Καλησπέρα,
έχω ένα MikroTik router-άκι που λειτουργεί ως pppoe client και βρίσκεται πίσω από το modem/router του παρόχου που είναι σε bridge mode. Το firewall του MT κάνει drop οποιαδήποτε κίνηση φτάνει στο input chain και δεν προέρχεται από το LAN, εκτός από 2 συγκεκριμένες τυχαίες πόρτες και μάλιστα από συγκεκριμένη source IP.
Οπότε σκέφτηκα ότι με ένα port scan από το Internet δεν θα έβρισκα τπτ ανοιχτό. Η δοκιμή όμως έβγαλε άλλα αποτελέσματα. Βρήκα τις πόρτες 80, 8080, 443 και 5060 ανοιχτές! Όταν κάνω telnet στην 443 βλέπω ότι όντως επιτυγχάνει το connection, ενώ ταυτόχρονα βλέπω στο MT ότι κόβεται το πακέτο. Έπειτα από λίγο πέφτει και το telnet session. Να σημειώσω επίσης ότι στο MT το https service δεν ακούει καν στην 443, αλλά σε άλλη τυχαία πόρτα. Αν κάνω telnet σε οποιαδήποτε άλλη πόρτα απλά αποτυγχάνει το connection.
Μπορεί κάποιος να μου εξηγήσει αυτή την συμπεριφορά; Υποψιάζομαι ότι έχει κάτι να κάνει με τον πάροχο και όχι με το MT.
Ευχαριστώ!
Εμφάνιση 1-8 από 8
-
04-05-20, 00:29 MT Open Ports from the Internet #1
Τελευταία επεξεργασία από το μέλος mais : 04-05-20 στις 00:46.
-
04-05-20, 08:17 Re: MT Open Ports from the Internet #2
Ανέβασε το fw filter να δούμε τι έχεις.
Με το telnet απαντάει στο ΜΤ;
Στα services δεν έχεις περιορισμό με βάση τις ΙΡ;| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
04-05-20, 08:33 Απάντηση: MT Open Ports from the Internet #3
Εδώ είναι τα filter rules. Επίσης έκανα ακόμη μία δοκιμή, έβγαλα μία από τις πόρτες του MT από το bridge (το οποίο bridge είναι στο LAN interface-list) και την πρόσθεσα στο WAN interface list. Σε αυτήν την πόρτα το port scan έδειξε το MT να μην απαντά σε τπτ.
Τελευταία επεξεργασία από το μέλος mais : 04-05-20 στις 22:31.
-
04-05-20, 08:37 Απάντηση: MT Open Ports from the Internet #4
Το βρήκες από κάπου ή το έφτιαξες μόνος σου;
Δες εδώ (από το τέλος προς την αρχή).
Υπάρχουν πολλές λύσεις, πολύ πιο απλές, πολύ πιο καθαρές.
Διάλεξε ότι σου είναι ευκολότερο και περισσότερο κατανοητό.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
04-05-20, 10:15 Απάντηση: MT Open Ports from the Internet #5
Ευχαριστώ για την απάντηση. Όπου γράφει defconf είναι default rules, τα υπόλοιπα τα έχω φτιάξει εγώ, χωρίς να τα δω από κάπου. Θέλω να πιστεύω ότι είναι optimized τα rules, με χαρά θα δεχτώ συμβουλές για περαιτέρω βελτιστοποίηση. Σκοπός των rules που υπάρχουν ήδη δεν είναι να κοπούν τα port scanners (που όντως καλό είναι να τα κόψω), αλλά να είναι ασφαλές το δίκτυο από έξω προς τα μέσα.
Το θέμα είναι γιατί δείχνουν τα παραπάνω ports σαν να είναι ανοιχτά. Βάσει των rules είναι ότι, ή καταλαβαίνω κάτι λάθος όσον αφορά το MT, ή κάνει κάτι ο πάροχος. Μετά την τελευταία δοκιμή τείνω προς το ότι κάτι κάνει ο πάροχος και φαίνονται τα ports ανοιχτά.
Σε telnet (port 23) δεν απαντάει απέξω το MT και στα services δεν έχω κάποιον IP-based περιορισμό.Τελευταία επεξεργασία από το μέλος mais : 04-05-20 στις 12:34.
-
04-05-20, 17:12 Απάντηση: MT Open Ports from the Internet #6
-
04-05-20, 17:54 Απάντηση: MT Open Ports from the Internet #7
Σε ευχαριστώ και πάλι για τις απαντήσεις και το ενδιαφέρον σου. Δεν έχω καταλάβει πώς με βοηθάει το thread που μου προτείνεις. Θεωρείς πως με το παρόν config, δικαίως φαίνονται open οι πόρτες 80, 8080, 443 και 5060; Υπάρχει ο κανόνας:
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN log=yes log-prefix=THREATS
ο οποίος κόβει οτιδήποτε γίνεται initiated απ' έξω (WAN), και δεν έχει επιτραπεί ρητά από κάποιον κανόνα παραπάνω.
Το ζήτημα είναι γιατί φαίνονται οι παραπάνω πόρτες ανοιχτές από το Internet, μήπως κάνει κάτι ο πάροχος;Τελευταία επεξεργασία από το μέλος mais : 04-05-20 στις 17:59.
-
04-05-20, 20:55 Απάντηση: MT Open Ports from the Internet #8
1. Εφόσον δεν θέλεις να έχεις πρόσβαση στο ΜΤ από έξω,
θα πρέπει να περιορίσεις τα ανάλογα services.
πχ αν το δίκτυό σου είναι 192.168.5.Χ (όπως το δικό μου) θα πας ip > services και σε κάθε υπηρεσία θα δηλώσεις available from: 192.168.5.0/24.
Δηλαδή να έχεις πρόσβαση στις υπηρεσίες αυτές μόνο μέσω του εσωτερικού σου δικτύου.
Επίσης μπορείς να κλείσεις (disable) όλες τις υπηρεσίες που δεν χρησιμοποιείς (πλην winbox).
2. Αν εφαρμόσεις το δικό μου fw τότε δεν επιτρέπεις τίποτε να μπει από έξω προς τα μέσα πλην των συνδέσεων που αιτείσαι εσύ.
Στη δική μου υλοποίηση επιτρέπω μόνο να μπει μέσα το openvpn.
Ανάλογα μπορείς να κάνεις δηλώσεις για τις υπηρεσίες που θέλεις.
Διαφορετικά την απενεργοποιείς.
Η υλοποίηση είναι εδώ.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
Bookmarks