbox Black List” \
address-list-timeout=4w2d chain=input connection-state=new dst-port=\
8291,1723 in-interface=ether1 protocol=tcp src-address-list=\
“Winbox Stage 3″
add action=add-src-to-address-list address-list=”Winbox Stage 3″ \
address-list-timeout=5m chain=input connection-state=new dst-port=\
8291,1723 in-interface=ether1 protocol=tcp src-address-list=\
“Winbox Stage 2″
add action=add-src-to-address-list address-list=”Winbox Stage 2″ \
address-list-timeout=5m chain=input connection-state=new dst-port=\
8291,1723 in-interface=ether1 protocol=tcp src-address-list=\
“Winbox Stage 1″
add action=add-src-to-address-list address-list=”Winbox Stage 1″ \
address-list-timeout=5m chain=input connection-state=new dst-port=\
8291,1723 in-interface=ether1 protocol=tcp
BTW με τους κανονες που εβαλα για telnet λυθηκε το θεμα τωρα δεν πανε ρουπι τα δεδομενα μου, αλλα για να ειμαι σιγουρος εβαλα και για SSH, FTP κτλ.
Θελω και για winbox.
Αλλα δεν καταλαβαινω οταν στο ip-services σε καθε υπηρεσια απο αυτες εχω απαγορευσει απο το ιντερνετ και γινεται να συνδεδει καποιος μονο αν εχει awmn ip, και παλι μπορω να εχω κανονες να το βλεπουν μονο τα subnets μου και οχι ολο το awmn, αυτοι τι ακριβως κανουν? χτυπανε τις πορτες, απανταει το μηχανημα οτιδηποτε και εφοσον κανει κινηση μου ετρωγε δεδομενα?
Εγώ με το drop all others δεν μπορώ να δουλέψω το CAPSman. Πρέπει να κάνω accept κάτι πριν απο το drop;
Εγώ με το drop all others δεν μπορώ να δουλέψω το CAPSman. Πρέπει να κάνω accept κάτι πριν απο το drop;
καλημερα, ναι πρεπει να βρεις τι περναει και πως και να κανεις καποιον κανονα σχετικο ΠΡΙΝ απο αυτον με τον drop, σε μερικες περιπτωσεις δεν αρκει απλα το input -> accept μπορει να θελει και forward->accept.
Δεν δουλευω CAPSman και δεν ξερω πως παιζει αυτο.
Παντως σε VPN αν δεν εβαζα και forward-accept δεν εφτανα τα μηχανηματα στην αλλη ακρη που ηταν μετα το ρουτερ που ειχε το vpn client.
Βαλε καποιο log στον κανονα στο drop να δεις τι πακετα κοβει και τσεκαρε και απο ip-firewall-connections.
Εγώ με το drop all others δεν μπορώ να δουλέψω το CAPSman. Πρέπει να κάνω accept κάτι πριν απο το drop;
Στο CAPsMAN ή στα CAPs είναι το πρόβλημα με το firewall ή σε όλα?
Λοιπόν,
κατάφερα να μπλοκάρω τη λειτουργία του bittorrent, μtorrent χρησιμοποιώντας τις παρακάτω εντολές.
/ip firewall layer7-protocol
add comment="Block Torrents" name=block-torrents regexp="^(\\x13bitt\ orrent protocol|azver\\x01\$|get /scrape\\\?info_hash=get /announce\\\?inf\ o_hash=|get /client/bitcomet/|GET /data\\\?fid=)|d1:ad2:id20\\x08'7P\\)[\ RP]"
/ip firewall filter
add action=add-src-to-address-list address-list=Torrent-Conn \ address-list-timeout=2m chain=forward layer7-protocol=\ block-torrents src-address=192.168.10.0/24 src-address-list=\ !allow-bit
add action=add-src-to-address-list address-list=Torrent-Conn \ address-list-timeout=2m chain=forward p2p=all-p2p src-address=\ 192.168.10.0/24 src-address-list=!allow-bit
/ip firewall filter
add action=drop chain=forward dst-port=!0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=tcp \ src-address-list=Torrent-Conn
add action=drop chain=forward dst-port=!0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=udp \ src-address-list=Torrent-Conn
Στην ουσία μπλοκάρει την σύνδεση σε peers.
184744
Είναι σωστό έτσι όπως το έχω....?? Πρέπει να αλλάξω κάτι..??
Στο CAPsMAN ή στα CAPs είναι το πρόβλημα με το firewall ή σε όλα?
Στα CAPs δεν έχω firewall, έτσι και αλλιώς το SSID που εκπέμπουν είναι παραγώγο του CAPsMAN με όποιους όρους/περιορισμούς υπάρχουν στο δεύτερο.
Μόλις ενεργοποιήσω το drop all others τότε τα CAPs αποσυνδέονται απο το CAPsMAN.
Στα CAPs δεν έχω firewall, έτσι και αλλιώς το SSID που εκπέμπουν είναι παραγώγο του CAPsMAN με όποιους όρους/περιορισμούς υπάρχουν στο δεύτερο.
Μόλις ενεργοποιήσω το drop all others τότε τα CAPs αποσυνδέονται απο το CAPsMAN.
καλησπέρα, θεωρω οτι μπορεις να κανεις εναν κανονα accept πριν απο το drop all others με τα subnets που ανηκουν τα αλλα Rbs.
Κατι αναλογο εκανα εγω για τα VPN πριν λιγες μερες γιατι ο ιδιος κανονας μου τα εκοβε και τον ειχα κανει ΚΑΚΩΣ disable.
Μπορεις αν ξερεις και να δηλωσεις κατι ποιο συγκεκριμενο οπως αμα ξερεις την πορτα να αφησεις να περναει αυτη προς καποια ip κτλ.
Πρέπει να μπλοκάρει το input/output της πόρτας που δουλεύει ο CAPsMAN.
Στο wiki διάβασα οτι είναι οι 5246 & 5247 UDP. Πως τις "ανοίγω" για το ίδιο το router;
Πρέπει να μπλοκάρει το input/output της πόρτας που δουλεύει ο CAPsMAN.
Στο wiki διάβασα οτι είναι οι 5246 & 5247 UDP. Πως τις "ανοίγω" για το ίδιο το router;
θες να βγαινουν στο ιντερνετ? με ποιον τροπο παιζουν τα routers που εχουν Capsman ? ειναι στο ιδιο τοπικο δικτυο ή καπου αλλου και τα βλεπεις μεσω ιντερνετ?
ετσι κανεις nat port forwading απο winbox : http://www.icafemenu.com/how-to-port-forward-in-mikrotik-router.htm
και ετσι πχ απο κονσολα :
add action=dst-nat chain=dstnat comment="ipcamera" dst-port=3020 in-interface=pppoe-out1 protocol=tcp to-addresses=10.X.X.X.X to-ports=3020
εσυ θα βαλεις την πορτα που θες, το comment που θες φυσικα, το inteface που θελεις εμενα ειναι για να ανοιξει προς το ιντερνετ η πορτα, protocol βαζεις udp και address αν ειναι για τον εαυτο του την ip του router.
αυτο το κανουμε ομως αμα θελουμε να βγει η υπηρεσια προς το ιντερνετ.
Αν ειναι τοπικα και κοβει θες κανονες στο ip-firewall-filter και οχι ΝΑΤ.
Πχ εγω εχω επιτρεψει την πορτα του VPN για input connections και τα subnet που ερχονται απο εξωτερικα ασυρματα δικτυα απο αλλα rbs :
add action=accept chain=input comment=OpenVPN dst-port=1376 port="" protocol=tcp
add action=accept chain=forward comment="from openvpn" in-interface=all-ppp src-address=10.x.xxx.246/29
add action=accept chain=input comment="from openvpn" in-interface=all-ppp src-address=10.x.xxx.246/29
χωρις τους 3 παραπανω κανονες το drop all others μου κοβει το vpn.
Όχι δεν βγαίνουν στο Internet. Εντός του δικτύου είναι και πρέπει να ανοίξω την πόρτα ώστε να ακούει το router.
Όχι δεν βγαίνουν στο Internet. Εντός του δικτύου είναι και πρέπει να ανοίξω την πόρτα ώστε να ακούει το router.
καλησπέρα, δοκιμασε με τους κανονες που εδειξα πριν, οχι το ΝΑΤ δεν χρειαζεται τους αλλους στα filters.
Αφου ξερεις ποιες πορτες ειναι βαλε ξεχωριστους κανονες για καθε πορτα για να μην βαλεις το ευρος μεγαλο απο εως.
Έχω μια λίστα που ανανεώνεται με ελληνικές IP, όνομα GR. Θέλω ουσιαστικά οι ports του winbox να είναι ανοιχτές μόνο για τις IP που έχει αυτή η λίστα. Το έχω έτσι στο fw:
add action=accept chain=tcp comment="WINBOX ACCESS GR" dst-port=8291 \
protocol=tcp src-address-list=GR
add action=accept chain=tcp dst-port=8728 protocol=tcp src-address-list=GR
Όμως βάζοντας αμέσως μετά τον κανόνα:
add action=drop chain=input comment="Drop input everything else" \
in-interface=pppoe-out1
Δεν μπορώ να μπώ.
Ταυτόχρονα, αν αμέσως μετα βάλω και:
add action=drop chain=forward comment="Drop forward everything else"
Δεν υπάρχει συνδεσιμότητα Internet στο δίκτυο.
Κάτι κάνω λάθος. Επίσης έχω σκάσει απο τη ζέστη. :p
καλησπέρα, καταρχην να ρωτησω τι ειναι αυτη η λιστα που αναφερεις? δλδ δεν καταλαβαινω για ποιο λογο να ειναι ανοιχτο το winbox για αυτες τις ips.
Μπορει να μην θες να το αναφερεις οκ δεν πειραζει αν ειναι ετσι, κατανοητο.
Προσωπικα για λόγους μεγιστης ασφαλειας δεν βγαζω ΠΟΤΕ winbox στο ιντερνετ μπαινω μεσω openvpn μονο.
Σχετικα με τους κανονες για να περασεις τον απαγορευτικο γιατι το επαθα και εγω με VPN , η μονη λυση ειναι να αφησεις την πορτα ανοιχτη προς το ιντερνετ για ολους....
και μετα απο το ip-services winbox να δηλωσεις ποιες ips, ή ευρος τους θα εχει προσβαση.
Επισης μπορεις να κανεις κανονες για brute force ωστε να μπαναρει και να καταγραφει ips που προσπαθουν να κανουν επιθεσεις.
Σε λιγο θα σου δωσω παραδειγματα με αυτα που εχω κανει, για αλλες υπηρεσιες αλλα αλλαζεις μονο την πορτα και τα σχετικα.
Για την ζεστη βαζεις κλιματιστικο, αν δεν εχεις βαζεις νερο στην μπανιερα και μενεις μεσα, ή πας σε παραλια και πεφτεις στην θαλασσα....:lol::p
Είναι ελληνικά subnets. Έχει αναφερθεί απο άλλο μέλος (https://www.adslgr.com/forum/threads/821468-%CE%95%CE%B4%CF%8E-%CE%BC%CE%B9%CE%BB%CE%AC%CE%BC%CE%B5-%CE%B3%CE%B9%CE%B1-Mikrotik-RouterBoard?p=5428087#post5428087) και βόλεψε πολύ. Δεν ξαναέψαξε κανείς τίποτα έτσι.
Για κάποιο λόγο όμως δεν μου λειτουργεί σωστά με το drop input everything else.
Έχω μια λίστα που ανανεώνεται με ελληνικές IP, όνομα GR. Θέλω ουσιαστικά οι ports του winbox να είναι ανοιχτές μόνο για τις IP που έχει αυτή η λίστα. Το έχω έτσι στο fw:
add action=accept chain=tcp comment="WINBOX ACCESS GR" dst-port=8291 \
protocol=tcp src-address-list=GR
add action=accept chain=tcp dst-port=8728 protocol=tcp src-address-list=GR
Όμως βάζοντας αμέσως μετά τον κανόνα:
add action=drop chain=input comment="Drop input everything else" \
in-interface=pppoe-out1
Δεν μπορώ να μπώ.
Ταυτόχρονα, αν αμέσως μετα βάλω και:
add action=drop chain=forward comment="Drop forward everything else"
Δεν υπάρχει συνδεσιμότητα Internet στο δίκτυο.
Κάτι κάνω λάθος. Επίσης έχω σκάσει απο τη ζέστη. :p
Για δώσε όλες τις δηλώσεις σου στο fw.
Είναι ελληνικά subnets. Έχει αναφερθεί απο άλλο μέλος (https://www.adslgr.com/forum/threads/821468-%CE%95%CE%B4%CF%8E-%CE%BC%CE%B9%CE%BB%CE%AC%CE%BC%CE%B5-%CE%B3%CE%B9%CE%B1-Mikrotik-RouterBoard?p=5428087#post5428087) και βόλεψε πολύ. Δεν ξαναέψαξε κανείς τίποτα έτσι.
Για κάποιο λόγο όμως δεν μου λειτουργεί σωστά με το drop input everything else.
λογικο ειναι να μην λειτουργει με αυτον τον κανονα, οτι δεν εχει επιτρεπει συγκεκριμενα πριν απο αυτον τοτε κοβεται, αυτη ειναι η δουλεια του.
Τα ιδια προβληματα ειχα και εγω με οτι VPN και αν δοκιμασα. Δεν περνουσαν με τπτ.
Εκανα κανονες να επιτρεψουν συγκεκριμενα subnets και συγκεκριμενες πορτες για τα VPN αυτα.
Σχετικα με τα brute force εκανα αυτα και σωθηκα http://linux-sys-adm.com/how-to-configure-farewall-on-mikrotik/
αυτο με το winbox δεν μου παιζει, κατι βγαζει λαθος αλλα οπως ειπα δεν το βγαζω ετσι κι αλλιως στο ιντερνετ.
Για να επιτρεπω πχ το openvpn εχω αυτο πριν τον drop all others : add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp
και αυτα σχετικα με subnets κτλ στην αρχη
add action=accept chain=input dst-address=10.ΧΧ.ΧΧ.0/24 src-address=10.Χ.ΧΧΧ.0/27
add action=accept chain=forward dst-address=10.ΧΧ.ΧΧ.0/24 src-address=10.Χ.ΧΧ.0/27
add action=accept chain=forward comment="apodoxi openvpn server ips" dst-address=10.χχ.χχ.0/24 src-address=10.χχ.χχ.248/29
add action=accept chain=input comment="from openvpn" in-interface=all-ppp src-address=10.χχ.χχ.248/29
add action=accept chain=forward comment="from openvpn" in-interface=all-ppp src-address=10.χ.χχχ.248/29
επειδη οταν ερχονται οι συνδεσεις απο ιντερνετ και οχι απο τοπικα δικτυα ή ασυρματα οπως εμενα που ειναι μεσω του AWMN τοτε δεν γινεται να κανεις αυτο το παραπανω με τα subnets, οποτε κανεις τον bold κανονα για την 8291, κανεις τους κανονες για το brute force attack, βαζεις αλλο username και ΟΧΙ admin!!!! εγω το εχω σβησει δεν υπαρχει καν. Και πολυ δυνατο password!
επισης οπως ειπαμε στο ip services winbox δηλωνεις ευρος ip που θα εχουν προσβαση και οχι οπως ειναι γιατι εχουν προσβαση οι παντες, ουτε και 0.0.0.0/0 γιατι εχει προσβαση ολο το ιντερνετ (εφοσον δεν υπαρχει κανονες αλλοι στο ip-firewall-filter που να τους κοβουν φυσικα).
Τα παραπανω τα δειχνω για παραδειγμα, γιατι δεν εχω κατι σε winbox να δεις, απλα θα κανεις τους δικους σου οπως σου χρειαζονται.
Αν δεις προηγουμενα ποστς μου σε ενα 951 με ιντερνετ κινητης μου εσκισαν τα δεδομενα, χωρις να χρεωνομαι ομως, επειδη δεχτηκα επιθεσεις σε DNS και σε telnet!
δεν ειχα τοτε προστασια απο brute force! ειχα ομως ολα τα αλλα και δεν μπορεσαν φυσικα να συνδεθουν! και ουτε καν φυσικα ειχαν τετοια επιλογη.
Απλα το μηχανημα απαντουσε και καταναλωνε δεδομενα!
Έβαλα ένα απο δίκο σου post πλέον και δουλεύει το drop forward everything else. Μένει μόνο το accept απο την λίστα και μόνο.
/ip firewall filter
add action=accept chain=input comment=\
"Accept input established, related connections" connection-state=\
established,related
add action=drop chain=input comment="______Drop input invalid connections" \
connection-state=invalid
add action=accept chain=forward comment=\
"Allow forward forward established, related connections" \
connection-state=established,related
add action=drop chain=forward comment=\
"______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Add port scanners to list" \
in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/RST scan" \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" \
src-address-list="port scanners"
add action=accept chain=input comment="Allow OpenVPN" disabled=yes dst-port=\
1194 in-interface=all-ppp protocol=tcp
add action=accept chain=forward disabled=yes in-interface=all-ppp \
src-address=!192.168.5.0/24
add action=accept chain=input comment="Allow all input from LAN" \
in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" \
in-interface=!all-ppp
add action=accept chain=tcp comment="WINBOX ACCESS GR" dst-port=\
8291 in-interface=pppoe-out1 protocol=tcp src-address-list=GR
add action=accept chain=tcp disabled=yes dst-port=8728 protocol=tcp \
src-address-list=GR
add action=accept chain=input comment="CAPsMAN Ports" disabled=yes dst-port=\
5246 protocol=udp src-address-list=GR
add action=accept chain=input disabled=yes dst-port=5247 protocol=udp \
src-address-list=GR
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"
για πες τι εβαλες γιατι εχεις πολλα και θελει ψαξιμο η λιστα τωρα.
Έβαλα ένα απο δίκο σου post πλέον και δουλεύει το drop forward everything else. Μένει μόνο το accept απο την λίστα και μόνο.
/ip firewall filter
add action=accept chain=input comment=\
"Accept input established, related connections" connection-state=\
established,related
add action=drop chain=input comment="______Drop input invalid connections" \
connection-state=invalid
add action=accept chain=forward comment=\
"Allow forward forward established, related connections" \
connection-state=established,related
add action=drop chain=forward comment=\
"______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Add port scanners to list" \
in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/RST scan" \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" \
src-address-list="port scanners"
add action=accept chain=input comment="Allow OpenVPN" disabled=yes dst-port=\
1194 in-interface=all-ppp protocol=tcp
add action=accept chain=forward disabled=yes in-interface=all-ppp \
src-address=!192.168.5.0/24
add action=accept chain=input comment="Allow all input from LAN" \
in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" \
in-interface=!all-ppp
add action=accept chain=tcp comment="WINBOX ACCESS GR" dst-port=\
8291 in-interface=pppoe-out1 protocol=tcp src-address-list=GR
add action=accept chain=tcp disabled=yes dst-port=8728 protocol=tcp \
src-address-list=GR
add action=accept chain=input comment="CAPsMAN Ports" disabled=yes dst-port=\
5246 protocol=udp src-address-list=GR
add action=accept chain=input disabled=yes dst-port=5247 protocol=udp \
src-address-list=GR
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"
Τις 4 δηλώσεις που έχεις θα τις βάλεις έτσι στο σημείο που τα έχω όπως παρακάτω:
add action=accept chain=input comment="Allow OpenVPN" disabled=yes dst-port=\
1194 in-interface=all-ppp protocol=tcp
add action=accept chain=input comment="WINBOX ACCESS GR" dst-port=\
8291 in-interface=pppoe-out1 protocol=tcp src-address-list=GR
add action=accept chain=input disabled=yes dst-port=8728 protocol=tcp \
src-address-list=GR
add action=accept chain=forward disabled=yes in-interface=all-ppp \
src-address=!192.168.5.0/24
add action=accept chain=input comment="Allow all input from LAN" \
in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" \
in-interface=!all-ppp
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"
Τέλεια. Δουλεύει όπως πρέπει τώρα. Ευχαριστώ.
Τέλεια. Δουλεύει όπως πρέπει τώρα. Ευχαριστώ.
Γι αυτό είμαστε εδώ...
Έχω μια λίστα που ανανεώνεται με ελληνικές IP, όνομα GR. Θέλω ουσιαστικά οι ports του winbox να είναι ανοιχτές μόνο για τις IP που έχει αυτή η λίστα. Το έχω έτσι στο fw:
add action=accept chain=tcp comment="WINBOX ACCESS GR" dst-port=8291 \
protocol=tcp src-address-list=GR
add action=accept chain=tcp dst-port=8728 protocol=tcp src-address-list=GR
Όμως βάζοντας αμέσως μετά τον κανόνα:
add action=drop chain=input comment="Drop input everything else" \
in-interface=pppoe-out1
Δεν μπορώ να μπώ.
γιατί έχεις ξεχωριστό chain tcp
Δεν το είχα προσέξει.
Συνέχεια αφήνω ανοιχτά τα services μόνο στο εσωτερικό δίκτυο, όμως με μολυσμένους υπολογιστές υπάρχουν κάποια θέματα όπως αυτό σήμερα:
184914
Φυσικά δεν μπήκε κάπου. Πως γίνεται να μπαίνει σε blacklist για κάποιες ώρες/μέρες σε τέτοια περίπτωση;
Τις κάνεις capture με κάποιο mangle;
Ή δεν τις πιάνεις καθόλου και το βλέπεις μόνο στα logs.
@ ADSLgr.com All rights reserved.