Mikrotik IPv4/IPv6 firewall

[jkarabas]

Οχι δε πρεπει να ειναι το untracked τικαρισμενο εκτος και αν εχεις δηλωσει εσυ στα mangles.

- - - Updated - - -

Deni βαλτα και εσυ ολα στο raw και στο filter ασε μονο τα established, related με τα drop invalid & everything else. Icmp, dhcpv6 client κ.λ.π. δε χρειαζονται να ειναι στο filter.

@teodor_ch δεν εχεις φτιαξει τπτ σε ipv6?

Όχι δεν έχω mangles.

Μπορείς να δώσεις εδώ (copy) ποιους κανόνες εννοείς;

Εννοείς τους παρακάτω κανόνες του Deni να μεταφερθούν στο RAW;

Spoiler:

add action=accept chain=input comment="Input accept raw ICMP" protocol=icmpv6
add action=accept chain=input comment="Input accept DHCPv6 client" dst-port=546 protocol=udp
add action=accept chain=forward comment="Forward accept raw ICMP" protocol=icmpv6
add action=accept chain=forward comment="Forward accept DHCPv6 client" dst-port=546 protocol=udp
add action=drop chain=forward comment="Drop no forward IP" dst-address-list=NoForwardIP out-interface=pppoe-out1
add action=drop chain=forward comment="Forward drop all not from LAN" in-interface=pppoe-out1

[macro]

Ναι με δοκιμες γιατι ισως καποιοι που παιρνουν μερος μετα το connection state να μη δουλευουν και να πρεπει να παραμεινουν στο filter. O Forward drop all not from LAN, ο τελευταιος δλδ........... σιγουρα δε θα δουλευει.

[deniSun]

Deni βαλτα και εσυ ολα στο raw και στο filter ασε μονο τα established, related με τα drop invalid & everything else. Icmp, dhcpv6 client κ.λ.π. δε χρειαζονται να ειναι στο filter.

Δεν γίνεται να μπει μόνο στο raw. Τουλάχιστον όχι στο δικό μου setup.
Εκτός και αν κάτι μου διαφεύγει.
Στο ν4 αν βάλω το icmp μόνο στο raw τότε δεν θα απαντάει ο ρούτερ από έξω σε ping.

Το ίδιο και στο v6 όπου αν δεν βάλω ΚΑΙ στο forward τότε όλα τα v6 test θα βλέπουν ότι το icmp γίνεται filter.
Το μόνο που δεν χρειάζεται είναι το dhcpv6 στο filter forward.

Παρατήρηση.
Έχω σβήσει όλους τους κανόνες των icmp από το raw.
Νομίζω ότι πλέον είναι άχρηστοι.
Για εμένα είναι κατάλοιπο από μια εποχή που έκοβα τα ping στο ρούτερ από έξω.
Είχα δει όμως ότι κάτι τέτοιο μόνο προβλήματα δημιουργούσε.
Οπότε θεωρώ ότι δεν χρειάζεται τόση φασαρία για το ποια icmp θα δέχομαι.

[macro]

Ασε που δε νομιζω να χρειαζεται τοσο συνθετο ipv6 firewall.

[deniSun]

Ασε που δε νομιζω να χρειαζεται τοσο συνθετο ipv6 firewall.

Αυτό με τα πακέτα icmp σου δουλεύει;
Όπως το έχεις φαίνεται ότι περνάνε από το raw αλλά δεν γίνονται από πουθενά δεκτά στο filter.
Οπότε δεν θα πρέπει να απαντάει ο ρούτερ σε Ping γιατί τα ρίχνει το drop που έχεις στο input.

Στο ν6 επίσης.

[macro]

Ενω φαινεται να γραφει το icmp οντως δε κανει ping απ' εξω τη public.

Ενω φαινεται να δουλευει κανονικα στο filter αλλα πανω πανω και στο jump state input. Σε forward παλι δε δουλευει.

[deniSun]

Ενω φαινεται να γραφει το icmp οντως δε κανει ping απ' εξω τη public.

Ενω φαινεται να δουλευει κανονικα στο filter αλλα πανω πανω και στο jump state input. Σε forward παλι δε δουλευει.

Για ν4 δεν χρειάζεται να περάσεις κάτι στο forward στο filter γιατί οι clients είναι πίσω από ΝΑΤ.
Οπότε δεν μπορεί ποτέ να γίνει Ping από έξω προς τα μέσα με διεύθυνση εσωτερικού δικτύου.
Στο input του filter αν δεν κάνεις accept ότι αφήνεις να περάσουν από το raw,
τότε όλα πάνε στο drop που έχεις.

Στο ν6 θα πρέπει να βάλεις κανόνα για τα icmp και στο forward ώστε να δέχονται Ping οι client.
Όπως είπα τα ν6 test θεωρούν απαραίτητα να τα έχεις ανοιχτά τα Ping προς τους client για την σωστή λειτουργία του ν6.

[macro]

Δε διαφωνω αν και η μικροτικ στο documentation το δhλωνει σα forward.

[BillyVan]

Καλή χρονιά!
@macro
1 Για το Ping απ εξω βρήκες λυση?
2 Στο http://www.shieldtest.com/ πως καταφερες και τα πηρες ολα pass? (3 στα 7 παιρνω οτι δοκιμες κι αν εχω κανει ρε γμτ)


υ.γ.
Αν βαλω 1 κανονα το παρακατω παιζει αλλα είναι μια λύση πρόχειρη.
/ip firewall filter
add chain=input comment="Allow all ICMP" protocol=icmp

[deniSun]

Γιατί να φιλτράρεις τα icmp;
Δεν υπάρχει λόγος.

[BillyVan]

Δεν αφηνει το ping να περασει και να απαντησει αν δεν μπει αυτος ο κανονας Deni.

Μηπως εννοεις κατι άλλο;

[deniSun]

Δεν αφηνει το ping να περασει και να απαντησει αν δεν μπει αυτος ο κανονας Deni.

Μηπως εννοεις κατι άλλο;

Στο δικό μου conf δεν φιλτράρω icmp στο raw ούτε στο rules.
Έτσι περνάνε χωρίς πρόβλημα και χωρίς κάποια άλλη δήλωση.
Τα αφήνω να περάσουν στο rules με input.

Παλιότερα τα φίλτραρα και εγώ.
Αλλά δεν υπάρχει λόγος.
Νομίζω είχα παραθέσει και Link από ΜΤ γιατί δεν χρειάζεται να ανησυχούμε πλέον για τα icmp.

[BillyVan]

Ναι στο δικο σου οντως ειναι οπως το λες.

Το εχω στο ac2 και δεν το πειραζω.

Απλα εχω κανει 2 ακομη pppoe με αλλα Μικροτικ απ το σπιτι μου και δοκιμαζω διαφορετικα σεναρια.

Γι αυτο και ρωτησα τον Μακρο.

Μου φαίνεται περίεργο στο δικο του fw ενω το αφηνει να το κοβει μετα το Μικροτικ.

Με την ευκαιρια οποτε εχετε χρόνο βάλτε το fw που εχετε καταλήξει οτι σας δουλευει καλα.

[macro]

Εχω τους κανονες στο raw και τους κανω allow στο filter για να περασει το icmp.

[deniSun]

Ναι στο δικο σου οντως ειναι οπως το λες.

Το εχω στο ac2 και δεν το πειραζω.

Απλα εχω κανει 2 ακομη pppoe με αλλα Μικροτικ απ το σπιτι μου και δοκιμαζω διαφορετικα σεναρια.

Γι αυτο και ρωτησα τον Μακρο.

Μου φαίνεται περίεργο στο δικο του fw ενω το αφηνει να το κοβει μετα το Μικροτικ.

Με την ευκαιρια οποτε εχετε χρόνο βάλτε το fw που εχετε καταλήξει οτι σας δουλευει καλα.

Ότι κόβεις στο raw σταματάνε εκεί και δεν περνάνε πουθενά αλλού.
Ότι δεν κόβεις στο raw σημαίνει ότι αφήνεις και περνάνε παραμέσα.
Τώρα θέλει προσοχή στο rules.
Αν στο input έχεις δηλωμένο drop all others,
ότι περνάνε από το raw και δεν γίνονται allow από το input στο rules
θα κόβονται από το drop all others.
πχ εδώ δηλώνεις αν θέλεις να περάσουν icmp, vpn κλπ.