Mikrotik IPv4/IPv6 firewall

[macro]

Αυτο τωρα δουλευει? Το προηγουμενο παντως δε δουλευε σιγουρα. Τα επαιρνε ολα και τα εβαζε στο drop..........


Μιας και εχουμε διαβασει το ιδιο post στο ΜΤ forums........... το blackhole λενε οτι ειναι καλυτερο και απο το RAW. Το δοκιμασες?

[jkarabas]

Με 2ο το drop μαζεύει και τα βάζει στο address list. Έτσι το δουλεύω τώρα.
Το blackhole όχι ακόμη.

- - - Updated - - -

Μόλις έφτιαξα και το blackhole με mangle mark και ip route

Κώδικας:

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=ddosed new-routing-mark=ddoser-route-mark passthrough=no src-address-list=ddoser

/ip route
add distance=1 routing-mark=ddoser-route-mark type=blackhole

Έβαλα και το drop σαν τελευταίο κανόνα. Μια χαρά το βλέπω.

[macro]

To κανονα απο το RAW το εχεις disable ομως ετσι? Τις καταχωρησεις των ip's που πιανει το blackhole που τις βλεπεις και τις σβηνεις? Τι εννοεις για τον drop οτι τον εβαλες τελευταιο? Εχεις και τα 2?

Αν εβαλες και τα 2 δεν εννoουσα αυτο. Μονο το Blackhole.

[jkarabas]

Κάτσε να τα πάρουμε με τη σειρά.
Εδώ μου είπες γιατί δεν έχω το drop τελευταίο σαν κανόνα σωστά?
Σου απάντησα ότι όλοι το έχουν δηλωμένο σαν 2ο κατά σειρά κανόνα και δούλευε.
Τελικά τώρα τον δοκιμάζω και σαν τελευταίο κανόνα.
Με το blackhole εννοούσες μόνο αυτόν? Γιατί έχω και τις δηλώσεις στο RAW και το blackhole.

Disable τον κανόνα drop αυτό εννοείς?

[macro]

Ναι να τα βρουμε λιγο.

Οσων αφορα το raw το drop το εβαλες τελευταιο? Οσων αφορα το blackhole αυτο υποτιθεται αντικαθιστα το ddos protection. Εννοουσα οτι αν βαλεις το blackhole, κανεις disable το ddos στο raw, ολους τους κανονες.

[jkarabas]

Ναι να τα βρουμε λιγο.

Οσων αφορα το raw το drop το εβαλες τελευταιο? Οσων αφορα το blackhole αυτο υποτιθεται αντικαθιστα το ddos protection. Εννουσα οτι αν βαλεις το blackhole, κανεις disable το ddos στο raw, ολους τους κανονες.

Ναι όσο αφορά το drop το έβαλα τελευταίο, αν και όπως σου είπα στο forum κανείς δεν το έχει τελευταίο.

Πάμε τώρα στο blackhole.
Βάλαμε επιπλέον τις 2 εντολές. Δεν αναφέρει πουθενά ότι αντικαθιστά το RAW, έτσι υποθέτω.

Ο τύπος γράφει:
Is it good idea to have following rules in addition to action=drop ?

Και παρακάτω:
When add these new rules , packets don't go to firewall filters and the drop rule does not count anymore . But i want to know which one is better ?

Τελοσπάντων εάν εννοεί ή το ένα ή το άλλο θα κάνω disable όλους του κανόνες απο το RAW και θα αφήσω μόνο το blackhole και θα το τσεκάρω.

[macro]

Κατι αλλο...... με το drop στο τελος σου κανει τπτ drop?

Και μολις εχεις καποιο νεο απο το blackhole ενημερωσε εδω. Θα το δω και εγω απο αυριο...........

[jkarabas]

Κατι αλλο...... με το drop στο τελος σου κανει τπτ drop?

Ναι κάνει drop.
Εγώ θα συμφωνήσω μαζί σου, η λογική λέει ότι το drop μπαίνει τελευταίο. Έτσι ξέρουμε.
Πάντως είτε 2ο το βάλω είτε τελευταίο μαζεύει και στις 2 περιπτώσεις.
Το αφήνω πλέον στο τέλος.

- - - Updated - - -

Και μολις εχεις καποιο νεο απο το blackhole ενημερωσε εδω. Θα το δω και εγω απο αυριο...........

Εννοείται, αυτή τη στιγμή έχω κάνει disable όλους του κανόνες από το RAW και έχω αφήσω το blackhole.
Μέχρι στιγμής δεν βλέπω κίνηση στο magle και φυσικά άδεια τα address list.
Θα ενημερώσω και αργότερα.

- - - Updated - - -

Ύστερα από αρκετή ώρα δοκιμών.

Δεν παίζει καθόλου με τις 2 εντολές που αφορά το blackhole με disable τους κανόνες στο RAW.

Πρέπει οι κανόνες να είναι enable στο RAW για να δουλέψει.

Επίσης διαπίστωσα ότι μπλοκάρει την πρόσβαση σε συγκεκριμένες ιστοσελίδες, τη στιγμή που θα βάλει την Ip στη λίστα.

Κάποιες φορές μου βάζει και την local ip απο το pc μου στο ddoser στη λίστα.

Δεν βλέπω γενικότερα σωστή συμπεριφορά.

Αυτά μέχρι τώρα.

[deniSun]

Το δοκίμασα και δουλεύει:

Spoiler:

Κώδικας:

/ip firewall filter
add action=jump chain=input comment="Check all PPP" in-interface=pppoe-out1 \
    jump-target=ppp-in
add action=drop chain=ppp-in comment="Drop invalid connections" \
    connection-state=invalid
add action=accept chain=ppp-in comment="Accept established connections" \
    connection-state=established,related,untracked
add action=accept chain=ppp-in comment="Accept raw ICMP" protocol=icmp
add action=accept chain=ppp-in comment="Accept OpenVPN" dst-port=1194 \
    protocol=tcp
add action=drop chain=ppp-in comment="Drop all others"

/ip firewall raw
add action=jump chain=prerouting comment="Check all PPP" in-interface=\
    pppoe-out1 jump-target=ppp-in src-address-list=!BlockedAddress
add action=jump chain=ppp-in comment="Check ICMP" jump-target=icmp limit=\
    1k,100:packet protocol=icmp
add action=accept chain=icmp comment="______Accept  echo reply (no code)" \
    icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment=\
    "______Accept  destination (net) unreachable" icmp-options=3:0 protocol=\
    icmp
add action=accept chain=icmp comment=\
    "______Accept  destination (host) unreachable" icmp-options=3:1 protocol=\
    icmp
add action=accept chain=icmp comment=\
    "______Accept  destination (fragmentation required) unreachable " \
    icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="______Accept  source quench (no code)" \
    icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="______Accept  echo request" \
    icmp-options=8:0-255 protocol=icmp
add action=accept chain=icmp comment="______Accept  time (limit) exceed" \
    icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment=\
    "______Accept  parameter (header) problem" icmp-options=12:0 protocol=\
    icmp
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=icmp comment="______Block all others icmp"
add action=jump chain=ppp-in comment="Check TCP" jump-target=tcp protocol=tcp
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block port scan" \
    protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment=\
    "______Block NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
    fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block SYN/FIN scan" \
    protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block SYN/RST scan" \
    protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block FIN/PSH/URG scan" \
    protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block ALL/ALL scan" \
    protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block NMAP NULL scan" \
    protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=ppp-in comment="Drop BlockedAddress" src-address-list=\
    BlockedAddress

[macro]

Τα εχω μεταφερει και εγω ολα στο raw, μολις τελειωσω θα ποσταρω το πληρες firewall που εχω.



Εδω για να κανετε τα τεστ σας........ μη ξεχνατε να κανετε delete το address list απο το πρωτο τεστ (port scanner) για να μπορει να συνεχισει στο δευτερο (ddos attack) αλλιως κανει ban την ip τους. Εμενα για να μου συνεχισει εκανα disable και το drop απο το port scanning μολις ειδα οτι πιανει τα πακετα.

http://www.shieldtest.com/

[jkarabas]

Έτσι όπως πάει τελικά όλοι στο RAW θα τα μεταφέρουμε.

Τα μεταφέρω και εγώ σιγά-σιγά

Port scan και για android εύκολο και γρήγορο.

- - - Updated - - -

Τα εχω μεταφερει και εγω ολα στο raw, μολις τελειωσω θα ποσταρω το πληρες firewall που εχω.



Εδω για να κανετε τα τεστ σας........ μη ξεχνατε να κανετε delete το address list απο το πρωτο τεστ (port scanner) για να μπορει να συνεχισει στο δευτερο (ddos attack) αλλιως κανει ban την ip τους. Εμενα για να μου συνεχισει εκανα disable και το drop απο το port scanning μολις ειδα οτι πιανει τα πακετα.

http://www.shieldtest.com/

Στο ddos attack to test τι σου έβγαλε?

[macro]

Έτσι όπως πάει τελικά όλοι στο RAW θα τα μεταφέρουμε.

Τα μεταφέρω και εγώ σιγά-σιγά

Port scan και για android εύκολο και γρήγορο.

- - - Updated - - -



Στο ddos attack to test τι σου έβγαλε?

Το περασα, με το drop κανονα δευτερο. Εσυ? Port scanners εχει και online για να μη κατεβαζετε ασκοπα.

Και εδω εχω και το δικο μου firewall........

Κώδικας:

/ip firewall filter
add action=accept chain=input comment="Accept Input Established Related" connection-state=established,related
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid
add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge
add action=drop chain=input comment="Drop everything else Input"
add action=accept chain=forward comment="Accept forward Established Related" connection-state=established,related
add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge
add action=drop chain=forward comment="Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat

Κώδικας:

/ip firewall raw
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______Add Port scanners to list" protocol=tcp psd=21,3s,3,1 time=0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______NMAP NULL scan" protocol=tcp psd=21,3s,3,1 tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=prerouting comment="______Drop Port scanners from list" src-address-list="Port Scanners"
add action=jump chain=prerouting comment=______ddos_Protection jump-target=block-ddos protocol=tcp tcp-flags=syn
add action=drop chain=prerouting dst-address-list=ddosed src-address-list=ddoser
add action=return chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m chain=block-ddos
add action=add-src-to-address-list address-list=ddoser address-list-timeout=10m chain=block-ddos
add action=jump chain=prerouting comment="______Make jumps to ICMP chains" jump-target=icmp protocol=icmp
add action=accept chain=icmp comment="______Echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="______Net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="______Host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="______Host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="______Allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="______Allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="______Allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="______Allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="______Deny all other ICMP types"
add action=drop chain=prerouting comment="______Blocked Ports TCP" port=0,20,21,22,23,67-69,161-162,135-139,444-445,1080,1900 protocol=tcp
add action=drop chain=prerouting comment="______Blocked Ports UDP" port=0,20,21,22,23,161-162,135-139,444-445,1080,1900 protocol=udp

To firewall ειναι γενικο και μπορει να το βαλει οποιοσδηποτε, θελει μονο μια προσοχη στους 2 τελευταιους κανονες στο RAW που εκτος απο καποια security malware ports κλεινω και ολες τις υπηρεσιες, οποτε οποιος χρησιμοποιει καποιο απο τα ftp, telnet, ssh καλο ειναι να βγαλει τη πορτα απο τη λιστα.

[zark]

/ip firewall raw
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______Add Port scanners to list" protocol=tcp psd=21,3s,3,1 time=0s-1d,sun,mon,tue,wed,thu,fri,sat

Με αυτά τα Thresholds (που δεν αλλάζουν στο RAW) δεν έχεις θέμα με τα DNS requests? Δοκίμασες να κάνεις πολλά μαζεμένα? (καλό είναι να καθαρίσεις την DNS cache σου αν έχεις)

[macro]

Kανενα θεμα ποτε. Ουτως ή αλλως το ρουτερ γινεται καθημερινα ρεσταρτ καθε πρωι με schedule task. Ασε που γενικως δε μαζευω και πολλα απο attacks.

Kαι μια χαρα αλλαζουν τα threshold και στο RAW. Μηπως εννοεις οτι και να αλλαζουν απλα δε παιζει η ρυθμιση?

[jkarabas]

Το περασα, με το drop κανονα δευτερο. Εσυ? Port scanners εχει και online για να μη κατεβαζετε ασκοπα.

Και εδω εχω και το δικο μου firewall........

Κώδικας:

/ip firewall filter
add action=accept chain=input comment="Accept Input Established Related" connection-state=established,related
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid
add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge
add action=drop chain=input comment="Drop everything else Input"
add action=accept chain=forward comment="Accept forward Established Related" connection-state=established,related
add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge
add action=drop chain=forward comment="Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat

Κώδικας:

/ip firewall raw
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______Add Port scanners to list" protocol=tcp psd=21,3s,3,1 time=0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______NMAP NULL scan" protocol=tcp psd=21,3s,3,1 tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=prerouting comment="______Drop Port scanners from list" src-address-list="Port Scanners"
add action=jump chain=prerouting comment=______ddos_Protection jump-target=block-ddos protocol=tcp tcp-flags=syn
add action=drop chain=prerouting dst-address-list=ddosed src-address-list=ddoser
add action=return chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m chain=block-ddos
add action=add-src-to-address-list address-list=ddoser address-list-timeout=10m chain=block-ddos
add action=jump chain=prerouting comment="______Make jumps to ICMP chains" jump-target=icmp protocol=icmp
add action=accept chain=icmp comment="______Echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="______Net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="______Host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="______Host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="______Allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="______Allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="______Allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="______Allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="______Deny all other ICMP types"
add action=drop chain=prerouting comment="______Blocked Ports TCP" port=0,20,21,22,23,67-69,161-162,135-139,444-445,1080,1900 protocol=tcp
add action=drop chain=prerouting comment="______Blocked Ports UDP" port=0,20,21,22,23,67-69,161-162,135-139,444-445,1080,1900 protocol=udp

To firewall ειναι γενικο και μπορει να το βαλει οποιοσδηποτε, θελει μονο μια προσοχη στους 2 τελευταιους κανονες στο RAW που εκτος απο καποια security malware ports κλεινω και ολες τις υπηρεσιες, οποτε οποιος χρησιμοποιει καποιο απο τα ftp, telnet, ssh καλο ειναι να βγαλει τη πορτα απο τη λιστα.

Μια χαρά το firewall σου!!
Μια παρατήρηση....στους κανόνες:

Κώδικας:

add action=accept chain=input comment="Accept Input Established Related" connection-state=established,related
add action=accept chain=forward comment="Accept forward Established Related" connection-state=established,related

untracked γιατί δεν βάζεις?

Επίσης στο Ddos τσεκάρισες αν έχεις πρόβλημα με σελίδες;