Πρώτη επαφή με Mikrotik

**K1m0n** · 04-07-18, 20:49

Αρχικό μήνυμα από projectX

ουσιαστικά σε όσες συσκευές/nic σετάρω μεγάλο mtu θα εκμεταλεύονται την μεγάλη ταχύτητα, οι υπόλοιπες συσκευές που δεν υποστηρίζουν jumbo frames θα παίζουν αλλά δεν θα μεταφέρουν με μεγαλύτερη ταχύτητα αρχεία από τον nas σωστά;

προσπαθώ να κατανοήσω το fw, έφτιαξα αυτά μέχρι στιγμής, πως σας φαίνονται τα rules?

Κώδικας:

/ip firewall address-list
add address=192.168.1.0/24 list=support
add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A # Check if you nee\
    d this subnet before enable it" disabled=yes list=bogons
add address=127.0.0.0/8 comment="Loopback [RFC 3330]" list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" list=bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B # Check if you \
    need this subnet before enable it" disabled=yes list=bogons
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C # Check if you\
    \_need this subnet before enable it" disabled=yes list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" list=\
    bogons
add address=198.18.0.0/15 comment="NIDB Testing" list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" list=bogons
add address=224.0.0.0/4 comment=\
    "MC, Class D, IANA # Check if you need this subnet before enable it" \
    disabled=yes list=bogons
/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder \
    address-list-timeout=30m chain=input comment=\
    "Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp \
    tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" \
    src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner \
    address-list-timeout=1w chain=input comment="Port Scanner Detect" \
    protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" \
    src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" jump-target=\
    ICMP protocol=icmp
add action=drop chain=input comment="Block all access to the winbox - except t\
    o support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUP\
    PORT ADDRESS LIST" disabled=yes dst-port=8291 protocol=tcp \
    src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" \
    jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" dst-address-list=\
    bogons
add action=add-src-to-address-list address-list=spammers \
    address-list-timeout=3h chain=forward comment=\
    "Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=\
    25,587 limit=30/1m,0 protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 \
    protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" port=53 protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" port=53 protocol=tcp
add action=accept chain=input comment="Accept to established connections" \
    connection-state=established
add action=accept chain=input comment="Accept to related connections" \
    connection-state=related
add action=accept chain=input comment="Full access to SUPPORT address list" \
    src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS \
    RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED" disabled=yes
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" \
    icmp-options=8:0 limit=1,5 protocol=icmp
add action=accept chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=\
    icmp
add action=accept chain=ICMP comment="Time Exceeded" icmp-options=11:0 \
    protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" icmp-options=\
    3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP \
    protocol=icmp
/ip firewall nat
# no interface
add action=masquerade chain=srcnat out-interface=pppoe-out1

Αυτά έχουν νόημα περισσότερο αν είσαι wisp παρά οικιακός χρήστης.
Κατά την ταπεινή μου άποψη πάντα.
Όχι ότι βλάπτουν οι κανόνες,
θα έλεγα όμως keep-it-simple.
Για οικιακή χρήση, μια καλή αρχή είναι το default firewall του routeros από την 6.40+.
Ξεκίνα από εκεί και βλέπεις.
Το σκεπτικό του firewall δεν γίνεται να εξηγηθεί ικανά σε ένα post.
Δες το wiki της tik και κάνα βιβλίο/άρθρο για firewalling με iptables,
και δες κάνα άρθρο που να εξηγεί NAT, conn. tracking και conn. states.
Δες και τα σχετικά νήματα εδώ στο forum.
Κοίτα και κάνα άρθρο για zone based firewall και τα interface lists του routeros.

Όσον αφορά τα jumbo frames, τζάμπα γράφαμε, διότι απ'ότι βλέπω εδώ,
το 750 μέχρι 2026 πάει.

**projectX** · 05-07-18, 00:27

Αρχικό μήνυμα από K1m0n

Αυτά έχουν νόημα περισσότερο αν είσαι wisp παρά οικιακός χρήστης.
Κατά την ταπεινή μου άποψη πάντα.
Όχι ότι βλάπτουν οι κανόνες,
θα έλεγα όμως keep-it-simple.
Για οικιακή χρήση, μια καλή αρχή είναι το default firewall του routeros από την 6.40+.
Ξεκίνα από εκεί και βλέπεις.
Το σκεπτικό του firewall δεν γίνεται να εξηγηθεί ικανά σε ένα post.
Δες το wiki της tik και κάνα βιβλίο/άρθρο για firewalling με iptables,
και δες κάνα άρθρο που να εξηγεί NAT, conn. tracking και conn. states.
Δες και τα σχετικά νήματα εδώ στο forum.
Κοίτα και κάνα άρθρο για zone based firewall και τα interface lists του routeros.

Όσον αφορά τα jumbo frames, τζάμπα γράφαμε, διότι απ'ότι βλέπω εδώ,
το 750 μέχρι 2026 πάει.

ναι το είδα και εγώ τελικά οτι δεν υποστηρίζει jumbo, κρίμα. Βέβαια για τα λεφτά που το πήρα δεν μπορώ να έχω τόσες απαιτήσεις. Το αγόρασα ποιο πολύ για να δω τι παίζει με τα τικ και να πάρω μια πρώτη γεύση. Απο την άλλη για οικιακή/homelab χρήση που το θέλω νομίζω θα την παλέψει κάνοντας και εγώ κάποιες θυσίες στο περφόρμανς.

Έχεις κάποιον οδηγό/άρθρο να μου προτείνεις ώστε να διαβάσω; Γενικά το πρώτο πράγμα που έκανα μόλις αγόρασα το mt ήταν να διαβάσω το manual, αλλά σε αρκετούς τομείς δεν με καλύπτει εμένα τον άσχετο, χρειάζομαι παραπάνω πληροφορία καθώς θέλω να ξέρω για ποιο λόγο κάνω την κάθε ρύθμιση, τι αντίκτυπο έχει κλπ. Θεωρώ οτι το wiki έχει έναν ποιο techical manual χαρακτήρα και προυποθέτει μια βασική επαφή.

Γενικά διαβάζοντας τα rules που έχω βάλει θεωρώ οτι δεν "κάνουν" κακό, προστατεύουν από διάφορα πραγματάκια, θεωρείς οτι είναι πλεονασμός και να τους σβήσω;

Με τα rules που έβαλα, τα pc στο κάθε υποδίκτυο "βλέπουν" το ένα το άλλο ή πρέπει να προσθέσω κάποιον ξεχωριστό drop κανόνα;

Σε ευχαριστώ πολύ και πάλι για τον χρόνο σου!

**K1m0n** · 05-07-18, 05:52

Αρχικό μήνυμα από projectX

ναι το είδα και εγώ τελικά οτι δεν υποστηρίζει jumbo, κρίμα. Βέβαια για τα λεφτά που το πήρα δεν μπορώ να έχω τόσες απαιτήσεις. Το αγόρασα ποιο πολύ για να δω τι παίζει με τα τικ και να πάρω μια πρώτη γεύση. Απο την άλλη για οικιακή/homelab χρήση που το θέλω νομίζω θα την παλέψει κάνοντας και εγώ κάποιες θυσίες στο περφόρμανς.

Έχεις κάποιον οδηγό/άρθρο να μου προτείνεις ώστε να διαβάσω; Γενικά το πρώτο πράγμα που έκανα μόλις αγόρασα το mt ήταν να διαβάσω το manual, αλλά σε αρκετούς τομείς δεν με καλύπτει εμένα τον άσχετο, χρειάζομαι παραπάνω πληροφορία καθώς θέλω να ξέρω για ποιο λόγο κάνω την κάθε ρύθμιση, τι αντίκτυπο έχει κλπ. Θεωρώ οτι το wiki έχει έναν ποιο techical manual χαρακτήρα και προυποθέτει μια βασική επαφή.

Γενικά διαβάζοντας τα rules που έχω βάλει θεωρώ οτι δεν "κάνουν" κακό, προστατεύουν από διάφορα πραγματάκια, θεωρείς οτι είναι πλεονασμός και να τους σβήσω;

Με τα rules που έβαλα, τα pc στο κάθε υποδίκτυο "βλέπουν" το ένα το άλλο ή πρέπει να προσθέσω κάποιον ξεχωριστό drop κανόνα;

Σε ευχαριστώ πολύ και πάλι για τον χρόνο σου!

Μην με βάζετε να διαβάζω κώδικα στο forum, δεν βοηθάνε τα μάτια..
Απ'ότι βλέπω έχει ουσιαστικά ανοιχτό όλο το forward.
Και δεν βλέπω ipv6.
'Οπως σου είπα, είναι ένα ruleset για wisp, δεν είσαι wisp.
Και πολλά άρθρα είναι outdated ή αντιγράφουν ο ένας το άλλον copy/paste.
Για μπούσουλα δες το default ruleset που φτιάχνει μετά από reset το webfig/quick-set.
Μετά κόβεις-ράβεις αναλόγως αναγκών.
Συνοπτικά σου έγραψα ένα ruleset στο 1ό post.
Τα υπόλοιπα δεν τα χρειάζεσαι.
Και μάθε πώς λειτουργεί το safe mode για να μην κλειδωθείς έξω.

Για οδηγό το wiki της tik και έχει και κάτι pdf από mum, ψάξε στο site τους.
Πχ, δες αυτό.

Οι κανόνες δεν κάνουν 'κακό',
αλλά κάθε πακέτο περνάει όλο το chain μέχρι να κάνει match κάπου.
Όσο λιγότεροι, και όσο πιο νωρίς γίνει το match (χωρίς να σπάει η λογική σειρά) τόσο καλύτερα.

Με τα rules που έβαλες τα subnets βλέπουν αλλήλους (όσο δεν είναι bogons τα ίδια).

**macro** · 05-07-18, 18:45

Εμενα το firewall μου φαινεται υπερβολικο.

Θέμα: Πρώτη επαφή με Mikrotik

Παρόμοια Θέματα

αξίζει η αγορά του Mikrotik hAP mini (RB931-2nd) για πρώτη επαφή με Mikrotik;

αξίζει η αγορά του rb951ui-2nd hap για πρώτη επαφή με Mikrotik;

Nova VDSL με Mikrotik και με θεματάκια

Netfaster iad2 με mikrotik

Σύνδεση Speedport WLAN με MikroTik

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές