Επιστροφή στο Forum : Mikrotik IPv4/IPv6 firewall
καλημέρα! και εγώ έχω καποιο περάσει κάτι παρόμοια πρεπει να ειναι.
http://wiki.mikrotik.com/wiki/DoS_attack_protection
http://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking
http://srijit.com/how-to-protect-your-mikrotik-router-from-ddos-attacks/
τωρα δεν βρισκω το link που ειχα βρει αυτα που εχω βαλει και δεν ειμαι και σπιτι για να δω.
Βρηκα και αυτο το αρθρο πολυ καλο : http://wiki.mikrotik.com/wiki/Securing_New_RouterOs_Router
Για DDos τι εχετε κανει?
Βρηκα αυτο και εχω περασει
/ip firewall filter
add action=jump chain=forward comment="DDoS protection_____Detect-Ddos" \
connection-state=new in-interface=all-ppp jump-target=detect-ddos
add action=return chain=detect-ddos comment=Detect-Ddos dst-limit=\
32,50,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=\
1w chain=detect-ddos comment=Detect-Ddos_Ddosed
add action=add-src-to-address-list address-list=ddoser address-list-timeout=\
1w chain=detect-ddos comment=Detect-Ddos_Ddoser
add action=drop chain=forward comment=Detect-Ddos_Drop connection-state=new \
dst-address-list=ddosed src-address-list=ddoser
add action=drop chain=forward comment=\
"Disallow TCP/UDP port 0 DDoS protection" port=0 protocol=tcp
add action=drop chain=forward port=0 protocol=udp
Δεν ξέρω τι ακριβώς κάνει με αυτές τις δηλώσεις.
Και αν πραγματικά δουλεύει.
Στο λινκ που το βρηκα ο τυπος ελεγε οτι ειχε σωθει απο αυτο. Τωρα σε μενα, καμια επιθεση δεν εχει κατσει για να σου πω.
εγώ ddos protection δεν έχω γιατί με την 4/1 γραμμή μου τί να κλ@σω!
και ποιός θα ασχοληθεί μαζί μου!
αν είχα θέματα επιθέσεων θα έβαζα script για επανάκληση της pppoe-out ώστε να αλλάξει η ΙΡ μου
Στο λινκ που το βρηκα ο τυπος ελεγε οτι ειχε σωθει απο αυτο. Τωρα σε μενα, καμια επιθεση δεν εχει κατσει για να σου πω.
Μπορείς να δώσεις το link;
Για τι είδους επίθεση μιλάει;
Σε εσωτερικό ΗΥ ή στο ρούτερ;
Θα προσπαθησω να το ξαναβρω και θα το ποσταρω
Ελα καλημερα σε ολους σας, το βρηκα.........
http://forum.mikrotik.com/viewtopic.php?t=54607
ποστ 38
Περιμένω...
Με ένα google search των κανόνων βρίσκεις την πηγή :p
Απο εκεί και πέρα, όπως λένε και στο πρώτο ποστ στην πηγή που έβαλες,
αυτοί οι κανόνες μπλοκάρουν ddos attack ΜΕΣΑ απο το δικό σου δίκτυο.
Για επαγγελματικούς χώρους δεν είναι κακό. Ανάλογα και τί κόσμος μπαίνει στο δίκτυο βέβαια.
Άλλο είναι ο παππούς τουρίστας και άλλο το 15χρονο στο νετ καφέ!
Με ένα google search των κανόνων βρίσκεις την πηγή :p
Απο εκεί και πέρα, όπως λένε και στο πρώτο ποστ στην πηγή που έβαλες,
αυτοί οι κανόνες μπλοκάρουν ddos attack ΜΕΣΑ απο το δικό σου δίκτυο.
Για επαγγελματικούς χώρους δεν είναι κακό. Ανάλογα και τί κόσμος μπαίνει στο δίκτυο βέβαια.
Άλλο είναι ο παππούς τουρίστας και άλλο το 15χρονο στο νετ καφέ!
Ναι αλλά ddos από τον ένα χρήστη προς τους άλλους ή προς το ρούτερ;
Απο οτι βλεπω και εδω για τους clients ειναι
http://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking
Για το ρουτερ πρεπει να ειναι εδω
http://wiki.mikrotik.com/wiki/DoS_attack_protection
Και για το syn filtering
http://wiki.mikrotik.com/wiki/DoS_attack_protection
Ίσως φανεί χρήσιμο σε όσους στήνουν ΜΤ σε public δίκτυα.
Παντως δουλευουν ολα αυτα και πιανουν πακετα. Drops δεν εχω ακομη διοτι δεν εχω δεχτει επιθεση πιθανον. Το συγκεκριμενο scriptaki το ειδα και σε αλλα sites και το προτεινουν ολοι.
Θελει ολο το σετ ομως και το syn filtering και το syncookies για να εισαι οκ.
Εδω εχουν ddos protection τα σαπιδια των παροχων...... να μη βαλουμε σε ΜΤ?
Παντως δουλευουν ολα αυτα και πιανουν πακετα. Drops δεν εχω ακομη διοτι δεν εχω δεχτει επιθεση πιθανον. Το συγκεκριμενο scriptaki το ειδα και σε αλλα sites και το προτεινουν ολοι.
Θελει ολο το σετ ομως και το syn filtering και το syncookies για να εισαι οκ.
Εδω εχουν ddos protection τα σαπιδια των παροχων...... να μη βαλουμε σε ΜΤ?
Για να μήν υπάρξει παρεξήγηση.
Αυτό το script προστατεύει αν κάποιος απο το LAN ξεκινήσει επίθεση.
Αμφιβάλω αν τα "σαπίδια" των παρόχων κάνουν κάτι αντίστοιχο.
Και αφού το πιάσαμε το θέμα.
Πόσοι εδώ μέσα έχετε φάει ddos attack είτε απο το lan είτε απο το wan?
Πρεπει να τα κανεις ολα αυτα που αναφερω για να εισαι εντελως καλυμενος και δεν ειναι μονο για το λαν. Βασικα ειναι να μη σου τυχει.........
και να τύχει μικρό το κακό
αλλάζεις ΙΡ και τέλος
άσε που ότι προστασία και να έχεις στο ρούτερ σου,
με τις home adsl που έχουμε,
τερματίζουν τη γραμμή πανεύκολα
άσε (πάλι!) που τόσα χρόνια δεν έχω φάει ποτέ μου επίθεση
ναι ετσι ειναι κατα 99%. Απο το firewall που φτιαχνουμε εμενα δε μου εχει κατσει ποτε τπτ. Απλα εχεις τη δυνατοτητα και το κανεις απο μερακι και να εισαι και οσο πιο ησυχος γινεται. Και για τη μαθηση βεβαια.
Όποιος θέλει μπορεί να πειραματιστεί.
Προσωπικά πιστεύω ότι κανένας δεν θα ασχοληθεί για να σου κάνει ddos.
Και είναι αμφιλεγόμενο κατά πόσο θα πετύχει ακόμα και σε 50άρα vdsl.
Έχω στήσει ΜΤ σε ιδιωτικό χώρο και μπαίνουν πελάτες επιχείρησης.
Έτυχε ένας χακεράς και έκανε το ΜΤ να κολλήσει 4-5 φορές και χωρίς να με ενημερώσουν να προσπαθήσω να βρώ τί έγινε, του έκαναν ρεσταρτ και μου το είπαν μετά απο μερικές μέρες.
Σαν 1ο μέτρο προστασίας, λέω να βάλω ένα όριο σε συνδέσεις ανα ΙΡ σε συγκεκριμένο subnet (πελατών).
Νομίζω οι 200 συνδέσεις/υπολογιστή είναι ένα γενναιόδωρο νούμερο.
add action=drop chain=forward comment="Drop excessive tcp connections" \
connection-limit=200,32 log=yes log-prefix="Drop excessive tcp connections" \
protocol=tcp src-address=192.168.4.0/24 tcp-flags=syn
add action=drop chain=forward comment="Drop excessive udp connections" \
connection-limit=200,32 log=yes log-prefix="Drop excessive udp connections" \
protocol=udp src-address=192.168.4.0/24
Κάποιο σχόλιο?
Μήπως βοηθούσε να ορίσεις remote syslog server ; Έτσι και να μην σε ενημερώσουν να πιάσεις κάτι στα logs ;
Έχω στήσει ΜΤ σε ιδιωτικό χώρο και μπαίνουν πελάτες επιχείρησης.
Έτυχε ένας χακεράς και έκανε το ΜΤ να κολλήσει 4-5 φορές και χωρίς να με ενημερώσουν να προσπαθήσω να βρώ τί έγινε, του έκαναν ρεσταρτ και μου το είπαν μετά απο μερικές μέρες.
Σαν 1ο μέτρο προστασίας, λέω να βάλω ένα όριο σε συνδέσεις ανα ΙΡ σε συγκεκριμένο subnet (πελατών).
Νομίζω οι 200 συνδέσεις/υπολογιστή είναι ένα γενναιόδωρο νούμερο.
add action=drop chain=forward comment="Drop excessive tcp connections" \
connection-limit=200,32 log=yes log-prefix="Drop excessive tcp connections" \
protocol=tcp src-address=192.168.4.0/24 tcp-flags=syn
add action=drop chain=forward comment="Drop excessive udp connections" \
connection-limit=200,32 log=yes log-prefix="Drop excessive udp connections" \
protocol=udp src-address=192.168.4.0/24
Κάποιο σχόλιο?
Είσαι σίγουρος ότι χτύπησε το ΜΤ;
Τα logs κατέγραψαν κάτι;
Είσαι σίγουρος ότι χτύπησε το ΜΤ;
Τα logs κατέγραψαν κάτι;
Δεν μπορώ να είμαι σίγουρος δυστυχώς.
Πρώτη φορά προσπαθούν οπότε σιγά σιγά θα μπαλώνω το fw που έχω.
πχ. τώρα σκέφτηκα να κόψω όλη την πρόσβαση των πελατών 192.168.4.0/24 προς την ΙΡ του ρούτερ 192.168.4.1 (γιατί τα υπόλοιπα subnets τα έχω κόψει)
αλλά θα πρέπει να αφήσω κάποιες θύρες (πχ. DNS)
τί άλλο είναι απαραίτητο?
dhcp server, dns...?
ή απλά να κόψω την 80, winbox και τις 4-5 υπηρεσίες του?
Καλημέρα, μήπως ξέρεις με τι τρόπο μπήκε και τι έκανε?
μου φαίνεται αρκετά περίεργο.
Είμαι της εντύπωσης οτι το subnet πελατων πρεπει να το κοψεις απο παντου αμαν ειναι ετσι.
Αλλα οχι απο dns, dhcp server πως θα δουλευουν αυτα ειναι απαραιτητα.
Την 80, winbox, telnet, ssh εννοειτε τα κοβεις απο αυτους.
Δεν μπορώ να είμαι σίγουρος δυστυχώς.
Πρώτη φορά προσπαθούν οπότε σιγά σιγά θα μπαλώνω το fw που έχω.
πχ. τώρα σκέφτηκα να κόψω όλη την πρόσβαση των πελατών 192.168.4.0/24 προς την ΙΡ του ρούτερ 192.168.4.1 (γιατί τα υπόλοιπα subnets τα έχω κόψει)
αλλά θα πρέπει να αφήσω κάποιες θύρες (πχ. DNS)
τί άλλο είναι απαραίτητο?
dhcp server, dns...?
ή απλά να κόψω την 80, winbox και τις 4-5 υπηρεσίες του?
θα κόψεις την πρόσβαση των clients στο gateway??? σκέψου το καλύτερα. κανένας δεν θα έχει πρόσβαση.
θα κόψεις την πρόσβαση των clients στο gateway??? σκέψου το καλύτερα. κανένας δεν θα έχει πρόσβαση.
Για αυτό ρωτάω τί θύρες χρειάζεται να είναι ανοιχτές για να παίρνουν ιντερνετ?
Αν το σκεπτικό μου είναι λάθος, να κάνω ένα βήμα πίσω και απλά να κλείσω τη πρόσβαση σε services του ΜΚ που είναι λίγα και γνωστά.
Και με το κλασσικό firewall να αφήνει τα establised/related κλπ.
καλησπέρα! μετά απο τις τελευταιες εξελιξεις εδω http://www.adslgr.com/forum/threads/877556-%CE%A4%CF%81%CF%8C%CF%80%CE%BF%CE%B9-%CE%B3%CE%B9%CE%B1-internet-%CE%BA%CE%B9%CE%BD%CE%B7%CF%84%CE%AE%CF%82-%CF%83%CE%B5-Mikrotik-Routerboard/page9 που σημαινει τωρα που θα εχω αδεια τον Αυγουστο θα λιωσει το 4G internet cosmote, μηπως πρεπει να εχω και καποιο firewall στο 951 στο εξοχικο?
για το αλλο ιντερνετ που ερχεται απο Αθηνα μεσω AWMN και OpenVPN δεν εχω βαλει κατι επειδη εχει firewall το routerboard στην Αθηνα. Η κινητη που παιζει ομως αυτονομα με PPP δλδ δεν πρεπει να εχει? τι γνωμη εχετε? για λιγη και περιστασιακη χρηση οκ, αλλα αμα ειναι να το λιωσουμε....
θα μου πειτε αφου εχω ιντερνετ γιατι να εχω μεσω κινητης? απλα γιατι ειναι πολυ ποιο αργο αυτο του openvpn. Οπως ειπα στα καλυτερα του δικτυου πιανει 4-5mbps max στο download και upload για κλαματα απλα!
Με το 4G εχει πολλαπλασιες ταχυτητες και το upload ειδικα ουδεμια σχεση!!!! στο εξοχικο ΔΕΝ κατεβαζω αρχεια μεγαλα οποτε δεν με νοιαζει ο ογκος.
Για αυτό ρωτάω τί θύρες χρειάζεται να είναι ανοιχτές για να παίρνουν ιντερνετ?
Αν το σκεπτικό μου είναι λάθος, να κάνω ένα βήμα πίσω και απλά να κλείσω τη πρόσβαση σε services του ΜΚ που είναι λίγα και γνωστά.
Και με το κλασσικό firewall να αφήνει τα establised/related κλπ.
Το να χτυπήσει το ΜΤ είναι λίγο δύσκολο.
Αυτό που πιστεύω ότι έκανε ήταν να κολλήσει τους clients και να νομίζουν ότι φταίει το ρούτερ.
Αν θέλεις να προστατεύσεις ακόμα περισσότερο το Μτ μπορείς να του κλείσεις τις πόρτες telnet, ftp κλπ και να περιορίσεις την πρόσβαση στο winbox από μόνο μία ΙΡ.
καλημερα, γνωριζει κανεις αυτο που ρωτησα ποιο πριν γιατι αυριο πρωι παω να μεινω εξοχικο αμα ειναι να το φτιαξω?
thanks! :oneup:
Α! μηπως να βαλω τα ιδια με τα αλλα χωρις ομως το ipv6 και απλα να αλλαξω το interface απο ppoe δλδ στο ppp ?
καλημερα, γνωριζει κανεις αυτο που ρωτησα ποιο πριν γιατι αυριο πρωι παω να μεινω εξοχικο αμα ειναι να το φτιαξω?
thanks! :oneup:
Α! μηπως να βαλω τα ιδια με τα αλλα χωρις ομως το ipv6 και απλα να αλλαξω το interface απο ppoe δλδ στο ppp ?
Εγώ προσωπικά θα έβαζα.
Το ότι παίρνεις από κινητή δεν σημαίνει ότι δεν έχεις απειλές.
Μπορεί να είναι λιγότερες αλλά δεν παύει να υπάρχουν.
Το μόνο που αλλάζει είναι ότι αντί να κάνεις κλήση προς τα έξω από το dsl modem βγαίνεις με το 4G modem της κινητής.
Άρα δεν βλέπω τον λόγο να μην υπάρχει.
αυτά πιστεύω και εγώ. Δεν μου λες η κινητή τι έχει μόνο ipv4?
αμα ειναι να μην περασω και το firewall ipv6 οπως εχω κανει στο 109 για το ppoe client.
αυτά πιστεύω και εγώ. Δεν μου λες η κινητή τι έχει μόνο ipv4?
αμα ειναι να μην περασω και το firewall ipv6 οπως εχω κανει στο 109 για το ppoe client.
Στην voda που είμαι έχει μόνο ν4.
Ποτέ δεν είδα ν6 με κανένα test.
Ωραία, οκ ευχαριστώ, αμα ειναι θα περασω μονο του ipv4 στο ppp interface. :)
theodor .....
Εγω σε καποιον που εβαλα εκοψα ολες τις πορτες εκτος απο τις, 50-443-53 και τις 2 των μαιλ. Ολα τα αλλα κλειστα.
Δες απλα να μη χρησιμοποιουν και καποιες αλλες πορτες μονο για να σαι σιγουρος. Αν ειναι μονο για ιντερνετ ασε τις 3 πρωτες και κλεισε ολες τις αλλες.
και που τα έβαλα παιζει πολύ καλά το awmn και προς το παρον δεν μου χρειάστηκε το mobile internet στο 951. Στο κινητό οταν δεν είμαι σπίτι μόνο. Παντως πέρασα τα firewall rules που ειπαμε, ας ειναι έτοιμα όταν και όποτε χρειαστεί.
Μετά απο κάμποσο ψάξιμο κάθησα και έφτιαξα το ipv6 firewall για το δικό μου tik.
Βασικά ήθελα να δώ τι μπορώ να φιλτράρω χωρίς παρενέργειες στο icmpv6,
γιατί είναι μεν απαραίτητο αλλά (δυνητικά) μπορεί να χρησιμοποιηθεί και για κακόβουλους σκοπούς.
Παρακάτω το export.
Παρατηρήσεις/διορθώσεις/ιδέες πάντα ευπρόσδεκτες.
/ipv6 firewall filter
add action=accept chain=forward comment=\
"Forward established & related traffic." connection-state=\
established,related
add action=drop chain=forward comment="Drop/log invalid traffic." \
connection-state=invalid log=yes log-prefix="Drop invalid:"
add action=accept chain=forward comment="Allow new connections from LAN." \
connection-state=new in-interface=ether6-master-LAN
add action=jump chain=forward comment="Jump to ICMPv6-common." jump-target=\
ICMPv6-common protocol=icmpv6
add action=drop chain=forward comment="Drop/log all." log=yes log-prefix=\
"Drop all:"
add action=accept chain=input comment=\
"Allow established & related traffic to router." connection-state=\
established,related
add action=drop chain=input comment="Drop/log invalid." connection-state=\
invalid log=yes log-prefix="Drop invalid:"
add action=accept chain=input comment=\
"Allow new connections to router from LAN." connection-state=new \
in-interface=ether6-master-LAN
add action=jump chain=input comment="Jump to ICMPv6-input." jump-target=\
ICMPv6-input protocol=icmpv6
add action=accept chain=input comment="Allow WAN DHCPv6 client." dst-port=546 \
in-interface=pppoe-out1 protocol=udp src-address=fe80::/10 src-port=547
add action=drop chain=input comment="Drop/log all." log=yes log-prefix=\
"Drop all:"
add action=accept chain=ICMPv6-input comment=\
"Allow listener query (type 130)." icmp-options=130:0-255 protocol=icmpv6 \
src-address=fe80::/10
add action=accept chain=ICMPv6-input comment=\
"Allow listener report (type 131)." icmp-options=131:0-255 protocol=\
icmpv6 src-address=fe80::/10
add action=accept chain=ICMPv6-input comment=\
"Allow listener done (type 132)." icmp-options=132:0-255 protocol=icmpv6 \
src-address=fe80::/10
add action=accept chain=ICMPv6-input comment=\
"Allow router solicitation (type 133) with hop limit == 255." hop-limit=\
equal:255 icmp-options=133:0-255 protocol=icmpv6
add action=accept chain=ICMPv6-input comment=\
"Allow router advertisement (type 134) with hop limit == 255." hop-limit=\
equal:255 icmp-options=134:0-255 protocol=icmpv6
add action=accept chain=ICMPv6-input comment=\
"Allow neighbor solicitation (type 135) with hop limit == 255." \
hop-limit=equal:255 icmp-options=135:0-255 protocol=icmpv6
add action=accept chain=ICMPv6-input comment=\
"Allow neighbor advertisement (type 136) with hop limit == 255." \
hop-limit=equal:255 icmp-options=136:0-255 protocol=icmpv6
add action=accept chain=ICMPv6-input comment=\
"Allow redirect (type 137) with hop limit == 255." hop-limit=equal:255 \
icmp-options=137:0-255 protocol=icmpv6
add action=accept chain=ICMPv6-input comment="Allow inverse neighbor discovery\
\_solicitation (type 141) with hop limit == 255." hop-limit=equal:255 \
icmp-options=141:0-255 protocol=icmpv6
add action=accept chain=ICMPv6-input comment="Allow inverse neighbor discovery\
\_advertisement (type 142) with hop limit == 255." hop-limit=equal:255 \
icmp-options=142:0-255 protocol=icmpv6
add action=accept chain=ICMPv6-input comment=\
"Allow listener report v2 (type 143)." icmp-options=143:0-255 protocol=\
icmpv6 src-address=fe80::/10
add action=accept chain=ICMPv6-input comment=\
"Allow certificate path solicitation (type 148) with hop limit == 255." \
hop-limit=equal:255 icmp-options=148:0-255 protocol=icmpv6
add action=accept chain=ICMPv6-input comment=\
"Allow certificate path advertisement (type 149) with hop limit == 255." \
hop-limit=equal:255 icmp-options=149:0-255 protocol=icmpv6
add action=accept chain=ICMPv6-input comment=\
"Allow multicast router advertisement (type 151) with hop limit == 1." \
hop-limit=equal:1 icmp-options=151:0-255 protocol=icmpv6 src-address=\
fe80::/10
add action=accept chain=ICMPv6-input comment=\
"Allow multicast router solicitation (type 152) with hop limit == 1." \
hop-limit=equal:1 icmp-options=152:0-255 protocol=icmpv6 src-address=\
fe80::/10
add action=accept chain=ICMPv6-input comment=\
"Allow multicast router termination (type 153) with hop limit == 1." \
hop-limit=equal:1 icmp-options=153:0-255 protocol=icmpv6 src-address=\
fe80::/10
add action=jump chain=ICMPv6-input comment="Jump to ICMPv6-common." \
jump-target=ICMPv6-common
add action=accept chain=ICMPv6-common comment=\
"Allow destination unreachable (type 1)." icmp-options=1:0-255 protocol=\
icmpv6
add action=accept chain=ICMPv6-common comment=\
"Allow packet too big (type 2)." icmp-options=2:0-255 protocol=icmpv6
add action=accept chain=ICMPv6-common comment=\
"Allow limit exceeded #1 (type 3, code 0)." icmp-options=3:0 protocol=\
icmpv6
add action=accept chain=ICMPv6-common comment=\
"Allow limit exceeded #2 (type 3, code 1)." icmp-options=3:1 protocol=\
icmpv6
add action=accept chain=ICMPv6-common comment=\
"Allow bad header #1 (type 4, code 0)." icmp-options=4:0 protocol=icmpv6
add action=accept chain=ICMPv6-common comment=\
"Allow bad header #2 (type 4, code 1)." icmp-options=4:1 protocol=icmpv6
add action=accept chain=ICMPv6-common comment=\
"Allow bad header #3 (type 4, code 2)." icmp-options=4:2 protocol=icmpv6
add action=accept chain=ICMPv6-common comment=\
"Allow echo request (type 128)." icmp-options=128:0-255 protocol=icmpv6
add action=accept chain=ICMPv6-common comment="Allow echo reply (type 129)." \
icmp-options=129:0-255 protocol=icmpv6
add action=accept chain=ICMPv6-common comment=\
"Allow home agent address discovery request (type 144)." icmp-options=\
144:0-255 protocol=icmpv6
add action=accept chain=ICMPv6-common comment=\
"Allow home agent address discovery reply (type 145)." icmp-options=\
145:0-255 protocol=icmpv6
add action=accept chain=ICMPv6-common comment=\
"Allow mobile prefix solicitation (type 146)." icmp-options=146:0-255 \
protocol=icmpv6
add action=accept chain=ICMPv6-common comment=\
"Allow mobile prefix advertisement (type 147)." icmp-options=147:0-255 \
protocol=icmpv6
add action=drop chain=ICMPv6-common comment="Drop/log all." log=yes \
log-prefix="Drop all ICMPv6:" protocol=icmpv6
Διευκρινίσεις:
Δεν χρησιμοποιώ bridge (προφανώς..) το lan interface μου είναι το ether-6.
Το wan uplink είναι pppoe session στο pppoe-out1
Το σκεπτικό είναι ότι όλη η κίνσηση lan -> Wan εξ'ορισμού επιτρέπεται.
Βολικό για home/soho setup αλλά όχι πάντα ιδανικό.
Στο input icmpv6 chain υπάρχουν κάποιοι κανόνες για να δουλεύει το auto discovery πάνω από link-local.
Στο συγγεκριμένο setup με pppoe δεν χρειάζονται, και έτσι κι'αλλιώς το σχετικό traffic κόβεται upstream (και σωστά).
Μπορεί όμως να χρειάζονται σε άλλα setup αν υπάρχει έταιρο ipv6 router συνδεμένο upstream.
Δεν βλάπτουν (νομίζω) αλλά κάντε ένα review στα icmp chains να αποφασίσετε τι θέλετε να περνάει.
Το icmpv6 έχει κάποιο θέμα.
Δεν έχει διευκρινιστεί πλήρως τι ακριβώς χρειάζεται να μένει ελεύθερο και τι όχι.
Αυτά τα θέματα θα αποσαφηνιστούν κατά την πλήρη μετάβαση.
Ναι, όλο το ipv6 είναι work in progress
Ρίξε μια ματιά εδώ (https://www.ietf.org/rfc/rfc4890.txt) αν δεν το έχεις δει.
Ναι, όλο το ipv6 είναι work in progress
Ρίξε μια ματιά εδώ (https://www.ietf.org/rfc/rfc4890.txt) αν δεν το έχεις δει.
Ακόμα και τα win έχουν θέμα με το icmp.
Δεν δέχονται από default όλο το εύρος του.
Οπότε μάλλον θα εξαρτηθεί από την υλοποίηση που θα ακολουθήσει ο κάθε πάροχος.
καλησπέρα, οπως ειδα εδω ειναι ο τελευταιος οδηγος http://www.adslgr.com/forum/threads/858118-Mikrotik-IPv4-IPv6-firewall/page14 ποστ #209
εψαξα τις σελιδες απο την νεοτερη προς τα πισω δεν κοιταξα ακομα ποιο πισω εκτος την 1η.
Εχω αλλαξει τους κανονες FW και στο ipv4 και ipv6.
DeniSun εχεις τπτ νεοτερο ή αυτα ειναι?
λιγα τα βλεπω στο ipv4 ειχα 73 κανονες πριν!!!!
νομιζω καλα ειναι ετσι συμφωνα με τους οδηγους παντα!
/ip firewall filter
add chain=input comment="Accept input established, related connections" connection-state=established,related
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add chain=input comment="Allow OpenVPN" dst-port=1194 in-interface=all-ppp protocol=tcp
add chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"
/ip firewall mangle
add action=change-mss chain=forward comment=TCP-MSS_in in-interface=all-ppp new-mss=1452 protocol=tcp tcp-flags=syn,!rst tcp-mss=1453-65535
add action=change-mss chain=forward comment=TCP-MSS_out new-mss=1452 out-interface=all-ppp protocol=tcp tcp-flags=syn,!rst tcp-mss=1453-65535
/ipv6 firewall filter
add chain=input comment="Accept input established, related connections" connection-state=established,related
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid
add chain=input comment="Allow input DHCPv6 client" dst-port=546 protocol=udp
add chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"
Επειδή κάνω κατά καιρούς μικρο-αλλαγές, ακόμα και στον τρόπο που δηλώνω τα mangles, μου είναι δύσκολο να το ελέγξω αν είναι αυτό το τελευταίο.
Οπότε για σιγουριά, και ευκολία δικιά μου, το ποστάρω ξανά:
Για ν4:
/ip firewall filter
add chain=input comment="Accept input established, related connections" \
connection-state=established,related
add action=drop chain=input comment="______Drop input invalid connections" \
connection-state=invalid
add chain=forward comment=\
"Allow forward forward established, related connections" \
connection-state=established,related
add action=drop chain=forward comment=\
"______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Add port scanners to list" \
in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/RST scan" \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" \
src-address-list="port scanners"
add chain=input comment="Allow OpenVPN" dst-port=1194 in-interface=all-ppp \
protocol=tcp
add chain=input comment="Allow Broadcast-Multicast" dst-address-type=\
broadcast,multicast in-interface=all-ppp
add chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"
Για ν6:
/ipv6 firewall filter
add chain=input comment="Accept input established, related connections" \
connection-state=established,related
add action=drop chain=input comment="______Drop input invalid connections" \
connection-state=invalid
add chain=forward comment=\
"Allow forward forward established, related connections" \
connection-state=established,related
add action=drop chain=forward comment=\
"______Drop forward invalid connections" connection-state=invalid
add chain=input comment="Allow input DHCPv6 client" dst-port=546 protocol=udp
add chain=input comment="Allow input ICMPv6" limit=50/5s,5:packet protocol=\
icmpv6
add chain=forward comment="Allow forward ICMPv6" limit=50/5s,5:packet \
protocol=icmpv6
add chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"
ok thanks! θα τα αλλαξω παλι για σιγουρια και θα κρατησω αυτα.
Ωπα δεν εχω mangle για το ipv6! εχεις κατι να μου δωσεις να τα βαλω να παρω και ενα backup?
Στο αντιστοιχο θεμα εδω http://www.adslgr.com/forum/threads/858117-Mikrotik-IPv6-%CF%83%CE%B5-PPPoE-client-%CE%BC%CE%B5-modem-%CF%83%CE%B5-bridge-mode για ipv6 δεν εχεις δωσει κατι για mangle δεν χρειαζεται εδω?
ΩΧ! με τις αλλαγες που εγιναν δεν εχει ιντερνετ στο εξοχικο μεσω Openvpn!!!
αυτο εδω add action=drop chain=forward comment="Drop forward everything else"
μου κοβει το ιντερνετ στο εξοχικο!
παρολο οτι εχεις κανονα για το openvpn και δοκιμασα την δικια μου πορτα, αλλο interface κτλ δεν παιζει.
add chain=input comment="Allow OpenVPN" dst-port=1722 in-interface=all-ppp \protocol=tcp
καμια ιδεα γιατι? πως να το κανω? οι μετρητες του δεν μετρανε καν κινηση.
προς το παρον εχω κανει disable τον πανω κανονα μεχρι να βρω λυση.
καλημερα, τελικα δεν εχει κανεις καποια ιδεα για το παραπανω? ο κανονας αυτος γιατι κοβει το openvpn εφοσον εχει κανονα που το αφηνει να περναει?
εχω κανει διαφορες δοκιμες δεν εχει βγαλει ακρη, η μονη λυση να εχω disable τον κανενα τον 1ο οπως δειχνω απο πανω ωστε να δουλευει το openvpn.
Δεν δοκιμασα απο το κινητο αν παιζει, με ενδιαφερει ομως οτι αφηνει το εξοχικο χωρις ιντερνετ!
ok thanks! θα τα αλλαξω παλι για σιγουρια και θα κρατησω αυτα.
Ωπα δεν εχω mangle για το ipv6! εχεις κατι να μου δωσεις να τα βαλω να παρω και ενα backup?
Στο αντιστοιχο θεμα εδω http://www.adslgr.com/forum/threads/858117-Mikrotik-IPv6-%CF%83%CE%B5-PPPoE-client-%CE%BC%CE%B5-modem-%CF%83%CE%B5-bridge-mode για ipv6 δεν εχεις δωσει κατι για mangle δεν χρειαζεται εδω?
ΩΧ! με τις αλλαγες που εγιναν δεν εχει ιντερνετ στο εξοχικο μεσω Openvpn!!!
αυτο εδω add action=drop chain=forward comment="Drop forward everything else"
μου κοβει το ιντερνετ στο εξοχικο!
παρολο οτι εχεις κανονα για το openvpn και δοκιμασα την δικια μου πορτα, αλλο interface κτλ δεν παιζει.
add chain=input comment="Allow OpenVPN" dst-port=1722 in-interface=all-ppp \protocol=tcp
καμια ιδεα γιατι? πως να το κανω? οι μετρητες του δεν μετρανε καν κινηση.
προς το παρον εχω κανει disable τον πανω κανονα μεχρι να βρω λυση.
Στο θέμα για το ν6 που αναφέρεις, παραθέτω μόνο τις δηλώσεις για την εγκατάσταση και ρύθμιση του ν6.
Όπως αντίστοιχα για στο θέμα για ν4.
Τα περί fw και qos τα έχω σε ξεχωριστά θέματα για να μην μπερδευόμαστε.
Η δήλωση για άνοιγμα πόρτας σε openvpn ή οτιδήποτε άλλο είναι αυτή που παραθέτεις για το openvpn.
Προσοχή στην δήλωση της πόρτας και στο in-interface.
Αν θυμάμαι καλά συνδεόσουν με ασύρματη ζεύξη και όχι μέσω dsl γραμμής άρα ppp σύνδεσης.
Στην περίπτωση αυτή θα πρέπει να βάλεις στο in-interface την ether από την οποία έχεις σύνδεση.
Η δήλωση για άνοιγμα πόρτας σε openvpn ή οτιδήποτε άλλο είναι αυτή που παραθέτεις για το openvpn.
Προσοχή στην δήλωση της πόρτας και στο in-interface.
Αν θυμάμαι καλά συνδεόσουν με ασύρματη ζεύξη και όχι μέσω dsl γραμμής άρα ppp σύνδεσης.
Στην περίπτωση αυτή θα πρέπει να βάλεις στο in-interface την ether από την οποία έχεις σύνδεση.
Καλημερα παλι, βασικα δεν δοκιμασα με τον κανονα ενεργο αν μπορω να δουλεψω μεσω κινητου, παντως στο εξοχικο παει το ιντερνετ μεσω ασυρματων δικτυων (awmn) και μεσω του 433AH στην ταρατσα, ειναι συνδεδεμενο στην ether2 στο 109.
Μηπως πρεπει να δηλωθει τοτε αυτη η πορτα και γιαυτο δεν πιανει ο κανονας του openvpn?
θα το δοκιμασω δεν το ειχα σκεφτει και ενημερωνω παλι.
Καλημερα παλι, βασικα δεν δοκιμασα με τον κανονα ενεργο αν μπορω να δουλεψω μεσω κινητου, παντως στο εξοχικο παει το ιντερνετ μεσω ασυρματων δικτυων (awmn) και μεσω του 433AH στην ταρατσα, ειναι συνδεδεμενο στην ether2 στο 109.
Μηπως πρεπει να δηλωθει τοτε αυτη η πορτα και γιαυτο δεν πιανει ο κανονας του openvpn?
θα το δοκιμασω δεν το ειχα σκεφτει και ενημερωνω παλι.
Φυσικά...
Αυτό σου λέω παραπάνω.
Διαφορετικά, όπως το έχω εγώ, σου δίνει πρόσβαση μόνο σε ότι έρχεται από την ppp.
Εσύ ppp δεν έχεις οπότε...
Αν στο vpn, που ετσι πρεπει ναναι, εχεις αλλο δικτυο πρεπει να βαλεις και κανονα στο NAT.
Φυσικά...
Αυτό σου λέω παραπάνω.
Διαφορετικά, όπως το έχω εγώ, σου δίνει πρόσβαση μόνο σε ότι έρχεται από την ppp.
Εσύ ppp δεν έχεις οπότε...
ναι καταλαβα αυτο θα φταιει λογικα, πρεπει να κανω εναν κανονικα να επιτρεπει το openvpn απο το awmn (ether2 δλδ) για το 433ΑΗ και αλλον εναν μεσω ppp για τα κινητα κτλ.
Αν στο vpn, που ετσι πρεπει ναναι, εχεις αλλο δικτυο πρεπει να βαλεις και κανονα στο NAT.
τα εχω ολα αυτα μην μπερδευομαστε, το προβλημα μου αν το λες για μενα, ειναι καθαρα θεμα του κανονα firewall που ειπα σε προηγουμενο post.
Αν τον κλεισω αυτον περναει μια χαρα το openvpn δεν ειναι θεμα ΝΑΤ.
αυτο εδω add action=drop chain=forward comment="Drop forward everything else"
μου κοβει το ιντερνετ στο εξοχικο!
ναι καταλαβα αυτο θα φταιει λογικα, πρεπει να κανω εναν κανονικα να επιτρεπει το openvpn απο το awmn (ether2 δλδ) για το 433ΑΗ και αλλον εναν μεσω ppp για τα κινητα κτλ.
τα εχω ολα αυτα μην μπερδευομαστε, το προβλημα μου αν το λες για μενα, ειναι καθαρα θεμα του κανονα firewall που ειπα σε προηγουμενο post.
Αν τον κλεισω αυτον περναει μια χαρα το openvpn δεν ειναι θεμα ΝΑΤ.
αυτο εδω add action=drop chain=forward comment="Drop forward everything else"
μου κοβει το ιντερνετ στο εξοχικο!
Αν έχεις internet μέσω ppp δεν σου δημιουργεί πρόβλημα.
Αν παίρνεις από οπουδήποτε αλλού θα σου το κόβει.
Τον εχεις τελευταιο αυτο το κανονα το everything..... ετσι?
Τον εχεις τελευταιο αυτο το κανονα το everything..... ετσι?
Τα drop everything else πάντα στο τέλος.
@ ADSLgr.com All rights reserved.