Εμφάνιση 2.071-2.085 από 2112
-
05-01-23, 19:00 Απάντηση: Mikrotik IPv4/IPv6 firewall #2071
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
11-01-23, 16:33 Απάντηση: Mikrotik IPv4/IPv6 firewall #2072
-
11-01-23, 18:45 Απάντηση: Mikrotik IPv4/IPv6 firewall #2073
-
26-05-23, 09:53 Απάντηση: Mikrotik IPv4/IPv6 firewall #2074
-
26-05-23, 12:59 Απάντηση: Mikrotik IPv4/IPv6 firewall #2075
Input accept established, related, untracked connections
Input drop invalid connections
... Input accept <οποιαδήποτε υπηρεσία τρέχει στο ΜΤ>
Input drop all not from LAN
Fasttrack accept established, related connections
Forward accept established, related, untracked connections
Forward drop invalid connections
... Forward accept <οποιαδήποτε υπηρεσία τρέχει σε συσκευή στο LAN>
Forward drop all not from LANΤελευταία επεξεργασία από το μέλος deniSun : 26-05-23 στις 13:10.
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
27-05-23, 11:31 Απάντηση: Mikrotik IPv4/IPv6 firewall #2076
Ωραια!
Σε ευχαριστώ.
-
28-05-23, 12:32 Απάντηση: Mikrotik IPv4/IPv6 firewall #2077
Έχω αρκετές κλήσεις κατά περιόδους στο log
με src-mac ac:de:48:03:46:04
και διαφορετικές/άσχετες ΙΡ.
Κώδικας:tcp: in:pppoe-out1 out:(unknown 0), connection-state:invalid src-mac ac:de:48:03:46:04, proto TCP (), 175.41.44.231:52185->94.68.129.90:65179, len 60
Το έβαλα στο raw να το κόβει.
Η ac:de:48:03:46:04 αναφέρεται ως private mac
αλλά δεν την βλέπω να υπάρχει όντως στο private range.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
28-05-23, 12:34 Απάντηση: Mikrotik IPv4/IPv6 firewall #2078
εμένα από:
4a:03:a8:b6:a8:93
το τσεκάρω...LL
__________________________________________________________
εσπρεσοσυζητήσεις https://www.e-spresso.gr/forum
-
28-05-23, 21:58 Απάντηση: Mikrotik IPv4/IPv6 firewall #2079
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
16-12-23, 08:49 Απάντηση: Mikrotik IPv4/IPv6 firewall #2080
Πρέπει να το είχαμε γράψει και παλιότερα.
Στο advanced fw που χρησιμοποιώ με κάποια τροποποίηση από εδώ
έχει θέμα με τις not_global_ipv4.
Τις ελέγχει μόνο για είσοδο στο ρούτερ και όχι για έξοδο.
Οπότε αν το δίκτυό σου είναι το 192.168.5.Χ και του ζητήσεις το 105.Χ, δεν τρέχει τίποτε.
Δρομολογεί κανονικά τα πακέτα προς την έξοδο και κόβονται από το πρώτο hop του παρόχου (φυσικά).
Θεωρώ λάθος να δρομολογούνται αυτές οι διευθύνσεις προς τα έξω.
Από την άλλη αν δηλώσω τον ίδιο κανόνα για έξοδο
τότε συμβαίνει το εξής "περίεργο".
Τα πακέτα προς το 105.Χ κόβονται. Σωστά.
Τα πακέτα προς το 5.Χ δεν κόβονται. Κανονικά θα έπρεπε να τα κόβει και αυτά μιας και στην λίστα περιλαμβάνεται όλο το 192.168.Υ.Χ.
Κόβονται συγκεκριμένα πακέτα από το 5.Χ όπως πχ κάποια που αφορούν το udp (netbios, snmp κλπ)
Καμιά ιδέα;| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
16-12-23, 10:40 Απάντηση: Mikrotik IPv4/IPv6 firewall #2081CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
16-12-23, 15:46 Απάντηση: Mikrotik IPv4/IPv6 firewall #2082
Αυτό που έκανα, και φαίνεται ότι δουλεύει, είναι να δηλώσω:
Κώδικας:add action=drop chain=prerouting dst-address=!192.168.4.0/23 \ dst-address-list=NotGlobalIP in-interface=!pppoe-out1
αφήνοντας ταυτόχρονα την κίνηση από 4.Χ και 5.Χ όπου είναι το wg και lan.
- - - Updated - - -
Επίσης αυτοί οι κανόνες δεν βλέπω τον λόγο να υπάρχουν. Κόβονται από το raw.
Κώδικας:add action=drop chain=forward src-address-list=no_forward_ipv4 comment="defconf: drop bad forward IPs" add action=drop chain=forward dst-address-list=no_forward_ipv4 comment="defconf: drop bad forward IPs"
Κώδικας:add action=drop chain=forward src-address-list=no_forward_ipv6 comment="defconf: drop bad forward IPs" add action=drop chain=forward dst-address-list=no_forward_ipv6 comment="defconf: drop bad forward IPs"
Κώδικας:add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
Κώδικας:add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=input comment="defconf: accept IPSec AH" protocol=ipsec-ah add action=accept chain=input comment="defconf: accept IPSec ESP" protocol=ipsec-esp
Κώδικας:add action=accept chain=forward comment="defconf: accept HIP" protocol=139 add action=accept chain=forward comment="defconf: accept IKE" protocol=udp dst-port=500,4500 add action=accept chain=forward comment="defconf: accept AH" protocol=ipsec-ah add action=accept chain=forward comment="defconf: accept ESP" protocol=ipsec-esp add action=accept chain=forward comment="defconf: accept all that matches IPSec policy" ipsec-policy=in,ipsec
Και αντίστοιχα για το ipv6 φαίνεται ότι δουλεύει σωστά:
Κώδικας:add action=drop chain=prerouting dst-address=!fc00::/6 dst-address-list=\ NonGlobalIP in-interface=!pppoe-out1
Τελευταία επεξεργασία από το μέλος deniSun : 16-12-23 στις 16:10.
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
14-01-24, 03:16 Απάντηση: Mikrotik IPv4/IPv6 firewall #2083
Ίσως πρέπει να ελεγξεις τί έχεις περασμένο στο WAN Interface List.
O μόνος κανόνας που χρησιμοποιείται η λίστα αυτή είναι στο Raw Table όπου γίνονται Drop τα πακέτα από WAN Interface List με Src Address στη λίστα not_global_ipv4.
- - - Updated - - -
Επιτρέπει το port forwarding. Αν δεν υπάρχει κανόνας για port forwarding δεν χρειάζεται, εκτός αν μου διαφεύγει κάτι.
-
14-01-24, 08:34 Απάντηση: Mikrotik IPv4/IPv6 firewall #2084
Καμία σχέση,
Μια χαρά παίζει το port forward και χωρίς αυτόν τον κανόνα.
Στην ουσία αποτρέπει την απίθανη περίπτωση να εισχωρήσει κάτι στο εσωτερικό σου δίκτυο πχ γνωρίζοντας τις εσωτερικές ΙΡ
χωρίς να έχεις ΝΑΤαριστεί.
Μια περίπτωση που μπορώ να σκεφτώ είναι να μπορέσει να περάσει κάτι στο χρονικό διάστημα που ενεργοποιούνται όλοι οι κανόνες.
Απλά υπάρχει ως διπλό/τριπλό/τετραπλό σημείο ασφαλείας που εγώ πιστεύω ότι είναι απίθανο να ενεργοποιηθεί.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
14-01-24, 08:43 Απάντηση: Mikrotik IPv4/IPv6 firewall #2085CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
Παρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks