Όπως είπα... με dns δεν θα βγάλεις άκρη.
Πολύ απλά γιατί κάποια στιγμή μπορεί να βγούνε με ν6 και θα πάψει να δουλεύει.
Αυτό που μπορείς να κάνεις είναι να στείλεις όλο το traffic του πρωτοκόλλου που χρησιμοποιούν εκεί που θέλεις.
Αν δεν κάνω λάθος τα stream παίζουν με rtp.
Εμφάνιση 1.486-1.500 από 2112
-
11-01-20, 00:24 Απάντηση: Mikrotik IPv4/IPv6 firewall #1486
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
11-01-20, 07:39 Απάντηση: Mikrotik IPv4/IPv6 firewall #1487See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)
-
14-01-20, 10:46 Απάντηση: Mikrotik IPv4/IPv6 firewall #1488
Καλημέρα.
Βλέπω στο log αρκετές ip να έρχονται απο Mac Cisco συσκευής και συγκεκριμενα
Jan/14/2020 05:28:20 firewall,info input: in : pppoe-out out : (unknown 0), src-mac 08:96:ad:42:fb:1e, proto UDP, 77.247.110.69:5061->87.202.ΧΧΧ.ΧΧΧ:51340, len 441
Είναι παρα πολλές οι ip με την ιδια mac.
Τις κανει Drop βέβαια ο κανόνας Drop input invalid connections ή ο Drop input everything else αλλα μου κανει εντυπωση και ειπα να σας ρωτησω μηπως εχετε καμια ιδεα.
Ευχαριστώ.Τελευταία επεξεργασία από το μέλος BillyVan : 14-01-20 στις 21:33. Αιτία: Διευκρίνιση
-
30-04-20, 19:09 Απάντηση: Mikrotik IPv4/IPv6 firewall #1489
Σκέψεις για το παρακάτω:
Spoiler:
Αρχικά να πω ότι η λογική είναι:
1. Χαμηλότερο cpu load σε σχέση με το τελευταίο μου post.
2. Επιτρέπω όλη την εσωτερική κίνηση να βγαίνει προς τα έξω.
3. Μπλοκάρω τα πάντα από έξω προς τα μέσα πλην όσων θέλω να περάσουν (icmp, openvpn).
Εξηγώ το σκεπτικό:
1. Αρχικά κάνω drop όλα τα Invalid απ όπου και αν προέρχονται για να μην με ζαλίζουν.
2. Κάνω accept όλη την κίνηση από το εσωτερικό δίκτυο.
Στην ουσία ο μόνος λόγος που το κάνω είναι για να κρατήσω εκεί όλη την !pppoe ώστε να μην κουβαλάω στους παρακάτω κανόνες το pppoe.
3. Όλη η παρακάτω κίνηση αναφέρεται σε κίνηση από pppoe προς το lan.
4. Ξεκινάω με μπλοκάρισμα σε όλα τα port scanner κλπ για να τα κόψω γρήγορα και να μην απασχολούν τον ρούτερ.
5. Για τον ίδιο λόγο φιλτράρω τα icmp και δέχομαι μόνο τα απαραίτητα.
6. Αφήνω να περάσει η κίνηση για το openvpn αφού πλέον είμαι σίγουρος ότι δεν πρόκειται για port scanner, icmp κλπ.
7. Κάνω accept τα established.
Τα related νομίζω ότι είναι περιττά να τα ελέγξω σε αυτό το σημείο.
8. Οτιδήποτε άλλο πετιέται.
Είναι ελεγμένο και φαίνεται να δουλεύει.
Την άποψή σας...Τελευταία επεξεργασία από το μέλος deniSun : 30-04-20 στις 20:52.
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
30-04-20, 19:54 Re: Απάντηση: Mikrotik IPv4/IPv6 firewall #1490
Να σε καλά για το μοίρασμα !! Θα το δοκιμάσω και εγώ σε ένα router που σηκώνει cpu.
-
30-04-20, 21:37 Απάντηση: Mikrotik IPv4/IPv6 firewall #1491
τον κανόνα αυτό add action=accept chain=input comment="Accept OpenVPN" dst-port=1194 in-interface=pppoe-out1 protocol=tcp για να έχεις πρόσβαση στο vpn.... και αν θέλαμε πχ και το winbox θα κάναμε ακόμα ενα με την 8291 σωστά.
οταν έχουμε κανόνες στο ΝΑΤ για pf.... περνάνε χωρίς να βάλουμε κάτι στο filter σωστά?
- - - Updated - - -
το έβαλα έτσι...
WAN= pppoe-1 & pppoe-2 & pppoe-3 & wan4 (speedbooster)
add action=drop chain=forward dst-address-list=PBX-Voip-Providers out-interface-list=Wan-Voip
add action=drop chain=input comment="Drop input invalid connections" connection-state=invalid
add action=accept chain=input comment="Accept all input from LAN" in-interface-list=!WAN
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop Port scanners" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=accept chain=icmp comment="______Accept echo request" icmp-options=8:0-255 protocol=icmp
add action=drop chain=icmp comment="Drop all other ICMP types"
add action=accept chain=input comment="Accept SSTP" dst-port=45548 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Accept OVPN" dst-port=39547 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Accept input established connections" connection-state=established
add action=drop chain=input comment="Drop input everything else"
/ip firewall nat
add action=dst-nat chain=dstnat log=yes port=43752 protocol=udp to-addresses=192.168.0.12 to-ports=15835 comment= ovpn-nas
add action=dst-nat chain=dstnat log=yes port=27135 protocol=tcp to-addresses=192.168.0.10 to-ports=5060 comment= pbx
-
30-04-20, 22:02 Απάντηση: Mikrotik IPv4/IPv6 firewall #1492
Αν θέλεις και άλλα pf τα προσθέτεις στο σημείο που έχω το openvpn.
Το pf θα πρέπει να γίνει αρχικά σε επίπεδο fw.
Εξαρτάται βέβαια και το πώς το έχεις στημένο (τι αφήνεις να περάσει).
Το forward για το pbx... γιατί;
Δε χρειάζεται.
Το accept για το lan αν το βάλεις εκεί επάνω... στο established δεν θα μαζεύεις τίποτε.
Βάλε το κάτω από το established.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
30-04-20, 22:29 Απάντηση: Mikrotik IPv4/IPv6 firewall #1493
-
30-04-20, 22:41 Απάντηση: Mikrotik IPv4/IPv6 firewall #1494
-
30-04-20, 23:01 Απάντηση: Mikrotik IPv4/IPv6 firewall #1495
οπότε έτσι θα πρέπει να ειναι οκ...
/ip firewall filter
add action=drop chain=input comment="Drop input invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface-list=WAN protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" in-interface-list=WAN protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" in-interface-list=WAN protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" in-interface-list=WAN protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" in-interface-list=WAN protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" in-interface-list=WAN protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Drop port scanners from list" src-address-list="port scanners"
add action=accept chain=icmp comment="______Allow echo request" icmp-options=8:0-255 protocol=icmp
add action=drop chain=icmp comment="Drop all other ICMP types"
add action=drop chain=forward dst-address-list=PBX-Voip-Providers out-interface-list=WAN
add action=accept chain=input comment=SSTP dst-port=32619 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related
add action=accept chain=input comment="Accept all input from LAN" in-interface-list=!WAN
add action=drop chain=input
για το pf δεν θέλει κανόνα στο filter...περνά η κίνηση!!!
/ip firewall nat
add action=dst-nat chain=dstnat log=yes port=43752 protocol=udp to-addresses=192.168.0.12 to-ports=15835 comment= ovpn-nas
add action=dst-nat chain=dstnat log=yes port=27135 protocol=tcp to-addresses=192.168.0.10 to-ports=5060 comment= pbx
-
30-04-20, 23:24 Απάντηση: Mikrotik IPv4/IPv6 firewall #1496
οκ... κατάλαβα τι λες.
Το SSTP το χρησιμοποιείς μόνο για να έχεις πρόσβαση στο εσωτερικό σου δίκτυο ή και για να βγαίνεις από έξω με την wan του ΜΤ;
Επίσης δεν μου είπες τι το χρειάζεσαι το forward για το pbx.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
30-04-20, 23:39 Απάντηση: Mikrotik IPv4/IPv6 firewall #1497
-
01-05-20, 09:30 Απάντηση: Mikrotik IPv4/IPv6 firewall #1498
delete me
-
01-05-20, 09:33 Απάντηση: Mikrotik IPv4/IPv6 firewall #1499
Deni στο φορουμ της ΜΤ το εριξες να σου πουν τη γνωμη τους?
Καποιες γνωμες να πω.......
1) Δε συγκεκριμενοποιεις το allow lan, κανονικα θα επρεπε να του οριζεις τη θυρα του LAN (π.χ. bridge) και οχι να του λες καντε οτι θελετε εκτος απο το pppoe.
2) To drop port scanners, οπως ειπωθηκε απο καποιο μελος σε αλλο thread καλο ειναι για λογους performance μιας και παιρνει μερος πριν το connection tracking, να το περασεις απο το raw καθως και αλλα drops αν εχουμε οπως ports, ddos attack κ.λ.π.
3) Οσο για το established related που δεν εχεις καν στο forward νομιζω οτι ειναι τελειως λαθος και θα επρεπε να μπει και πανω απο το icmp check αλλιως εχεις πολλα πεταμενα πακετα. Δες ενα αρθρο.........
Κώδικας:ESTABLISHED and RELATED are features of "stateful" packet filtering, where filtering does not just depend on a static rule set but also on the context, within which packets are considered. You need ESTABLISHED in order to allow connections to work, and you need RELATED for relevant ICMP messages. Stateful filtering allows to filter more precisely compared to static "stateless" rules. Let's look at ESTABLISHED first. For instance, consider TCP on port 22. The initiator (client) sends a SYN to serverIPaddr:22. The server returns SYN+ACK to the client. Now it's the client's turn to send an ACK. How should the filtering rule on the server look like, such that only the "matching" ACK is accepted? A general stateless rule would look like -A INPUT --proto tcp --port 22 -j ACCEPT which is more liberal than the according stateful rule. The stateless rule allows arbitrary TCP segments, e.g. ACK or FIN without having established a connection first. Port scanners can exploit this kind of behavior for OS fingerprinting. Now let's have a look at RELATED. This is used for ICMP messages, mostly error messages. For instance, if a packet from the server to the client is dropped, then an error message is sent to the server. This error message is "related" to the previously established connection. Without the RELATED rule one would either need to allow incoming error messages in general (without context), or, as is custom for many sites, drop ICMP altogether and wait for timeouts on the transport layer. (Note that this is a bad idea for IPv6; ICMPv6 plays a more important role for IPv6 than ICMP for IP legacy.)
Τελευταία επεξεργασία από το μέλος macro : 01-05-20 στις 11:47.
Άλλα Ντάλλα....
-
01-05-20, 18:53 Απάντηση: Mikrotik IPv4/IPv6 firewall #1500
1. Στο accept all input from lan έχω
add action=accept chain=input comment="Accept all input from LAN" \
in-interface=!pppoe-out1
Οπότε μαζεύει οτιδήποτε από το LAN και όχι από pppoe.
2. Δεν έχω βρει τρόπο να τα περνάω στο raw.
Το ψάχνω...
3. Το forward δεν με ενδιαφέρει.
Το είχα παλιότερα αλλά πλέον δεν με ενδιαφέρει να το ελέγχω.
Στην ουσία ήταν για την εσωτερική κίνηση προς τα έξω.
Θεωρώ ότι έχω έμπιστες συσκευές οπότε δεν με ενδιαφέρουν να ελέγχω τις κινήσεις τους.
Το related στο input χρησιμεύει κυρίως για υπηρεσίες που τυχόν έχεις στο lan (ftp server κλπ).
Εγώ, όπως φαίνεται στο conf που ανέβασα, δεν έχω.
Δοκιμασμένο και αυτό για λόγους σιγουριάς... δεν μαζεύει απολύτως τίποτε (κάτω από το established το είχα).
Πλέον το Accept all input from LAN το έχω σαν δεύτερο κανόνα κάτω από το drop invalid.
Έτσι όλοι οι υπόλοιποι κανόνες δεν χρειάζονται τον έλεγχο το in-interface.
- - - Updated - - -
Κάνοντας δοκιμή με raw:
Spoiler:
Ακολουθώ την εξής λογική:
Δέχομαι τα πάντα από μέσα προς τα έξω.
Κόβω τα πάντα από έξω προς τα μέσα πλην όσων θέλω να περάσου (openvpn)
Συγκεκριμένα:
1. Κάνω drop όλα τα invalid
2. Δέχομαι τα πάντα από το LAN (όπως είπα το έχω μόνο και μόνο για να αποφύγω να σέρνω στο in-interface το pppoe.
Όλα τα υπόλοιπα λοιπόν αφορούν κίνηση pppoe.
3. Ελέγχω icmp.
3.1. Δέχομαι αυτά που θέλω.
3.2. Βάζω σε block list όλα τα υπόλοιπα icmp.
6. Ελέγχω tcp.
6.1. Βάζω σε block list όλα όσα θέλω να κόψω.
7. Εφόσον η src διεύθυνση δεν είναι στην block list από τα παραπάνω... συνεχίζω στο rest, όπου όλη η κίνηση είναι ¨"καθαρή".
7.1. Αφήνω να περάσει το openvpn.
7.2. Αφήνω όλα τα established.
8. Κάνω drop όλα τα υπόλοιπα.
- Στο raw κάνω drop όλες τις διευθύνσεις που ανήκουν στην block list.
- Τα jmp υπάρχουν γιατί μετά το add-src-to-address-list συνεχίζει να ελέγχει και τους παρακάτω κανόνες.
Δεν είναι όπως το drop όπου σταματάει σε εκείνο το σημείο.
- Για τον παραπάνω λόγο υπάρχει και το τελευταίο drop ώστε το πρώτο πακέτο που θα μπει στην block list από κάποιον κανόνα να πεταχτεί.
Αυτό θα γίνει την πρώτη μόνο φορά.
Μετά θα κόβεται στο raw.
- To τελευταίο drop μαζεύει και οτιδήποτε άλλο δεν θέλουμε να προχωρήσει παρακάτω αλλά ταυτόχρονα δεν θέλουμε να γίνει και block η ΙΡ.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
Παρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks