PDA

Επιστροφή στο Forum : Mikrotik IPv4/IPv6 firewall



Σελίδες : 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 [28] 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43

jkarabas
05-03-19, 21:39
Μπορείς να μας δώσεις εδώ το firewall σου? Σωστά το έχεις.


add action=accept chain=input comment="Allow Winbox" dst-port=8291 protocol=tcp

kostasandr
05-03-19, 21:58
Δεν το εχω βαλει ακομα αυτον τον κανονα. Τον διαβασα και απλα πριν τον περασω συζηταω για να μην τα κανω χειροτερα.


Τον προσθεσα τον κανονα. Τωρα εχω προσβαση κανονικα. Τον εβαλα πρωτο στη λιστα. Σωστα επραξα η οχι

jkarabas
05-03-19, 22:18
Έτσι όπως το έθιξες νόμιζα ότι ήδη τον είχες και δεν σου δούλευε. Τεσπα.
Αλήθεια πως τον πρόσθεσες το κανόνα από τη στιγμή που δεν είχες πρόσβαση από το σπίτι σου?
Το ξαναλέω ανέβασε τα filter rules εδώ μέσα για να δούμε τη σειρά.

kostasandr
05-03-19, 22:28
Μπηκα με AnyDesk και τον προσεθεσα.

/ip firewall filter
add action=accept chain=input comment="Allow Winbox" dst-port=8291 protocol=\
tcp
add action=accept chain=input comment=\
"Accept input established, related connections" connection-state=\
established,related
add action=drop chain=input comment="______Drop input invalid connections" \
connection-state=invalid
add action=accept chain=forward comment=\
"Allow forward forward established, related connections" \
connection-state=established,related
add action=drop chain=forward comment=\
"______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Add port scanners to list" \
in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/RST scan" \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" \
src-address-list="port scanners"
add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 \
in-interface=all-ppp protocol=tcp
add action=accept chain=forward in-interface=all-ppp src-address=\
!192.168.1.0/24
add action=accept chain=input comment="Allow all input from LAN" \
in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" \
in-interface=!all-ppp
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"

deniSun
05-03-19, 22:36
Δες αυτό για το openvpn.
Αλλάζεις την πόρτα για το winbox και την ΙΡ στο src-address για το εσωτερικό σου.

...
add action=drop chain=input comment="______Drop port scanners from list" \
src-address-list="port scanners"

add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 \
in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward in-interface=pppoe-out1 src-address=\
192.168.5.0/24

...

jkarabas
05-03-19, 22:39
Μπηκα με AnyDesk και τον προσεθεσα.

/ip firewall filter
add action=accept chain=input comment="Allow Winbox" dst-port=8291 protocol=\
tcp
add action=accept chain=input comment=\
"Accept input established, related connections" connection-state=\
established,related
add action=drop chain=input comment="______Drop input invalid connections" \
connection-state=invalid
add action=accept chain=forward comment=\
"Allow forward forward established, related connections" \
connection-state=established,related
add action=drop chain=forward comment=\
"______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Add port scanners to list" \
in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/RST scan" \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" \
src-address-list="port scanners"
add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 \
in-interface=all-ppp protocol=tcp
add action=accept chain=forward in-interface=all-ppp src-address=\
!192.168.1.0/24
add action=accept chain=input comment="Allow all input from LAN" \
in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" \
in-interface=!all-ppp
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"
Βάλτον μετά τον κανόνα “allow open vpn”

kostasandr
05-03-19, 22:41
Δεν εχω στησει VPN και δεν νομιζω να μου χρειαζεται. Με τον πρωτο κανονα επαιξε. Τι διαφορα θα εχει με αυτο που προτεινεις;

Τον εβαλα μετα το allow open vpn.

deniSun
05-03-19, 22:46
Δεν εχω στησει VPN και δεν νομιζω να μου χρειαζεται. Με τον πρωτο κανονα επαιξε. Τι διαφορα θα εχει με αυτο που προτεινεις;

Τον εβαλα μετα το allow open vpn.

Αν δεν έχεις vpn γιατί ανοίγεις την αντίστοιχη πόρτα;

kostasandr
05-03-19, 22:53
Ελα ντε, καλη ερωτηση τωρα που το συζηταμε. Οπως ηταν το config σου το περασα. Χωρις και πολυ μελετη.
Τωρα που προεκυψε το προβλημα το συζηταμε.
Το σβηνω και παμε παρακατω

Και ο αλλος κανονας κατω απο το allow openvpn, αφορα vpn;
"add action=accept chain=forward in-interface=all-ppp src-address=\
!192.168.1.0/24"

deniSun
05-03-19, 22:59
Ελα ντε, καλη ερωτηση τωρα που το συζηταμε. Οπως ηταν το config σου το περασα. Χωρις και πολυ μελετη.
Τωρα που προεκυψε το προβλημα το συζηταμε.
Το σβηνω και παμε παρακατω

Και ο αλλος κανονας κατω απο το allow openvpn, αφορα vpn;
"add action=accept chain=forward in-interface=all-ppp src-address=\
!192.168.1.0/24"

Όχι.
Αφορά ότι κάνεις accept από το Input.
Για να περάσουν παρά κάτω θα πρέπει να το κάνεις accept και στο forward.
Αρκεί μόνο μια τέτοια δήλωση για όλες τις δηλώσεις των input από πάνω.

kostasandr
05-03-19, 23:02
Επειδη με μπερδεψες λιγο τωρα. Και δεν ειμαι σε τελεια φαση σημερα.
Διαγραφοντας τον τον "allow open vpn", και προσθετοντας τον "allow winbox",
χρειαζεται να κανω καμμια αλλη μεταβολη.

deniSun
05-03-19, 23:09
Επειδη με μπερδεψες λιγο τωρα. Και δεν ειμαι σε τελεια φαση σημερα.
Διαγραφοντας τον τον "allow open vpn", και προσθετοντας τον "allow winbox",
χρειαζεται να κανω καμμια αλλη μεταβολη.

Στο configuration που έχεις... όχι.
Αλλά έχω κάνει κάποιες αλλαγές και το έχω κάνει περισσότερο "σφικτό".
Αν θυμάμαι καλά... το έχω ποστάρει.

kostasandr
05-03-19, 23:12
Δεν νομιζω να το εχεις ποσταρει. Προ καιρου που εψαξα ολες τις σελιδες απο τελος προς αρχη και βρηκα αυτο που ποσταρα παραπανω.
Δεν βαζω και το χερι στη φωτια βεβαια.

deniSun
05-03-19, 23:17
1. Δεν πετάμε τους κανόνες όπου να είναι.
Έχει σημασία η σειρά.
2. Δεν βάζουμε all-ppp αλλά δηλώνουμε επακριβώς το interface πχ pppoe-out1.

/ip firewall filter
add action=accept chain=input comment=\
"Accept input established, related connections" connection-state=\
established,related
add action=drop chain=input comment="______Drop input invalid connections" \
connection-state=invalid
add action=accept chain=forward comment=\
"Allow forward established, related connections" connection-state=\
established,related
add action=drop chain=forward comment=\
"______Drop forward invalid connections" connection-state=invalid
add action=jump chain=input comment="Check ICMP input" in-interface=\
pppoe-out1 jump-target=icmp limit=5/5s,5:packet protocol=icmp
add action=accept chain=icmp comment="______Allow echo reply (no code)" \
icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment=\
"______Allow destination (net) unreachable" icmp-options=3:0 protocol=\
icmp
add action=accept chain=icmp comment=\
"______Allow destination (host) unreachable" icmp-options=3:1 protocol=\
icmp
add action=accept chain=icmp comment=\
"______Allow destination (fragmentation required) unreachable " \
icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="______Allow source quench (no code)" \
icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="______Allow echo request" icmp-options=\
8:0-255 protocol=icmp
add action=accept chain=icmp comment="______Allow time (limit) exceed" \
icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="______Allow parameter (header) problem" \
icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="______Drop all other ICMP types"
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Add port scanners to list" \
in-interface=pppoe-out1 protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/RST scan" \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" \
src-address-list="port scanners"
add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 \
in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward in-interface=pppoe-out1 src-address=\
192.168.5.0/24
add action=accept chain=input comment="Allow all input from LAN" \
in-interface=!pppoe-out1
add action=accept chain=forward comment="Allow all forward from LAN" \
in-interface=!pppoe-out1
add action=accept chain=forward dst-address=192.168.1.0/24 src-address=\
192.168.5.0/24
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"

kostasandr
05-03-19, 23:23
Στην δουλεια εχω 3 WAN. Να εχω 3 κανονες ξεχωριστους;

Βεβαια διαβαζοντας το τωρα. Εχει αρκετους κανονες που ειναι μονο για το configuration σου.

Δεν ειναι "generic".
Για παραδειγμα: allow open vpn, add action=accept chain=forward dst-address=192.168.1.0/24 src-address=\
192.168.5.0/24.

Και ο chech icmp input εχει ενα λαθακι...

deniSun
05-03-19, 23:25
Στην δουλεια εχω 3 WAN. Να εχω 3 κανονες ξεχωριστους;

Προσωπική άποψη... ναι.

kostasandr
05-03-19, 23:33
Βεβαια διαβαζοντας το τωρα. Εχει αρκετους κανονες που ειναι μονο για το configuration σου.

Δεν ειναι "generic".
Για παραδειγμα: allow open vpn, add action=accept chain=forward dst-address=192.168.1.0/24 src-address=\
192.168.5.0/24.

Και ο chech icmp input εχει ενα λαθακι...

deniSun
05-03-19, 23:37
Βεβαια διαβαζοντας το τωρα. Εχει αρκετους κανονες που ειναι μονο για το configuration σου.

Δεν ειναι "generic".
Για παραδειγμα: allow open vpn, add action=accept chain=forward dst-address=192.168.1.0/24 src-address=\
192.168.5.0/24.

Και ο chech icmp input εχει ενα λαθακι...

1. To allow open vpn το έχω για το δικό μου configuration και για όσους θέλουν να ανοίξουν πόρτα.
Αν δεν το θέλεις το διαγράφεις.
Ως παράδειγμα δες το.
2. Το icmp δεν έχει λάθος.
Ο editor του φόρουμ αντικατέστησε τους χαρακτήρες με emoji.

kostasandr
05-03-19, 23:48
Αυριο στο χωρο εργασιας θα κανω τις υπολοιπες παραμετροποιησεις. Και οτιδηποτε αν υπαρξει τα ξαναλεμε.
Σας ευχαριστω.
Καλο βραδυ

puntomania
06-03-19, 00:06
πχ ...έχουμε ένα μικροτικ chr σε datacenter με statc ip που τρέχει ovpn server πχ στη θύρα 15000 tcp


και θέλουμε να συνδέονται μόνο οι clients.... για μεταξύ τους επικοινωνία πχ κινητό... σπιτι... δουλειά...


τι κανόνα θέλουμε στο firewall ώστε να τα κόβει όλα εκτός την πιο πάνω πόρτα και μια ακόμα για το winbox ( πχ την 15001 )



πχ αυτά φτάνουν?

/ip firewall filter
add action=accept chain=input dst-port=15000 protocol=tcp
add action=accept chain=input dst-port=15001 protocol=tcp
add action=drop chain=input
add action=drop chain=forward

apostmax
06-03-19, 01:12
add action=drop chain=forward

με αυτό θα σου κάνει drop όλα τα πακέτα που πρέπει να γίνουν forward, κοινώς δεν θα κάνει routing

puntomania
06-03-19, 01:32
με αυτό θα σου κάνει drop όλα τα πακέτα που πρέπει να γίνουν forward, κοινώς δεν θα κάνει routing

βασικά με ενδιαφέρει οτι έρχεται απ τον έξω κόσμο

apostmax
06-03-19, 01:47
Ως γενική αρχή πρώτα κάνουμε accept ό,τι μας ενδιαφέρει και μετά κόβουμε τα υπόλοιπα ("catch-all" rules).

Αν θεωρήσουμε ότι θα επικοινωνείς με το ρουτερ μόνο εφόσον έχει εγκατασταθεί σύνδεση vpn, τότε:


add action=accept chain=input dst-port=vpn_port_here protocol=tcp
add action=drop chain=input in-interface-list=WAN_list

add action=accept chain=forward connection-state=established,related,untracked
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-state=new connection-nat-state=!dstnat in-interface-list=WAN_list

Στο παραπάνω θεωρείται δεδομένο ότι υπάρχει λίστα με τα wan interfaces σου με όνομα WAN_list

Στην πραγματικότητα το παραπάνω είναι μια μικρή παραλλαγή του default config.

xhaos
06-03-19, 06:07
1. το εχω ηδη ετσι
2. για αυτο θελω την βοηθεια. το winbox ειναι στην 8291. σε ποιο σημειο να μπει ο κανονας. στην αρχη, στην μεση, που; και η συνταξη του;
"/ip firewall filter add action=accept chain=input disabled=no dst-port=8291 protocol=tcp". Ειδα αυτον καπου, ειναι σωστος;
υπαρχει τροπος να δηλωσω και την mac διευθυνση μου για να απανταει μονο σε αυτη το winbox?

Επειδή δε φαίνεται να το πολύ έχεις, και επειδή πρόκειται για δουλειά, μήπως να μην άνοιγες ports στο internet μέχρι να καταλάβεις τι και πώς?

macro
06-03-19, 10:31
Δε χρειαζεται να εχεις τριπλους κανονες επειδη εχεις τρια wan. Μπορεις να το φτιαξεις να παιζει με εναν κανονα για ολα τα wan.

puntomania
09-03-19, 18:37
..παιδιά τα φώτα σας... έχω κολλήσει...


έχουμε 3 μικροτικ

1ο
είναι σε datacenter CHR έκδοση που λειτουργεί ως ovpn server ip 10.0.1.254/24

2o
ειναι το 3011 που έχω σπίτι με ovpn client προς τον server ip 10.0.1.1/24

3o
ειναι το 951 που το έχω στο αμάξι ovpn client προς τον server ip 10.0.1.3/24

το κομμάτι vpn λειτουργεί κανονικά



στο 1ο στο firewall έχω 5 κανόνες

/ip firewall filter
add action=accept chain=input comment=Vpn dst-port=1ΧΧΧΧ protocol=tcp
add action=accept chain=input comment="From Home" src-address=10.0.1.1
add action=accept chain=input comment="Webfig from public" dst-port=16600 protocol=tcp
add action=accept chain=input comment="Winbox from public" dst-port=16500 protocol=tcp
add action=drop chain=input log=yes
/ip firewall nat
add action=masquerade chain=srcnat
/ip firewall service-port
set sip sip-direct-media=no
-------------------------------------------------------
στο 3ο στο firewall έχω αυτά

/ip firewall nat
add action=masquerade chain=srcnat
/ip firewall service-port
set sip sip-direct-media=no
------------------------------------------------------
στο 2ο έχω αυτά

# model = RouterBOARD 3011UiAS

/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=drop chain=forward dst-address=192.168.0.0/24 src-address=10.50.0.2-10.50.0.99
add action=drop chain=forward dst-address=192.168.0.0/24 src-address=10.50.0.111-10.50.1.254
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1

/ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface=ether1
add action=masquerade chain=srcnat ipsec-policy=out,none src-address=192.168.0.0/24
add action=masquerade chain=srcnat src-address=10.50.0.0/23

/ip firewall service-port
set sip ports=5060,5070,6050 sip-direct-media=no

----------------------------------------------------------------------------------------------------




Το πρόβλημα μου ειναι στο voip

στο 2ο μικροτικ στο σπίτι έχω το pbx με ip 192.168.10.101 wan που παίρνει ίντερνετ και την 192.168.0.10 lan

μέσω του 3ου μικροτικ οταν θέλω να συνδέσω το ζοιπερ του κινητού γίνετε μόνο με την 192.168.10.101 κάνει register ακούω τον άλλο αλλα δεν με ακούει, κάτι δηλαδή κόβει τον ήχο στη διαδρομή που κάνει. σε τοπικό επίπεδο στο σπίτι μεσω των wifi AP's που έχω δουλεύει κανονικά, στο 3ο μικροτικ που ειναι στο αυτοκίνητο δεν έχω κανόνες για να το κόβει κάτι... άρα το θέμα ειναι στο 1ο που είναι ο κόμβος που τα συνδέει όλα μεταξύ του.

για ρίξτε καμιά ιδέα.


και από το κινητό μέσω ovpn όταν συνδέομε στο 1ο... πάλι τι ίδιο αποτέλεσμα έχω.


routes έχω βάλει σε όλα

apostmax
10-03-19, 00:03
τα routes σου είναι σωστά; μπορείς να κάνεις ping μεταξύ των επιμέρους δικτύων;
επίσης κάτι με τα masquerade rules σου δε μου φαίνεται και πολύ σωστό, γενικά φαίνεται ότι έχεις αφήσει rules τα οποία δε χρειάζονται/χρησιμοποιούνται (π.χ. το μπλοκ 10.50.0.0/23 που κολλάει; ), γιατί δε δοκιμάζεις να τα καθαρίσεις λίγο;
κανονικά ό,τι βγαίνει μέσω vpn tunnel θέλει masquerade εκτός κι αν ρυθμίσεις static routes σε κάθε router.

επίσης στο ip->settings->rp filter έλεγξε ότι έχεις loose, αν είναι strict δε θα παίξει

puntomania
10-03-19, 00:38
τα routes σου είναι σωστά; μπορείς να κάνεις ping μεταξύ των επιμέρους δικτύων;
επίσης κάτι με τα masquerade rules σου δε μου φαίνεται και πολύ σωστό, γενικά φαίνεται ότι έχεις αφήσει rules τα οποία δε χρειάζονται/χρησιμοποιούνται (π.χ. το μπλοκ 10.50.0.0/23 που κολλάει; ), γιατί δε δοκιμάζεις να τα καθαρίσεις λίγο;
κανονικά ό,τι βγαίνει μέσω vpn tunnel θέλει masquerade εκτός κι αν ρυθμίσεις static routes σε κάθε router.

επίσης στο ip->settings->rp filter έλεγξε ότι έχεις loose, αν είναι strict δε θα παίξει

(π.χ. το μπλοκ 10.50.0.0/23 που κολλάει; )

αυτό το έχω για hotspot ώστε άσχετες συσκευες να μην έχουν πρόσβαση στο 192.168.0.0...


το πρόβλημα είναι στο ότι εκτός LAN (192.168.0.0/24 % 10.50.0.0/23) μέσω του vpn δηλαδή συνδέετε μόνο στην wan του κέντρου 192.168.10.0/24.

η σκάλωμα στο μικροτικ ειναι η στο κέντρο.

- - - Updated - - -


επίσης στο ip->settings->rp filter έλεγξε ότι έχεις loose, αν είναι strict δε θα παίξει

αυτό το ηταν στο no... το άλλαξα... και έστω με την wan ip του κέντρου... φαίνεται οτι παίζει...

apostmax
10-03-19, 15:55
γράψε μας λίγο τα routes που έχεις σε κάθε router για να δούμε τι παίζει..

puntomania
10-03-19, 22:14
έχω στο 1ο CHR (vpn server) 10.0.1.254/24

Dst. Address 192.168.0.0/24 gateway 10.0.1.1

Dst. Address 192.168.10.0/24 gateway 10.0.1.1



και στο 3ο 951 client στο αμάξι) 10.0.1.2/24

Dst. Address 192.168.0.0/24 gateway 10.0.1.254

Dst. Address 192.168.10.0/24 gateway 10.0.1.254



το πρόβλημα φαίνεται να ήταν στο freepbx με τα 2 ethernet που έχει

έκανα default αυτό με την 192.168.0.10

και στο 2ο που έχει με την 192.168.10.101 έκανα statric route να βγαίνουν μόνο τα trunk προς ote-yuboto-modulus.


σήμερα που ήμουν εκτός σπιτιού... όλα δούλευαν όπως πρέπει

το μόνο που παρατήρησα στο αμαξι ότι κάποιες έχανα το wifi απ το 951... πρέπει να στίσω έναν log server να δω τι θα μαζεύει.. ώστε να βρώ τι θέμα έχει το 951.

Nikiforos
30-03-19, 19:52
καλησπέρα, μιας και ειναι σχετικο το λεω εδω περα.
Ανακαλυψα μια σελιδα μεσα απο το site εργαλειων της inalan http://lg.inalan.gr/ που μπορουμε να δηλωσουμε ips για κακοβουλες πραξεις και περνανε σε βαση δεδομενων.
Ετσι οτι καταγραφεται στο firewall μας μπορουμε να τσεκαρουμε να δουμε τι παιζει.
Το site ειναι αυτο https://www.abuseipdb.com/
Εμενα πχ τωρα ειχε στο 109 μια ip δειτε εδω τι λεει : https://www.abuseipdb.com/check/104.152.52.26
απο εδω και περα οσους βλεπω θα μπαινουν στην λιστα μετα απο ελεγχο παντα πρωτα.
Επισης σε μερικους που εχω τσεκαρει με την nmap απο linux console εχω δει ανοιχτες πορτες σε μερικες παραλιγο να μπω κιολας αν ηξερα κωδικους ή ισως αν ασχολιομουνα με brute force και τα σχετικα.
Μας κανουν port scanning και ειναι και ξεβρακωτοι...

xhaos
31-03-19, 14:08
καλησπέρα, μιας και ειναι σχετικο το λεω εδω περα.
Ανακαλυψα μια σελιδα μεσα απο το site εργαλειων της inalan http://lg.inalan.gr/ που μπορουμε να δηλωσουμε ips για κακοβουλες πραξεις και περνανε σε βαση δεδομενων.
Ετσι οτι καταγραφεται στο firewall μας μπορουμε να τσεκαρουμε να δουμε τι παιζει.
Το site ειναι αυτο https://www.abuseipdb.com/
Εμενα πχ τωρα ειχε στο 109 μια ip δειτε εδω τι λεει : https://www.abuseipdb.com/check/104.152.52.26
απο εδω και περα οσους βλεπω θα μπαινουν στην λιστα μετα απο ελεγχο παντα πρωτα.
Επισης σε μερικους που εχω τσεκαρει με την nmap απο linux console εχω δει ανοιχτες πορτες σε μερικες παραλιγο να μπω κιολας αν ηξερα κωδικους ή ισως αν ασχολιομουνα με brute force και τα σχετικα.
Μας κανουν port scanning και ειναι και ξεβρακωτοι...

το ένα σενάριό είναι οτι ειναι κάποιος πιτσιρικάς και μαθαίνει, ξέρεις να έχει βρει κάποιο script και να μην ξέρει τι και πως. το πιθανότερο σενάριο είναι να βλέπεις κάποιο zombie / proxy.

Nikiforos
31-03-19, 21:03
το ένα σενάριό είναι οτι ειναι κάποιος πιτσιρικάς και μαθαίνει, ξέρεις να έχει βρει κάποιο script και να μην ξέρει τι και πως. το πιθανότερο σενάριο είναι να βλέπεις κάποιο zombie / proxy.

Κάποιες πάντως ήταν από εταιρείες. Anyway δεν είναι επί του θέματος να αναλύσω τι είναι η κάθε μία. Ότι τυγχάνει θα μπαίνει εκεί. Εχει τύχει πάντως να βρω και πόρτες ανοιχτες που έχουν να κάνουν με Web proxy. Όσο για τα zombies να παίξουν κανα resident evil... :p

- - - Updated - - -

καλησπερα, παλι νατα μας... παραθετω ετσι για να δειτε τι ελεγα πριν.



nmap 35.157.168.16
Starting Nmap 7.70 ( https://nmap.org ) at 2019-03-31 21:00 EEST
Nmap scan report for ec2-35-157-168-16.eu-central-1.compute.amazonaws.com (35.157.168.16)
Host is up (0.046s latency).
Not shown: 997 filtered ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
443/tcp open https

Nmap done: 1 IP address (1 host up) scanned in 4.50 seconds

teodor_ch
04-04-19, 23:57
Όχι κάτι πολύ καινούργιο αλλά μου ήρθε σαν ιδέα και το μοιράζομαι.

Ξέρουμε το port knock και ξέρουμε και το "fail-to-ban" τί είναι/κάνουν.

Για ΠΟΛΥ πιο εύκολα σκέφτηκα τις πρώτες x φορές που προσπαθούμε να ανοίξουμε μία πόρτα απο έξω να μπαίνουμε σε address list και μετά να γίνεται accept.
Οπότε για παράδειγμα στο winbox απλά θα πρέπει να πατήσουμε χ φορές το πλήκτρο connect μέχρι να μπούμε.

Και αν θέλουμε να το συνεχίσουμε, να μένει σε accept για 3-4 new connections και μετά "μόνιμο" drop.

Πολύ γρήγορο παράδειγμα.

add action=add-src-to-address-list address-list=winbox-try-1 address-list-timeout=1m chain=input connection-state=new
add action=add-src-to-address-list address-list=winbox-try-2 from-address-list=winbox-try-1 address-list-timeout=1m chain=input connection-state=new
............
add action=accept from-address-list=winbox-try-10 chain=input comment="WinBox accept after 10 tries" connection-state=new

macro
05-04-19, 10:16
Η μπορεις ακομη και να μπαναρεις μετα το τριτο λαθος ας πουμε. Λιγο υπερβολικα βεβαια μου φαινονται ολα αυτα, αλλα............ κουβεντα να κανουμε.

teodor_ch
05-04-19, 12:12
Είναι ένας πανεύκολος τρόπος να ανοίξεις μία πόρτα προς τα έξω με αρκετή ασφάλεια.
Άντε ο άλλος να βρεί ποιά πόρτα είναι και να την χτυπήσει χ φορές που θα ορίσεις για να ανοίξει.

Για όποιον δε μπορεί να έχει VPN και βαριέται να θυμάται 2η/3η πόρτα για Port knock είναι ένα απλούστατο κόλπο.

lsavvaid
25-07-19, 14:03
Μπορεί κάποιος να ποσταρει το τελευταίο FW έστω το γενικό στήσιμο.

Χρησιμοποιούμε all ppp αντί pppoe1-out
στη γενική υλοποίηση ή έχει αλλάξει κάτι.


Ευχαριστώ!

deniSun
25-07-19, 22:50
ipv4

/ip firewall filter
add action=accept chain=input comment=\
"Accept input established, related connections" connection-state=\
established,related
add action=drop chain=input comment="______Drop input invalid connections" \
connection-state=invalid
add action=accept chain=forward comment=\
"Allow forward established, related connections" connection-state=\
established,related
add action=drop chain=forward comment=\
"______Drop forward invalid connections" connection-state=invalid
add action=jump chain=input comment="Check ICMP input" in-interface=\
pppoe-out1 jump-target=icmp limit=5/5s,5:packet protocol=icmp
add action=accept chain=icmp comment="______Allow echo reply (no code)" \
icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment=\
"______Allow destination (net) unreachable" icmp-options=3:0 protocol=\
icmp
add action=accept chain=icmp comment=\
"______Allow destination (host) unreachable" icmp-options=3:1 protocol=\
icmp
add action=accept chain=icmp comment=\
"______Allow destination (fragmentation required) unreachable " \
icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="______Allow source quench (no code)" \
icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="______Allow echo request" icmp-options=\
8:0-255 protocol=icmp
add action=accept chain=icmp comment="______Allow time (limit) exceed" \
icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="______Allow parameter (header) problem" \
icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="______Drop all other ICMP types"
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Add port scanners to list" \
in-interface=pppoe-out1 protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/RST scan" \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" \
src-address-list="port scanners"
add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 \
in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward in-interface=pppoe-out1 src-address=\
192.168.5.0/24
add action=accept chain=input comment="Allow all input from LAN" \
in-interface=!pppoe-out1
add action=accept chain=forward comment="Allow all forward from LAN" \
in-interface=!pppoe-out1
add action=accept chain=forward dst-address=10.0.0.0/24 src-address=\
192.168.5.0/24
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"

ipv6

/ipv6 firewall filter
add action=accept chain=input comment=\
"Accept input established, related connections" connection-state=\
established,related
add action=drop chain=input comment="______Drop input invalid connections" \
connection-state=invalid
add action=accept chain=forward comment=\
"Allow forward established, related connections" connection-state=\
established,related
add action=drop chain=forward comment=\
"______Drop forward invalid connections" connection-state=invalid
add action=accept chain=input comment="Allow input DHCPv6 client" dst-port=\
546 in-interface=pppoe-out1 protocol=udp
add action=jump chain=input comment="Check ICMPv6 input" in-interface=\
pppoe-out1 jump-target=icmpv6 limit=5/5s,5:packet protocol=icmpv6
add action=jump chain=forward comment="Check ICMPv6 forward" in-interface=\
pppoe-out1 jump-target=icmpv6 limit=5/5s,5:packet protocol=icmpv6
add action=accept chain=icmpv6 comment="______Allow destination unreachable" \
icmp-options=1:0-255 protocol=icmpv6
add action=accept chain=icmpv6 comment="______Allow packet too big" \
icmp-options=2:0-255 protocol=icmpv6
add action=accept chain=icmpv6 comment="______Allow time (limit) exceed" \
icmp-options=3:0 protocol=icmpv6
add action=accept chain=icmpv6 comment=\
"______Allow parameter (header) problem" icmp-options=4:0 protocol=icmpv6
add action=accept chain=icmpv6 comment="______Allow echo request" \
icmp-options=128:0-255 protocol=icmpv6
add action=accept chain=icmpv6 comment="______Allow echo reply" icmp-options=\
129:0-255 protocol=icmpv6
add action=accept chain=icmpv6 comment="______Allow router advertisement" \
icmp-options=134:0-255 protocol=icmpv6
add action=accept chain=icmpv6 comment="______Allow router Solicitation" \
icmp-options=135:0-255 protocol=icmpv6
add action=drop chain=icmpv6 comment="______Drop all other ICMPv6 types"
add action=accept chain=input comment="Allow all input from LAN" \
in-interface=!pppoe-out1
add action=accept chain=forward comment="Allow all forward from LAN" \
in-interface=!pppoe-out1
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"

Τα περί ν6 μπορείς να τα παραλείψεις.
Τα 10.Χ είναι για το bridge modem ώστε να έχεις πρόσβαση, εσωτερικά, όταν δεν έχεις σύνδεση internet.

lsavvaid
26-07-19, 08:58
Ευχαριστώ!


Βλέπω το all ppp το έχεις αλλάξει πάλι σε pppoe-out

Δεν υπάρχει θέμα πλέον αν πέσει η σύνδεση και που ήταν ο λόγος που το έκανες all ppp;

Η εκείνο το bug που ανέφερες κάποια στιγμή με το open vpn και το all ppp είναι ο λόγος.

Το στήνω από την αρχή πάλι και θέλω να δω πως είναι καλύτερα.

Draytek σε bridge, milrotik για διαχείριση και speedport πάνω στο mikrotik για τηλεφωνία .

Δεν τρέχω υπηρεσίες καθόλου.

macro
26-07-19, 09:10
Δε θα εβαζα με τπτ αυτο το firewall που εχει το drop>forward τελευταιο.

teodor_ch
26-07-19, 09:26
Δε θα εβαζα με τπτ αυτο το firewall που εχει το drop>forward τελευταιο.

αφού μιλάμε για drop ALL OTHER TRAFFIC δε γίνεται να υπάρχει άλλος κανόνας πριν απο αυτόν στο ίδιο chain!!!
είναι ο κανόνας που θα πιάσει ότι περάσει απο τους υπόλοιπους!!!

macro
26-07-19, 17:23
Το κανoνα το καταριπτει το allow all from lan> forward απο πανω....... δοκιμασε το και θα δεις.

deniSun
26-07-19, 19:11
Δεν με ενδιαφέρει να κόψω το οτιδήποτε που προέρχεται από το lan.
Το σκεπτικό είναι να προστατέψω το lan από τους έξω.
Όχι το αντίθετο.

macro
27-07-19, 10:35
Τοτε μπορεις να σβησεις το τελευταιο κανονα μιας και δε σου λειτουργει και δε πιανει ποτε τπτ γιατι γινοντε allowed απο το πανω κανονα οπως ειπα και αν κολλησεις κανα ransomware που γινεται spread μεσω δικτυου.............. περαστικα.

Ασε που στον ιδιο κανονα δεν εχεις τσεκαρει το PF και πρεπει να τα κανει ολα PF και στο νατ και στο filter.

teodor_ch
27-07-19, 11:39
Τοτε μπορεις να σβησεις το τελευταιο κανονα μιας και δε σου λειτουργει και δε πιανει ποτε τπτ γιατι γινοντε allowed απο το πανω κανονα οπως ειπα και αν κολλησεις κανα ransomware που γινεται spread μεσω δικτυου.............. περαστικα.

Ασε που στον ιδιο κανονα δεν εχεις τσεκαρει το PF και πρεπει να τα κανει ολα PF και στο νατ και στο filter.

μάλλον το firewall σου είναι τρύπιο
δε γίνεται να μήν έχεις το allow all FROM LAN
εκτός αν αφήνεις μία μία τις 1000άδες πόρτες που χρειάζεσαι καθημερινά - πράγμα αδύνατο

οπότε είτε τα έχεις μπλοκάρει όλα είτε (αφού δεν έχεις το block all others στο τέλος) έχεις τρύπιο fw

κρατάω μία επιφύλαξη για 3η περίπτωση γιατί βαριέμαι να το σκεφτώ περισσότερο - είναι και καλοκαίρι :)

EDIT1:

Εμένα πάντως στα 14γιγα κίνησης δεν έχει πιάσει κανένα πακέτο και νομίζω αυτό είναι το φυσιολογικό.
Εξάλλου πώς να φτάσει κάποιο πακέτο στο forward (έχουν μπλοκαριστεί παραπάνω τα invalid connections) απο έξω που να μήν έχει γίνει dst-nat και να φτάσει στο drop all others?

EDIT2:
οπότε είτε έχεις κάποια τρύπα είτε μπλοκάρεις κάτι που δεν πρέπει είτε κάτι έχω εγώ λάθος

EDIT3:
συμφωνώ με το default
https://forum.mikrotik.com/viewtopic.php?t=122408

με έκανες να ανησυχήσω αφού έχω ξεχάσει γιατί έχω κάνει ότι έχω κάνει. Έχω σταματήσει να ασχολούμαι πέρα απο τα updates νομίζω πάνω απο χρόνο!

macro
27-07-19, 13:40
Εγω δε λεω οτι ειναι λαθος οι κανονες, αλλα λαθος η σειρα τους. Τεσπα αν βολευεστε ετσι μια χαρα.

teodor_ch
27-07-19, 14:46
Εγω δε λεω οτι ειναι λαθος οι κανονες, αλλα λαθος η σειρα τους. Τεσπα αν βολευεστε ετσι μια χαρα.

δεν υπάρχει καμία λογική να μπεί το all others πάνω απο τα others!!!!

μα καμία λογική!

επίσης αυτή τη σειρά δίνει και η MK γιατί αυτή είναι η μόνη σωστή και λογική!

Είμαι σίγουρος ότι κάτι έχεις καταλάβει λάθος. Δεν γίνεται αυτός ο κανόνας να μπεί κάπου αλλού!

Αν δε το θυμάσαι τα πακέτα περνάνε έναν έναν κανόνα με τη σειρά. Αν κοπούν κάπου δεν περνάνε στον επόμενο.

xhaos
27-07-19, 18:47
τα πακέτα περνάνε έναν έναν κανόνα με τη σειρά. Αν κοπούν κάπου δεν περνάνε στον επόμενο.
Περίπου, ξεκινάνε τους κανόνες με τη σειρά και όποιος τα πιάσει πρώτα. Αν κάνουν match κάπου δε κοιτάζει αλλα rules

teodor_ch
27-07-19, 19:34
Περίπου, ξεκινάνε τους κανόνες με τη σειρά και όποιος τα πιάσει πρώτα. Αν κάνουν match κάπου δε κοιτάζει αλλα rules

Το ίδιο είπαμε :)
Αν δεν κοπούν κάπου περνάνε στον επόμενο :p

deniSun
28-07-19, 10:18
Σχετικά με τον έλεγχο της εσωτερικής κίνησης...
Φυσικά και υπάρχει το θέμα με το εάν κολλήσεις κάποιο μαμούνι και αρχίσει να στέλνει αβέρτα κίνηση προς τα έξω.
Αλλά όπως είπα δεν με ενδιαφέρει αυτή η περίπτωση.
Προσωπικά θεωρώ ανούσιο να γεμίσω κανόνες που το μόνο που θα κάνουν είναι να αυξήσουν την πολυπλοκότητα/συντήρηση/ελέγχους χωρίς στην πραγματικότητα να έχω πετύχει σε ικανοποιητικό βαθμό το μπλοκάρισμα της ανεπιθύμητης κίνησης.

@ ADSLgr.com All rights reserved.