Εμφάνιση 1-8 από 8
  1. #1
    Εγγραφή
    03-05-2020
    Μηνύματα
    4
    Downloads
    0
    Uploads
    0
    ISP
    Unclassified
    Καλησπέρα,

    έχω ένα MikroTik router-άκι που λειτουργεί ως pppoe client και βρίσκεται πίσω από το modem/router του παρόχου που είναι σε bridge mode. Το firewall του MT κάνει drop οποιαδήποτε κίνηση φτάνει στο input chain και δεν προέρχεται από το LAN, εκτός από 2 συγκεκριμένες τυχαίες πόρτες και μάλιστα από συγκεκριμένη source IP.

    Οπότε σκέφτηκα ότι με ένα port scan από το Internet δεν θα έβρισκα τπτ ανοιχτό. Η δοκιμή όμως έβγαλε άλλα αποτελέσματα. Βρήκα τις πόρτες 80, 8080, 443 και 5060 ανοιχτές! Όταν κάνω telnet στην 443 βλέπω ότι όντως επιτυγχάνει το connection, ενώ ταυτόχρονα βλέπω στο MT ότι κόβεται το πακέτο. Έπειτα από λίγο πέφτει και το telnet session. Να σημειώσω επίσης ότι στο MT το https service δεν ακούει καν στην 443, αλλά σε άλλη τυχαία πόρτα. Αν κάνω telnet σε οποιαδήποτε άλλη πόρτα απλά αποτυγχάνει το connection.

    Μπορεί κάποιος να μου εξηγήσει αυτή την συμπεριφορά; Υποψιάζομαι ότι έχει κάτι να κάνει με τον πάροχο και όχι με το MT.

    Ευχαριστώ!
    Τελευταία επεξεργασία από το μέλος mais : 04-05-20 στις 00:46.

  2. #2
    Εγγραφή
    28-03-2006
    Περιοχή
    KV G434
    Ηλικία
    49
    Μηνύματα
    42.184
    Downloads
    23
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    310/31
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΕΡΜΟΥ
    Router
    RB4011iGS+5 ONT: G-010G-R
    Ανέβασε το fw filter να δούμε τι έχεις.
    Με το telnet απαντάει στο ΜΤ;
    Στα services δεν έχεις περιορισμό με βάση τις ΙΡ;
    | "Anyone can build a fast CPU.
    | The trick is to build a fast system."
    |____________Seymour Cray...

  3. #3
    Εγγραφή
    03-05-2020
    Μηνύματα
    4
    Downloads
    0
    Uploads
    0
    ISP
    Unclassified
    Εδώ είναι τα filter rules. Επίσης έκανα ακόμη μία δοκιμή, έβγαλα μία από τις πόρτες του MT από το bridge (το οποίο bridge είναι στο LAN interface-list) και την πρόσθεσα στο WAN interface list. Σε αυτήν την πόρτα το port scan έδειξε το MT να μην απαντά σε τπτ.
    Τελευταία επεξεργασία από το μέλος mais : 04-05-20 στις 22:31.

  4. #4
    Εγγραφή
    28-03-2006
    Περιοχή
    KV G434
    Ηλικία
    49
    Μηνύματα
    42.184
    Downloads
    23
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    310/31
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΕΡΜΟΥ
    Router
    RB4011iGS+5 ONT: G-010G-R
    Παράθεση Αρχικό μήνυμα από mais Εμφάνιση μηνυμάτων
    Εδώ είναι τα filter rules. Επίσης έκανα ακόμη μία δοκιμή, έβγαλα μία από τις πόρτες του MT από το bridge (το οποίο bridge είναι στο LAN interface-list) και την πρόσθεσα στο WAN interface list. Σε αυτήν την πόρτα το port scan έδειξε το MT να μην απαντά σε τπτ.
    Το βρήκες από κάπου ή το έφτιαξες μόνος σου;
    Δες εδώ (από το τέλος προς την αρχή).
    Υπάρχουν πολλές λύσεις, πολύ πιο απλές, πολύ πιο καθαρές.
    Διάλεξε ότι σου είναι ευκολότερο και περισσότερο κατανοητό.
    | "Anyone can build a fast CPU.
    | The trick is to build a fast system."
    |____________Seymour Cray...

  5. #5
    Εγγραφή
    03-05-2020
    Μηνύματα
    4
    Downloads
    0
    Uploads
    0
    ISP
    Unclassified
    Παράθεση Αρχικό μήνυμα από deniSun Εμφάνιση μηνυμάτων
    Το βρήκες από κάπου ή το έφτιαξες μόνος σου;
    Δες εδώ (από το τέλος προς την αρχή).
    Υπάρχουν πολλές λύσεις, πολύ πιο απλές, πολύ πιο καθαρές.
    Διάλεξε ότι σου είναι ευκολότερο και περισσότερο κατανοητό.
    Ευχαριστώ για την απάντηση. Όπου γράφει defconf είναι default rules, τα υπόλοιπα τα έχω φτιάξει εγώ, χωρίς να τα δω από κάπου. Θέλω να πιστεύω ότι είναι optimized τα rules, με χαρά θα δεχτώ συμβουλές για περαιτέρω βελτιστοποίηση. Σκοπός των rules που υπάρχουν ήδη δεν είναι να κοπούν τα port scanners (που όντως καλό είναι να τα κόψω), αλλά να είναι ασφαλές το δίκτυο από έξω προς τα μέσα.

    Το θέμα είναι γιατί δείχνουν τα παραπάνω ports σαν να είναι ανοιχτά. Βάσει των rules είναι ότι, ή καταλαβαίνω κάτι λάθος όσον αφορά το MT, ή κάνει κάτι ο πάροχος. Μετά την τελευταία δοκιμή τείνω προς το ότι κάτι κάνει ο πάροχος και φαίνονται τα ports ανοιχτά.


    Παράθεση Αρχικό μήνυμα από deniSun Εμφάνιση μηνυμάτων
    Ανέβασε το fw filter να δούμε τι έχεις.
    Με το telnet απαντάει στο ΜΤ;
    Στα services δεν έχεις περιορισμό με βάση τις ΙΡ;
    Σε telnet (port 23) δεν απαντάει απέξω το MT και στα services δεν έχω κάποιον IP-based περιορισμό.
    Τελευταία επεξεργασία από το μέλος mais : 04-05-20 στις 12:34.

  6. #6
    Εγγραφή
    28-03-2006
    Περιοχή
    KV G434
    Ηλικία
    49
    Μηνύματα
    42.184
    Downloads
    23
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    310/31
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΕΡΜΟΥ
    Router
    RB4011iGS+5 ONT: G-010G-R
    Παράθεση Αρχικό μήνυμα από mais Εμφάνιση μηνυμάτων
    Ευχαριστώ για την απάντηση. Όπου γράφει defconf είναι default rules, τα υπόλοιπα τα έχω φτιάξει εγώ, χωρίς να τα δω από κάπου. Θέλω να πιστεύω ότι είναι optimized τα rules, με χαρά θα δεχτώ συμβουλές για περαιτέρω βελτιστοποίηση. Σκοπός των rules που υπάρχουν ήδη δεν είναι να κοπούν τα port scanners (που όντως καλό είναι να τα κόψω), αλλά να είναι ασφαλές το δίκτυο από έξω προς τα μέσα.

    Το θέμα είναι γιατί δείχνουν τα παραπάνω ports σαν να είναι ανοιχτά. Βάσει των rules είναι ότι, ή καταλαβαίνω κάτι λάθος όσον αφορά το MT, ή κάνει κάτι ο πάροχος. Μετά την τελευταία δοκιμή τείνω προς το ότι κάτι κάνει ο πάροχος και φαίνονται τα ports ανοιχτά.




    Σε telnet (port 23) δεν απαντάει απέξω το MT και στα services δεν έχω κάποιον IP-based περιορισμό.
    Αν σε ενδιαφέρει το από έξω προς τα μέσα δες στο παραπάνω νήμα την δική μου τελευταία υλοποίηση.
    | "Anyone can build a fast CPU.
    | The trick is to build a fast system."
    |____________Seymour Cray...

  7. #7
    Εγγραφή
    03-05-2020
    Μηνύματα
    4
    Downloads
    0
    Uploads
    0
    ISP
    Unclassified
    Σε ευχαριστώ και πάλι για τις απαντήσεις και το ενδιαφέρον σου. Δεν έχω καταλάβει πώς με βοηθάει το thread που μου προτείνεις. Θεωρείς πως με το παρόν config, δικαίως φαίνονται open οι πόρτες 80, 8080, 443 και 5060; Υπάρχει ο κανόνας:

    add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN log=yes log-prefix=THREATS

    ο οποίος κόβει οτιδήποτε γίνεται initiated απ' έξω (WAN), και δεν έχει επιτραπεί ρητά από κάποιον κανόνα παραπάνω.

    Το ζήτημα είναι γιατί φαίνονται οι παραπάνω πόρτες ανοιχτές από το Internet, μήπως κάνει κάτι ο πάροχος;
    Τελευταία επεξεργασία από το μέλος mais : 04-05-20 στις 17:59.

  8. #8
    Εγγραφή
    28-03-2006
    Περιοχή
    KV G434
    Ηλικία
    49
    Μηνύματα
    42.184
    Downloads
    23
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    310/31
    ISP
    Cosmote
    DSLAM
    ΟΤΕ - ΕΡΜΟΥ
    Router
    RB4011iGS+5 ONT: G-010G-R
    Παράθεση Αρχικό μήνυμα από mais Εμφάνιση μηνυμάτων
    Σε ευχαριστώ και πάλι για τις απαντήσεις και το ενδιαφέρον σου. Δεν έχω καταλάβει πώς με βοηθάει το thread που μου προτείνεις. Θεωρείς πως με το παρόν config, δικαίως φαίνονται open οι πόρτες 80, 8080, 443 και 5060; Υπάρχει ο κανόνας:

    add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN log=yes log-prefix=THREATS

    ο οποίος κόβει οτιδήποτε γίνεται initiated απ' έξω (WAN), και δεν έχει επιτραπεί ρητά από κάποιον κανόνα παραπάνω.

    Το ζήτημα είναι γιατί φαίνονται οι παραπάνω πόρτες ανοιχτές από το Internet, μήπως κάνει κάτι ο πάροχος;
    1. Εφόσον δεν θέλεις να έχεις πρόσβαση στο ΜΤ από έξω,
    θα πρέπει να περιορίσεις τα ανάλογα services.
    πχ αν το δίκτυό σου είναι 192.168.5.Χ (όπως το δικό μου) θα πας ip > services και σε κάθε υπηρεσία θα δηλώσεις available from: 192.168.5.0/24.
    Δηλαδή να έχεις πρόσβαση στις υπηρεσίες αυτές μόνο μέσω του εσωτερικού σου δικτύου.
    Επίσης μπορείς να κλείσεις (disable) όλες τις υπηρεσίες που δεν χρησιμοποιείς (πλην winbox).
    2. Αν εφαρμόσεις το δικό μου fw τότε δεν επιτρέπεις τίποτε να μπει από έξω προς τα μέσα πλην των συνδέσεων που αιτείσαι εσύ.
    Στη δική μου υλοποίηση επιτρέπω μόνο να μπει μέσα το openvpn.
    Ανάλογα μπορείς να κάνεις δηλώσεις για τις υπηρεσίες που θέλεις.
    Διαφορετικά την απενεργοποιείς.
    Η υλοποίηση είναι εδώ.
    | "Anyone can build a fast CPU.
    | The trick is to build a fast system."
    |____________Seymour Cray...

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας