Mikrotik IPv4/IPv6 firewall [Αρχείο] - ADSLgr.com Community Forum

Επιστροφή στο Forum : Mikrotik IPv4/IPv6 firewall

Σελίδες : [1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43

deniSun

20-01-15, 00:28

Σε συνέχεια αυτού (http://www.adslgr.com/forum/threads/858116-Mikrotik-%CF%83%CE%B5-%CF%81%CF%8C%CE%BB%CE%BF-PPPoE-client-%CE%BC%CE%B5-modem-%CF%83%CE%B5-bridge-mode) και αυτού (http://www.adslgr.com/forum/threads/858117-Mikrotik-IPv6-%CF%83%CE%B5-PPPoE-client-%CE%BC%CE%B5-modem-%CF%83%CE%B5-bridge-mode) των οδηγών παραθέτω τις ρυθμίσεις για IPv4 και IPv6 firewall.

IPv4 firewall:
/ip firewall filter
*** Allow only needed icmp codes in icmp chain:

add chain=icmp protocol=icmp icmp-options=0:0 action=accept \ comment="Echo reply"
add chain=icmp protocol=icmp icmp-options=3:0 action=accept \ comment="Net unreachable"
add chain=icmp protocol=icmp icmp-options=3:1 action=accept \ comment="Host unreachable"
add chain=icmp protocol=icmp icmp-options=4:0 action=accept \ comment="Allow source quench"
add chain=icmp protocol=icmp icmp-options=8:0 action=accept \ comment="Allow echo request"
add chain=icmp protocol=icmp icmp-options=11:0 action=accept \ comment="Allow time exceed"
add chain=icmp protocol=icmp icmp-options=12:0 action=accept \ comment="Allow parameter bad"
add chain=icmp action=drop comment="Deny all other types"
add action=drop chain=input comment="Disable ICMP ping" in-interface=pppoe-out1 disabled=no protocol=\ icmp

*** Drop port scanners

add chain=input protocol=tcp in-interface=pppoe-out1 psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list " disabled=no

*** Various combinations of TCP flags can also indicate port scanner activity:

add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"

*** Drop those IPs in both Input & Forward chains:

add chain=input src-address-list="port scanners" action=drop comment="Dropping port scanners" disabled=no

*** Router protection :

add chain=input connection-state=invalid action=drop \ comment="Drop Invalid connections"
add chain=input connection-state=established action=accept \ comment="Allow Established connections"
add chain=input src-address=192.168.5.0/24 action=accept \ in-interface=pppoe-out1

*** Customer protection (forward chain - traffic passing through the router):

add chain=forward connection-state=invalid \ action=drop comment="Drop invalid connections"
add chain=forward connection-state=established action=accept \ comment="Allow already established connections"
add chain=forward connection-state=related action=accept \ comment="Allow related connections"

*** Block Bogon IP addresses:

add chain=forward src-address=127.0.0.0/8 action=drop
add chain=forward dst-address=127.0.0.0/8 action=drop
add chain=forward src-address=169.254.0.0/16 action=drop
add chain=forward dst-address=169.254.0.0/16 action=drop
add chain=forward src-address=172.16.0.0/12 action=drop
add chain=forward dst-address=172.16.0.0/12 action=drop
add chain=forward src-address=192.0.0.0/24 action=drop
add chain=forward dst-address=192.0.0.0/24 action=drop
add chain=forward src-address=192.0.2.0/24 action=drop
add chain=forward dst-address=192.0.2.0/24 action=drop
add chain=forward src-address=198.18.0.0/15 action=drop
add chain=forward dst-address=198.18.0.0/15 action=drop
add chain=forward src-address=198.51.100.0/24 action=drop
add chain=forward dst-address=198.51.100.0/24 action=drop
add chain=forward src-address=203.0.113.0/24 action=drop
add chain=forward dst-address=203.0.113.0/24 action=drop
add chain=forward src-address=224.0.0.0/3 action=drop
add chain=forward dst-address=224.0.0.0/3 action=drop

*** Make jumps to new chains:

add chain=forward protocol=tcp action=jump jump-target=tcp in-interface=pppoe-out1\ comment="Make jumps to new chains"
add chain=forward protocol=udp action=jump jump-target=udp in-interface=pppoe-out1
add chain=forward protocol=icmp action=jump jump-target=icmp in-interface=pppoe-out1

*** Create TCP chain and deny some TCP ports in it (revise port numbers as needed):

add chain=tcp protocol=tcp dst-port=69 action=drop \ comment="Deny TFTP"
add chain=tcp protocol=tcp dst-port=111 action=drop \ comment="Deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=135 action=drop \ comment="Deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=137-139 action=drop \ comment="Deny NBT"
add chain=tcp protocol=tcp dst-port=445 action=drop \ comment="Deny cifs"
add chain=tcp protocol=tcp dst-port=2049 action=drop comment="Deny NFS"
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="Deny NetBus"
add chain=tcp protocol=tcp dst-port=20034 action=drop comment="Deny NetBus"
add chain=tcp protocol=tcp dst-port=3133 action=drop comment="Deny BackOriffice"

*** Create UDP chain and deny some UDP ports in it (revise port numbers as needed):

add chain=udp protocol=udp dst-port=69 action=drop comment="Deny TFTP"
add chain=udp protocol=udp dst-port=111 action=drop comment="Deny PRC portmapper"
add chain=udp protocol=udp dst-port=135 action=drop comment="Deny PRC portmapper"
add chain=udp protocol=udp dst-port=137-139 action=drop comment="Deny NBT"
add chain=udp protocol=udp dst-port=2049 action=drop comment="Deny NFS"
add chain=udp protocol=udp dst-port=3133 action=drop comment="Deny BackOriffice"

IPv6 firewall:
*** Create IPv6 firewall filters

/ipv6 firewall filter
add action=accept chain=input comment="Router - Allow IPv6 ICMP" disabled=no protocol=icmpv6
add action=accept chain=input comment="Router - Accept established connections" connection-state=established disabled=no
add action=accept chain=input comment="Router - Accept related connections" connection-state=related disabled=no
add action=drop chain=input comment="Router - Drop invalid connections" connection-state=invalid disabled=no
add action=accept chain=input comment="Router- UDP" disabled=no protocol=udp
add action=accept chain=input comment="Router - From our LAN" disabled=no in-interface=bridge1
add action=drop chain=input comment="Router - Drop other traffic" disabled=no
add action=drop chain=forward comment="LAN - Drop invalid Connections" connection-state=invalid disabled=no
add action=accept chain=forward comment="LAN - Accept UDP" disabled=no protocol=udp
add action=accept chain=forward comment="LAN - Accept ICMPv6" disabled=no protocol=icmpv6
add action=accept chain=forward comment="LAN - Accept established Connections" connection-state=established disabled=no
add action=accept chain=forward comment="LAN - Accept related connections" connection-state=related disabled=no
add action=accept chain=forward comment="LAN - Internal traffic" disabled=no in-interface=bridge1
add action=reject chain=forward comment="LAN - Drop everything else" connection-state=new disabled=no in-interface=pppoe-out1 reject-with=icmp-no-route

Nikiforos

11-03-15, 22:01

Καλησπέρα, συνεχιζω απο το θεμα αυτο http://www.adslgr.com/forum/threads/821468-%CE%95%CE%B4%CF%8E-%CE%BC%CE%B9%CE%BB%CE%AC%CE%BC%CE%B5-%CE%B3%CE%B9%CE%B1-Mikrotik-RouterBoard/page76 εδω μιας και μιλαμε για firewall , τελικα με τους κανονες του airbus νομιζω κατι καναμε, σημερα εχει μετρησεις πολλες και στα logs βλεπω νεες ips port scanners! το router οσο ειμαι εδω δεν ειδα να κολλησει παντω ουτε στα στατιστικα δειχνει κατι τετοιο.
Επισης εβαλα και τους αλλους κανονες οπως στο tutorial για το firewall γιατι ειχα πολυ λιγους.
Τωρα διαμορφωθηκαν οπως παρακατω οσον αφορα το ipv4.
Σε αυτον τον κανονα στο τελος τι subnet πρεπει να δηλωσουμε? αυτο στο παραδειγμα τι ειναι?

*** Router protection :
Κώδικας:
add chain=input connection-state=invalid action=drop \ comment="Drop Invalid connections"
add chain=input connection-state=established action=accept \ comment="Allow Established connections"
add chain=input src-address=192.168.5.0/24 action=accept \ in-interface=pppoe-out1

/ip firewall filter
add chain=input comment=OPENVPN dst-port=1722 protocol=tcp
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=\
fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=\
!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="dropping port scanners" src-address-list="port scanners"
add action=drop chain=input dst-port=53 in-interface=all-ppp protocol=udp
add action=drop chain=input dst-port=53 in-interface=all-ppp protocol=tcp
add chain=icmp comment="Echo reply" icmp-options=0:0 protocol=icmp
add chain=icmp comment="Net unreachable" icmp-options=3:0 protocol=icmp
add chain=icmp comment="Host unreachable" icmp-options=3:1 protocol=icmp
add chain=icmp comment="Allow source quench" icmp-options=4:0 protocol=icmp
add chain=icmp comment="Allow echo request" icmp-options=8:0 protocol=icmp
add chain=icmp comment="Allow time exceed" icmp-options=11:0 protocol=icmp
add chain=icmp comment="Allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="Deny all other types"
add action=drop chain=input comment="Disable ICMP ping" in-interface=pppoe-out1 protocol=icmp
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " in-interface=pppoe-out1 protocol=tcp \
psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=\
fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=\
!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Dropping port scanners" src-address-list="port scanners"
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid
add chain=input comment="Allow Established connections" connection-state=established
add chain=input in-interface=pppoe-out1 src-address=192.168.5.0/24
add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid
add chain=forward comment="Allow already established connections" connection-state=established
add chain=forward comment="Allow related connections" connection-state=related
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=169.254.0.0/16
add action=drop chain=forward dst-address=169.254.0.0/16
add action=drop chain=forward src-address=172.16.0.0/12
add action=drop chain=forward dst-address=172.16.0.0/12
add action=drop chain=forward src-address=192.0.0.0/24
add action=drop chain=forward dst-address=192.0.0.0/24
add action=drop chain=forward src-address=192.0.2.0/24
add action=drop chain=forward dst-address=192.0.2.0/24
add action=drop chain=forward src-address=198.18.0.0/15
add action=drop chain=forward dst-address=198.18.0.0/15
add action=drop chain=forward src-address=198.51.100.0/24
add action=drop chain=forward dst-address=198.51.100.0/24
add action=drop chain=forward src-address=203.0.113.0/24
add action=drop chain=forward dst-address=203.0.113.0/24
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=jump chain=forward comment="Make jumps to new chains" in-interface=pppoe-out1 jump-target=tcp protocol=tcp
add action=jump chain=forward in-interface=pppoe-out1 jump-target=udp protocol=udp
add action=jump chain=forward in-interface=pppoe-out1 jump-target=icmp protocol=icmp
add action=drop chain=tcp comment="Deny TFTP" dst-port=69 protocol=tcp
add action=drop chain=tcp comment="Deny RPC portmapper" dst-port=111 protocol=tcp
add action=drop chain=tcp comment="Deny RPC portmapper" dst-port=135 protocol=tcp
add action=drop chain=tcp comment="Deny NBT" dst-port=137-139 protocol=tcp
add action=drop chain=tcp comment="Deny cifs" dst-port=445 protocol=tcp
add action=drop chain=tcp comment="Deny NFS" dst-port=2049 protocol=tcp
add action=drop chain=tcp comment="Deny NetBus" dst-port=12345-12346 protocol=tcp
add action=drop chain=tcp comment="Deny NetBus" dst-port=20034 protocol=tcp
add action=drop chain=tcp comment="Deny BackOriffice" dst-port=3133 protocol=tcp
add action=drop chain=udp comment="Deny TFTP" dst-port=69 protocol=udp
add action=drop chain=udp comment="Deny PRC portmapper" dst-port=111 protocol=udp
add action=drop chain=udp comment="Deny PRC portmapper" dst-port=135 protocol=udp
add action=drop chain=udp comment="Deny NBT" dst-port=137-139 protocol=udp
add action=drop chain=udp comment="Deny NFS" dst-port=2049 protocol=udp
add action=drop chain=udp comment="Deny BackOriffice" dst-port=3133 protocol=udp

deniSun

12-03-15, 00:45

Οι δηλώσεις αυτές για το dns δεν βλέπω να εξυπηρετούν σε κάτι.

add action=drop chain=input dst-port=53 in-interface=all-ppp protocol=udp
add action=drop chain=input dst-port=53 in-interface=all-ppp protocol=tcp
Τις έχω δοκιμάσει με το setup που έχω και με κλειστό όλο το fw και με allow dns request αλλά δεν βλέπω να μαζεύει τίποτε από έξω.
Το έχω δοκιμάσει με κενό το in-interface και δεν μαζεύει τίποτε από έξω.
Δοκίμασα και με client από έξω με dns την public ip και δεν δούλευε τίποτε στον client.
Στο MT δεν φαινόταν να φτάνει κανένα πακέτο.
Δοκίμασα και με telnet στην 53 από έξω και πάλι δεν μάζευε τίποτε το ΜΤ.
Μόνο από μέσα (εσωτερικό δίκτυο) κάνει drop.
Οπότε δεν βλέπω τον λόγο ύπαρξης.

Nikiforos

12-03-15, 07:42

deniSun

12-03-15, 10:47

ΚΑλημερα! οκ πες αυτες τις βγαζω, το αλλο που ρωτησα το subnet που αναφερεται εκει τι ειναι? εγω βαζω εκει του εσωτερικου μου δικτυου δλδ? ετσι δεν ειναι?

add chain=input src-address=192.168.5.0/24 action=accept \ in-interface=pppoe-out1

Έτσι όπως είναι γραμμένο σημαίνει ότι θα μπορεί να δέχεται από το pppoe διευθύνσεις του δικτύου 192.168.5.0.
Φυσικά και είναι άχρηστο πλην των περιπτώσεων που έχεις ένα τέτοιο δίκτυο ελεγχόμενο από άκρο σε άκρο.
Γι αυτό και δεν μαζεύει τίποτε.
Διορθώνοντας τους παρακάτω κώδικες θα έγραφα:
*** Router protection:

add chain=input connection-state=established action=accept \ comment="Allow established connections"
add chain=input connection-state=related action=accept \ comment="Allow related connections"
add chain=input connection-state=invalid action=drop \ comment="Drop invalid connections"
*** Customer protection (forward chain - traffic passing through the router):

add chain=forward connection-state=established action=accept \ comment="Allow established connections"
add chain=forward connection-state=related action=accept \ comment="Allow related connections"
add chain=forward connection-state=invalid \ action=drop comment="Drop invalid connections"

- - - Updated - - -

Παρ όλα αυτά εξακολουθεί να μου κάνει εντύπωση γιατί δεν δέχεται remote requests στο DNS από public ip αφού το δηλώνω κανονικά στο DNS.
Ακόμα και με κλειστό όλο το fw δεν βλέπω καν να φτάνουν τα πακέτα στο ρούτερ.
Εννοείται ότι είναι σωστά δηλωμένη η ΙΡ.

Nikiforos

12-03-15, 10:47

ok thanks! τα διόρθωσα, καλά που τα ξέρεις όλα αυτά ρε συ? γιατί εγώ δεν καταλαβαίνω σχεδόν τίποτα? :sorry::cry:

airbus

12-03-15, 12:22

εμενα παντως μαζευει που και που. δεν ειναι κανονας που μαζευει αβερτα, παρα μονο οταν σου κανουν επιθεση. φυσικα πρεπει να μπει και πανω πανω στο Input chain.

152309

Nikiforos

12-03-15, 13:29

Και εμένα έδειχνε καταχωρήσεις σε αυτα και στα logs ειχα παλι port scanners...

deniSun

12-03-15, 16:12

εμενα παντως μαζευει που και που. δεν ειναι κανονας που μαζευει αβερτα, παρα μονο οταν σου κανουν επιθεση. φυσικα πρεπει να μπει και πανω πανω στο Input chain.

152309

Ο κανόνας όπως είναι γραμμένος:

add action=drop chain=input dst-port=53 in-interface=all-ppp protocol=udp
add action=drop chain=input dst-port=53 in-interface=all-ppp protocol=tcp
αποκλείει κάθε αίτημα στην πόρτα 53.
Είτε βάλεις έναν client να κάνει αιτήσεις με nslookup είτε με telnet στην 23 θα έπρεπε να μαζεύει πακέτα.
Με λίγα λόγια... δεν παίζει ρόλο αν σου κάνει κάποιος ένα αίτημα ή μια επίθεση στην 53.
Επίσης... θα έπρεπε οι συγκεκριμένες συνδέσεις να καταγράφονται στα connections.
Σε εμένα τέτοιο πράγμα δεν γίνεται.
Δεν ξέρω από που κόβονται αλλά δεν φτάνουν ποτέ στο ρούτερ για να τα δω.
Αντίθετα αν δηλώσω για input interface το bridge μαζεύει κανονικά.
Προφανώς από κάπου κόβονται πριν καν φτάσουν στο ρούτερ.
Έκανα δοκιμές και με κλειστό το fw αλλά πάλι τίποτε.
Ίσως είναι κάποιο bug του ΜΤ ή κάποιας ρύθμισης που έκανα και μου διαφεύγει αυτή την στιγμή.
Δηλαδή αυτή την στιγμή και να θέλω να δώσω dns έξω από το δίκτυό μου, δεν μπορώ.

airbus

12-03-15, 17:46

εχεις pppoe με bridge το router του παροχου?

deniSun

12-03-15, 19:08

εχεις pppoe με bridge το router του παροχου?

Ναι...

teodor_ch

13-03-15, 23:36

Για το κλασσικό NAT port forward πχ.
WAN 40080 σε LAN 192.168.1.200:80
για να δώ μία IP Camera απο έξω
η εντολή είναι
/ip firewall nat add chain=dstnat protocol=tcp dst-port=40080 \
action=dst-nat to-addresses=192.168.1.200 to-ports=80

σωστά?
προσπαθώ να δώ πόσο δύσκολο είναι το σετάρισμα σε σύγκριση με ένα απλό modem/router

το διάβασα απο εδώ
http://wiki.mikrotik.com/wiki/Forwarding_a_port_to_an_internal_IP

Nikiforos

14-03-15, 08:34

Καλημέρα! εδώ το δείχνει πολύ εύκολα και κατανοητό μέσω γραφικού και winbox :
http://www.icafemenu.com/how-to-port-forward-in-mikrotik-router.htm και http://wiki.mikrotik.com/wiki/NAT_Tutorial
έχω ανοίξει έτσι πόρτες και για ip camera και για cctv dvr και φυσικά VPN και τα σχετικά.
για όσους προτιμάνε κονσόλα : http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
και σε βιντεακι :

https://www.youtube.com/watch?v=vbpUqvblXmA

deniSun

14-03-15, 10:23

Nikiforos

14-03-15, 13:05

Έτσι όπως το έχεις θα σου κάνει nat σε όλες τις ether.
Καλό είναι να το προσδιορίσεις στο in. interface πχ για την ether1.

γιατί όμως και στο wiki δεν αναφέρει θύρες? http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
πχ εκεί που λέει basic examples.

deniSun

14-03-15, 19:07

γιατί όμως και στο wiki δεν αναφέρει θύρες? http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
πχ εκεί που λέει basic examples.

Τα παραδείγματα είναι συνήθως γενικά.
Δεν μπορείς να πιάσεις όλες τις περιπτώσεις που θα χρησιμοποιήσει κάποιος ένα ΜΤ.
Δεν είναι λάθος αλλά καλό είναι να το κάνεις όσο πιο συγκεκριμένο γίνεται ώστε να μην γίνονται conflict.

teodor_ch

14-03-15, 19:40

Έτσι όπως το έχεις θα σου κάνει nat σε όλες τις ether.
Καλό είναι να το προσδιορίσεις στο in. interface πχ για την ether1.

Θα έχω
ether1 -> modem
ether2 -> switch
wlan0 -> wireless
και λογικά ένα bridge ether2 & wlan0
Αν τα έχω καταλάβει σωστά.

Απο τη στιγμή που το
to-addresses=192.168.1.200
είναι ένα και μοναδικό στο δίκτυο μου, δεν είναι πλεονασμός το in interface ether1?

Άσε που ΑΝ το καταλαβαίνω σωστά, χωρίς το in interface θα μπορώ να δώ την κάμερα με το ίδιο link που θα χρειαζόμουν απο έξω.
πχ. puplicIP:40080
όχι?

Nikiforos

14-03-15, 20:31

Τα παραδείγματα είναι συνήθως γενικά.
Δεν μπορείς να πιάσεις όλες τις περιπτώσεις που θα χρησιμοποιήσει κάποιος ένα ΜΤ.
Δεν είναι λάθος αλλά καλό είναι να το κάνεις όσο πιο συγκεκριμένο γίνεται ώστε να μην γίνονται conflict.

εχεις δικιο αν εχεις ενα μηχανημα με πολλες θυρες ομως οπως το 951 κτλ, αν εχεις κατι σαν το δικο μου το 711 που εχει μονο μια τοτε δεν χρειαζεται ετσι κι αλλιως.

@ (http://www.adslgr.com/forum/members/3983-teodor_ch) teodor_ch τι RB έχεις εσύ? (http://www.adslgr.com/forum/members/3983-teodor_ch)

teodor_ch

14-03-15, 23:27

deniSun

15-03-15, 00:32

Θα έχω
ether1 -> modem
ether2 -> switch
wlan0 -> wireless
και λογικά ένα bridge ether2 & wlan0
Αν τα έχω καταλάβει σωστά.

Απο τη στιγμή που το
to-addresses=192.168.1.200
είναι ένα και μοναδικό στο δίκτυο μου, δεν είναι πλεονασμός το in interface ether1?

Άσε που ΑΝ το καταλαβαίνω σωστά, χωρίς το in interface θα μπορώ να δώ την κάμερα με το ίδιο link που θα χρειαζόμουν απο έξω.
πχ. puplicIP:40080
όχι?

Εξαρτάται τι θέλεις να κάνεις.
Το port forward το χρησιμοποιούμε για να έχουμε πρόσβαση από έξω προς τα μέσα.
Από μια εσωτερική ΙΡ αν θέλεις να δεις κάποια συσκευή εντός του ίδιου δικτύου, γιατί να χρησιμοποιήσεις την public ip και να χρειάζεσαι port forward;
Δεν υπάρχει λόγος.
Αν ήθελες όμως να κάνεις κάτι τέτοιο τότε ναι θα έπρεπε να το αφήσεις κενό το in interface.

Ακόμα δεν έχω τίποτα.
Ψάχνω modem/router ή router για το σπίτι και εξετάζω την επιλογή του Mikrotik.

Απλά μίλησα και με το άτομο που θα μου τερματίσει τα καλώδια και θα μετρήσει ότι όλα δουλεύουν σωστά και μου είπε ότι με το mikrotik για το άνοιγμα μίας πόρτας θα κάνω πολύ ώρα να το ρυθμίσω και ότι είναι κυρίως για επαγγελματικούς χώρους.

Και έτσι, εξετάζω κάποιες ανάγκες που ήδη έχω, πόσο δύσκολο είναι να υλοποιηθούν στο mikrotik σε σύγκριση με ένα vigor για παράδειγμα.

Προσανατολίζομαι προς το 951.

Φυσικά και είναι πιο εύκολο να κάνεις κλικ πάνω σε γραφικό περιβάλλον που γράφει port forward από το να παίζεις με έννοιες τύπου nat κλπ (το ίδιο πράγμα είναι απλά το γράφουν με πιο κατανοητό τρόπο).
Όπως επίσης είναι ευκολότερο να έχεις upnp από το να μπαίνεις σε μενού και να ανοίγεις πόρτες με το χέρι.
Αυτά όμως δεν σημαίνουν τίποτε.
Για να ανοίξεις πόρτα στο ΜΤ απλά κάνεις τα παρακάτω:

IP > Firewall > NAT > (+)
General
Chain: dstnat
Protocol: tcp
Dst. Port: 59775
In. Interface: ether1
Action
Action: dst-nat
To Address: 192.168.5.33
To Ports: 59775
Τώρα αν θέλει κάποιος περισσότερο από 1 λεπτό για να κάνει το παραπάνω... δεν ξέρω να σου πω.
Αλλά μου φαίνεται μάλλον παράλογο αυτό που σου είπανε.

Nikiforos

15-03-15, 10:59

Ακόμα δεν έχω τίποτα.
Ψάχνω modem/router ή router για το σπίτι και εξετάζω την επιλογή του Mikrotik.
Απλά μίλησα και με το άτομο που θα μου τερματίσει τα καλώδια και θα μετρήσει ότι όλα δουλεύουν σωστά και μου είπε ότι με το mikrotik για το άνοιγμα μίας πόρτας θα κάνω πολύ ώρα να το ρυθμίσω και ότι είναι κυρίως για επαγγελματικούς χώρους.
Και έτσι, εξετάζω κάποιες ανάγκες που ήδη έχω, πόσο δύσκολο είναι να υλοποιηθούν στο mikrotik σε σύγκριση με ένα vigor για παράδειγμα.
Προσανατολίζομαι προς το 951.

Καλημέρα! όπως τα λέει ο deniSun, και να πω και εγώ πως αυτός που στο είπε είναι παράλογος, είναι αρκετά εύκολο, λίγο θα ασχοληθείς και θα μάθεις πως γίνονται, και δεν είναι ανάγκη να τα κάνεις απο κονσόλα, όπως είδες έδειξα και από γραφικό περιβάλλον με το winbox, αλλά έχει και web interface για την διαχείριση του. Επίσης είδα πως είπες modem/router, να ξεκαθαρίσουμε πως δεν είναι modem κανένα από αυτά, πρέπει να βάλεις το adsl router σου σε bridge mode και έτσι το δουλεύεις μόνο σαν modem και για ιντερνετ ρουτερ στο ROS κανεις PPOE CLIENT. Το καλύτερο αλλά και ακριβότερο 951 είναι αυτό http://routerboard.com/RB951G-2HnD το έχω εγώ στο εξοχικό. Εδώ έχω μια πλακέτα το 711 που έτυχε να καει το wireless και προκειμενου να παει χαμενο....και να πω πως κάτι ΜΑΠΕΣ adsl router οπως αυτα που εδινε η wind ποιο πολυ με πεδευαν με το ανοιγμα στις πορτες!!!!!

teodor_ch

15-03-15, 12:59

Από μια εσωτερική ΙΡ αν θέλεις να δεις κάποια συσκευή εντός του ίδιου δικτύου, γιατί να χρησιμοποιήσεις την public ip και να χρειάζεσαι port forward;
Δεν υπάρχει λόγος.
Αν ήθελες όμως να κάνεις κάτι τέτοιο τότε ναι θα έπρεπε να το αφήσεις κενό το in interface.

Σε κάποια android apps μπαίνει μόνο μία IP και έτσι θα μπορώ να τα βλέπω και απο μέσα και απο έξω με την ίδια.

Τώρα αν θέλει κάποιος περισσότερο από 1 λεπτό για να κάνει το παραπάνω... δεν ξέρω να σου πω.
Αλλά μου φαίνεται μάλλον παράλογο αυτό που σου είπανε.

Ίσα ίσα που χρειάζεται και λιγότερο χρόνο για να φτιάξεις 5-6 κάμερες.

Δε διαφωνώ μαζί σας. Για αυτό ρώτησα για να κρίνω μόνος μου πόσο δύσκολο είναι!

Ρίχνω τη παραγγελία λοιπόν για το RB951G-2HnD

Nikiforos

15-03-15, 13:18

Εγω θα ελεγα για λογους ασγαλειας ειδικα καμερες να μην τις βγαζεις στο ιντερνετ απευθειας, ειναι προτιμοτερο να τις δουλευεις μεσω VPN, ετσι κανω και εγω για το εσωτερικο μου δικτυο και για asterisk. Ετσι δεν χρειαζεται να ανοιγεις και πολλες πορτες, θες μονο αυτη για το VPN. Φανταζομαι μιλας για ip καμερες και οχι DVR CCTV μηχανημα.

teodor_ch

15-03-15, 17:25

deniSun

15-03-15, 19:09

Ναί για IP.

Με το VPN όμως δε χρειάζεται περισσότερο bandwidth για τις κρυπτογραφήσεις?
Δε χάνω κάτι να το δοκιμάσω βέβαια.

Και αν θελήσω στα γρήγορα να τις δώ απο ξένο υπολογιστή δε θα είναι ταλαιπωρία?

Χρειάζεσαι ένα κλικ επιπλέον για να κάνεις το connections με το vpn.
Στην ταχύτητα τα ποσά που χάνεις είναι αμελιταία.

Nikiforos

16-03-15, 01:47

Αναλογα τον τυπο VPN, αν ειναι το απλο δλδ με PPTP απο win μπορεις να συνδεθεις γρηγορα, αν θες openvpn που ειναι ποιο ασφαλες με αρχεια κρυπτογραφησης κτλ εδω θελει παραπανω δουλεια, καθως θελει και εγκατασταση, αλλα και τα αρχεια για καθε πελατη. Παντως απο το να βγαζεις καθε συσκευη που θες να εχει προσβαση στο ιντερνετ, ειναι καλυτερα να το κανεις με VPN, ετσι εχεις το εσωτερικο σου δικτυο στην ουσια οπου και να εισαι και απο φορητες συσκευες, ετσι κανω εγω και για ip cameres και για cctv DVR αλλα και για τον asterisk, ειδικα αυτος αν πεσει θυμα hacking θα σου κανουν και κλησεις και θα σε χρεωνουν (απλα το αναφερω για παραδειγμα εσυ μπορει να μην εχεις asterisk).

deniSun

16-03-15, 09:33

Σε μια τέτοια περίπτωση και εγώ θα το προτιμούσα.
Από θέμα ασφάλειας εννοείται ότι είναι η καλύτερη λύση.
Και μάλιστα με openvpv και όχι με απλό tunnel.

Nikiforos

16-03-15, 10:20

Υπάρχουν και άλλες λύσεις που εχω δοκιμάσει όπως το EoiP tunnel και το GRE αλλά για σύνδεση ROS με ROS μονο και ασφαλεια σχεδον μηδεν....

teodor_ch

16-03-15, 10:29

Χρειάζεσαι ένα κλικ επιπλέον για να κάνεις το connections με το vpn.

Για να συνδεθώ στο VPN μου απο ξένο υπολογιστή είναι τόσο εύκολο?
Κάποιος οδηγός να το κοιτάξω?

Δε πρέπει να φτιάχνω συνδέσεις κλπ?

airbus

16-03-15, 10:58

αμα θες απο κινητο να συνδεθεις με vps πως?

Nikiforos

16-03-15, 13:25

Για σύνδεση από φορητές συσκευες με openvpn ομως υπαρχει εδω οδηγος http://www.adslgr.com/forum/threads/858931-Mikrotik-OpenVPN-Server-%CE%BC%CE%B5-Android-Client με μερικες αλλαγες μπορουμε να συνδεθουμε και απο pc μονο το προγραμμα πελατη αλλαζει δλδ. Για pptp vpn με μια μικρη αναζητηση βρηκα αυτα : https://www.google.gr/#q=mikrotik%20pptp%20vpn%20server%20setup Ας μην λεμε εδω για VPN γιατι ειμαστε σε άσχετο θεμα.

teodor_ch

16-03-15, 13:37

Ψάχνω τον εύκολο (με ένα κλικ παραπάνω) τρόπο για να μπώ στο VPN απο το desktop/laptop ενός φίλου για παράδειγμα.
Το οποίο δε γίνεται.?

airbus

16-03-15, 13:59

και εγω που μπαινω απο iphone προτιμω με ενα κλικ να μπαινω με το microsoft rdp

Nikiforos

16-03-15, 15:56

Ψάχνω τον εύκολο (με ένα κλικ παραπάνω) τρόπο για να μπώ στο VPN απο το desktop/laptop ενός φίλου για παράδειγμα.
Το οποίο δε γίνεται.?

γινεται να γραφουμε στο θεμα του vpn καλυτερα?
φυσικα και γινεται αυτο που λες μονο ενα κλικ κανεις και γραφεις το Pass....ετσι μπαινω απο την δουλεια μου με vpn pptp.
Δεν εχουμε κανει ακομα θεμα ομως για αυτο το vpn, το ειχα αναφερει καποια στιγμη στο γενικο θεμα αλλα αντε βρες το εκει μεσα.

και εγω που μπαινω απο iphone προτιμω με ενα κλικ να μπαινω με το microsoft rdp

φυσικα και γινεται με ενα κλικ! οπως ειπα και παραπανω, και για iphone εχει clients ειναι ποιο ευκολο με pptp vpn και οχι με openvpn που ομως ειναι κατα πολυ ασφαλεστερο. Αυτο το ms πραγμα δεν εχω ιδεα τι ειναι....δεν πολυασχολουμε με win πλεον.

deniSun

16-03-15, 16:14

Ψάχνω τον εύκολο (με ένα κλικ παραπάνω) τρόπο για να μπώ στο VPN απο το desktop/laptop ενός φίλου για παράδειγμα.
Το οποίο δε γίνεται.?
Απλά ακολουθείς τις οδηγίες που έχω για openvpn για android απλά αντί να έχεις για client την εφαρμογή του openvpn για android θα βάλεις την αντίστοιχη openvpn για win ή όποιο άλλο λειτουργικό χρησιμοποιείς.
Η διαδικασία είναι η ίδια.

teodor_ch

16-03-15, 18:42

Τελευταίο ποστ απο μένα για το VPN απλά για τη συνέχεια της κουβέντας.

Λέω ότι αντί για http://homeip:cameraport και admin:pass
Χρειάζεται πολύ περισσότερη δουλειά ΣΥΝ το απο πάνω για να μπώ μέσω VPN
https://community.openvpn.net/openvpn/wiki/Easy_Windows_Guide

1) Δεν είμαι τόσο security freak
2) Θα μπορώ να βλέπω τα login logs αν γίνει καμία στραβή
3) Και να μπεί κάποιος, οι κάμερες κοιτάνε μόνο εξωτερικούς χώρους που έτσι και αλλιώς τους βλέπουν και οι γείτονες!

deniSun

16-03-15, 19:53

Όπως σε βολεύει...

xhaos

16-04-15, 13:52

howTo: geoIP blocking
1ο βήμα: δημιουργούμε το εξής script

/tool fetch url=http://www.iwik.org/ipcountry/mikrotik/GR
/import file-name=GR

Η εντολή μπορεί να αλλάξει κατά το δοκούν, αλλάζοντας το GR στον κωδικό όποιας χώρας θέλουμε.

2ο βήμα: βάζουμε το script στον scheduler να τρέχει κάθε μερικές ημέρες. π.χ. κάθε μήνα. δεν υπάρχει λόγος να τρέχει πιο συχνά.
3ο βήμα: Δημιουργούμε κανόνες οι οποίοι επιτρέπουν κίνηση προς τα service μας μόνο από τα ip ranges των περιοχών που θέλουμε.
π.χ.

add chain=input comment=OpenVPN dst-port=1194 in-interface=pppoe-out1 protocol=tcp src-address-list=GR

όπου για παράδειγμα επιτρέπω τη σύνδεση στο vpn μόνο από τις IP της Ελλάδας. ή σε έναν άλλο κανόνα

add action=tarpit chain=forward comment="Tarpit International" dst-address=10.140.15.5 dst-port=22,80,8001 in-interface=pppoe-out1 log=yes log-prefix="Tarpit hack attempt:" protocol=tcp src-address-list=!GR

που βάζω σε tarpit όποιον είναι από εξωτερικό και πάει να συνδεθεί.

airbus

16-04-15, 16:26

πολυ καλο ευχαριστουμε. μια ερωτηση...γιατι στο τελευταιο κανονα tarpit και οχι drop?
μπορεις να εξηγησεις το τελευταιο κανονα. αφορα συνδεσεις απο το εσωτερικο δικτυο σου προς τα εξω?

xhaos

16-04-15, 22:18

αφορά συνδέσεις προς το server μου. με το tarpit κάνεις fight back. τον αφήνεις να περιμένει πακέτα

Lagman

11-11-15, 03:15

Nikiforos

11-11-15, 07:35

καλημέρα! αν δεν θες ποτέ να μπαινεις μεσω telnet το κλεινεις, αν θες το αφηνεις αλλα μπορεις να δωσεις ενα ευρος ips που θα επιτρεπει, αν εχει 0.0.0.0/0 σημαινει οτι αφηνει την προσβαση απο το ιντερνετ. Εγω πχ μπαινω παντα στα μηχανηματα μου μονο μεσω VPN οποτε εχω δωσει ενα ευρος απο το δικο μου εσωτερικο subnet.
Καλο ειναι να μην βγαζουμε απεξω ουτε και το winbox και οτι ειναι μονο μεσω vpn.
Το ιδιο ισχυει και για αλλες υπηρεσιες πχ SSH κτλ.

deniSun

11-11-15, 15:39

Δοκίμασα το firewall με τις ενημερώσεις του deniSun και μόλις συνδέθηκε με την μια γέμισε το log με απόπειρες σύνδεσης μέσω telnet . Πες telnet και άλλα services τα κλείνεις, δεν χρειάζεται ένας κανόνας να αποκλείει την πρόσβαση winbox από το pppoe client interface ;;

Είχες ανοικτό κάποιο torrent;
Συνήθως από εκεί δέχεσαι επιθέσεις.
Τώρα σχετικά με το telnet και τις άλλες υπηρεσίες...
Το σωστό (και ασφαλές) είναι να επιτρέπεις σύνδεση σε όλα τα services μόνο από το τοπικό σου δίκτυο.
Και αν θέλεις να δουλεύεις και από έξω τότε στήνεις έναν openvpn και δουλεύεις διά μέσου αυτού.

Lagman

16-11-15, 11:18

deniSun

16-11-15, 19:18

Καλημέρα, σήμερα το πρωί για κάποιο λόγο το mikrotik δεν μου έδινε internet, ο pppoe client ήταν connected και στα interface list ο pppoe client είχε μόνο tx κίνηση και καθόλου rx, άνοιξα τα connections στο firewall και είδα source ip την local ip του pppoe client με destination άσχετες ip πχ

pppoe client local ip:123 με destination 192.168.179.1:123 udp protocol
pppoe client local ip:41657 με destination 169.254.169.254:80 tcp protocol

έκανα σύνδεση ξανά με τον pppoe client και δουλεύει κανονικά .

Μπορεί κάποιος να μου πει τι μπορεί να έφταιγε και δεν είχα πρόσβαση στο internet
και δεύτερον τι είναι αυτά τα connection ;

Οι λόγοι που μπορεί να μην έχεις δίκτυο είναι:
1. Να έχει πρόβλημα ο brass και να μην παίρνεις ΙΡ.
2. Να έχει πρόβλημα ο brass και να μην διακινεί περαιτέρω τα πακέτα.
3. Να σου πέσει η γραμμή και να μην πέσει ο pppoe client.
4. Να έχει πρόβλημα η περαιτέρω δρομολόγηση μετά τον brass.

Στην δική σου περίπτωση πιστεύω ότι ισχύει το 1 ή το 2 και λιγότερο κάποιο από τα υπόλοιπα.
Οι ΙΡ που αναφέρεις αντιστοιχούν σε μη πραγματικές διευθύνσεις και δεν πρέπει να σε ανησυχούν.

paull

17-11-15, 09:25

Lagman

17-11-15, 20:10

Οι λόγοι που μπορεί να μην έχεις δίκτυο είναι:
1. Να έχει πρόβλημα ο brass και να μην παίρνεις ΙΡ.
2. Να έχει πρόβλημα ο brass και να μην διακινεί περαιτέρω τα πακέτα.
3. Να σου πέσει η γραμμή και να μην πέσει ο pppoe client.
4. Να έχει πρόβλημα η περαιτέρω δρομολόγηση μετά τον brass.

Στην δική σου περίπτωση πιστεύω ότι ισχύει το 1 ή το 2 και λιγότερο κάποιο από τα υπόλοιπα.
Οι ΙΡ που αναφέρεις αντιστοιχούν σε μη πραγματικές διευθύνσεις και δεν πρέπει να σε ανησυχούν.

Έκανα disable enable τον pppoe client μια χαρά, ανοίγω το pc μετά από κάποιες ώρες δεν είχα πρόσβαση, κάνω ping το mikrotik gateway 951(σαν αυτό που είχες) 900ms και να μην απαντάει... νέκρωσε και ενα hap lite που έχω δε κατάλαβα τι έγινε, βγάζω το pc, φαίνονται απο το Laptop μια χαρά τα Mikrotik... Ανοίγω wireshark βάζω να κάνει capture και αυτό που πρόσεξα ήταν οτι είχα πάρα πολλά πακέτα με source και destination διάφορες mac address protocol της μορφής 0χ6606 0χ6706 0χ6d16 κλπ με info Ethernet II .

Δεν μπορώ να καταλάβω γιατί δεν μπορούσα να δω τα mikrotik .
163723

Δεν φταίει το Mikrotik LagMan, φταίει το άρρωστο μυαλό σου...

deniSun

17-11-15, 22:29

Θα ήθελα να κάνω μιά ερώτηση σχετικά με το firewall. Στον οδηγό για το IPv6 firewall υπάρχει στο τέλος ένας κανόνας για να κάνει drop ο,τιδήποτε φθάνει εκεί. Στο IPv4 firewall δεν είδα να υπάρχει κάποιος ανάλογος κανόνας. Θα πρέπει να τον προσθέσουμε στο IPv4 firewall ή το αφήνουμε όπως είναι στον οδηγό;

Οι πόρτες του ν4 με αυτούς του ν6 είναι διαφορετικές.
Οπότε δεν νομίζω ότι θα πρέπει να προσθέσεις κάτι επιπλέον στο ν4.

- - - Updated - - -

Έκανα disable enable τον pppoe client μια χαρά, ανοίγω το pc μετά από κάποιες ώρες δεν είχα πρόσβαση, κάνω ping το mikrotik gateway 951(σαν αυτό που είχες) 900ms και να μην απαντάει... νέκρωσε και ενα hap lite που έχω δε κατάλαβα τι έγινε, βγάζω το pc, φαίνονται απο το Laptop μια χαρά τα Mikrotik... Ανοίγω wireshark βάζω να κάνει capture και αυτό που πρόσεξα ήταν οτι είχα πάρα πολλά πακέτα με source και destination διάφορες mac address protocol της μορφής 0χ6606 0χ6706 0χ6d16 κλπ με info Ethernet II .

Δεν μπορώ να καταλάβω γιατί δεν μπορούσα να δω τα mikrotik .
163723

Δεν φταίει το Mikrotik LagMan, φταίει το άρρωστο μυαλό σου...

Μήπως παίζει κανένα conflict στο δίκτυό σου;

Lagman

18-11-15, 00:40

Οι πόρτες του ν4 με αυτούς του ν6 είναι διαφορετικές.
Οπότε δεν νομίζω ότι θα πρέπει να προσθέσεις κάτι επιπλέον στο ν4.

- - - Updated - - -

Μήπως παίζει κανένα conflict στο δίκτυό σου;

Το conflict μου ακούγεται λογικό αλλά γίνετε με ένα ip conflict μέσα σε 10 λεπτά το wireshark να έχει καταγράψει 200 διαφορετικές mac address ;;

163741163742

deniSun

18-11-15, 19:11

To ασύρματο το έχεις ανοικτό;