Mikrotik IPv4/IPv6 firewall

[deniSun]

Ωραία, οπότε το βγάζω αυτό από το raw και να βάλω κάτι τέτοιο τελευταίο στο input (μετά τα accept)?

Στο filter κάνεις:
Input accept established, related, untracked connections
Input drop invalid connections
Input accept <τις πόρτες που θέλεις να ανοίξεις και αφορούν υπηρεσίες του ΜΤ>
Input drop all not from LAN

[Samael_667]

Στο filter κάνεις:
Input accept established, related, untracked connections
Input drop invalid connections
Input accept <τις πόρτες που θέλεις να ανοίξεις και αφορούν υπηρεσίες του ΜΤ>
Input drop all not from LAN

Σ' ευχαριστώ deniSun, παίζει μια χαρά τώρα

[deniSun]

Σ' ευχαριστώ deniSun, παίζει μια χαρά τώρα

[BillyVan]

Καλημερα μπορειτε να μου πείτε αν η σειρα είναι σωστα οπως την έχω?

Ειχα πριν

μη δινεται σημασια στο μπλε κυκλο

1.




μετα δοκιμασα κι ετσι

2.






Με ενδιαφερει αν ειναι σωστη η σειρα γιατι εχω μπερδευτει.

[deniSun]

Input accept established, related, untracked connections
Input drop invalid connections
... Input accept <οποιαδήποτε υπηρεσία τρέχει στο ΜΤ>
Input drop all not from LAN
Fasttrack accept established, related connections
Forward accept established, related, untracked connections
Forward drop invalid connections
... Forward accept <οποιαδήποτε υπηρεσία τρέχει σε συσκευή στο LAN>
Forward drop all not from LAN

[BillyVan]

Ωραια!

Σε ευχαριστώ.

[deniSun]

Έχω αρκετές κλήσεις κατά περιόδους στο log
με src-mac ac:de:48:03:46:04
και διαφορετικές/άσχετες ΙΡ.

Κώδικας:

tcp: in:pppoe-out1 out:(unknown 0), connection-state:invalid src-mac ac:de:48:03:46:04, proto TCP (), 175.41.44.231:52185->94.68.129.90:65179, len 60

Το κόβει βέβαια αλλά με ζαλίζει.
Το έβαλα στο raw να το κόβει.
Η ac:de:48:03:46:04 αναφέρεται ως private mac
αλλά δεν την βλέπω να υπάρχει όντως στο private range.

[leasedline]

εμένα από:
4a:03:a8:b6:a8:93
το τσεκάρω...

[deniSun]

εμένα από:
4a:03:a8:b6:a8:93
το τσεκάρω...

Αυτή είναι σίγουρα private.
Σύμφωνα με την ΙΕΕΕ είναι private τα παρακάτω μπλοκ:

Κώδικας:

    x2-xx-xx-xx-xx-xx
    x6-xx-xx-xx-xx-xx
    xA-xx-xx-xx-xx-xx
    xE-xx-xx-xx-xx-xx

- - - Updated - - -

Τελικά ήταν από nmap scan.
Αύξησα το όριο αποκλεισμού από 10' σε 1d.

[deniSun]

Πρέπει να το είχαμε γράψει και παλιότερα.
Στο advanced fw που χρησιμοποιώ με κάποια τροποποίηση από εδώ
έχει θέμα με τις not_global_ipv4.
Τις ελέγχει μόνο για είσοδο στο ρούτερ και όχι για έξοδο.
Οπότε αν το δίκτυό σου είναι το 192.168.5.Χ και του ζητήσεις το 105.Χ, δεν τρέχει τίποτε.
Δρομολογεί κανονικά τα πακέτα προς την έξοδο και κόβονται από το πρώτο hop του παρόχου (φυσικά).

Θεωρώ λάθος να δρομολογούνται αυτές οι διευθύνσεις προς τα έξω.
Από την άλλη αν δηλώσω τον ίδιο κανόνα για έξοδο
τότε συμβαίνει το εξής "περίεργο".
Τα πακέτα προς το 105.Χ κόβονται. Σωστά.
Τα πακέτα προς το 5.Χ δεν κόβονται. Κανονικά θα έπρεπε να τα κόβει και αυτά μιας και στην λίστα περιλαμβάνεται όλο το 192.168.Υ.Χ.
Κόβονται συγκεκριμένα πακέτα από το 5.Χ όπως πχ κάποια που αφορούν το udp (netbios, snmp κλπ)


Καμιά ιδέα;

[jkarabas]

Πρέπει να το είχαμε γράψει και παλιότερα.
Στο advanced fw που χρησιμοποιώ με κάποια τροποποίηση από εδώ
έχει θέμα με τις not_global_ipv4.
Τις ελέγχει μόνο για είσοδο στο ρούτερ και όχι για έξοδο.
Οπότε αν το δίκτυό σου είναι το 192.168.5.Χ και του ζητήσεις το 105.Χ, δεν τρέχει τίποτε.
Δρομολογεί κανονικά τα πακέτα προς την έξοδο και κόβονται από το πρώτο hop του παρόχου (φυσικά).

Θεωρώ λάθος να δρομολογούνται αυτές οι διευθύνσεις προς τα έξω.
Από την άλλη αν δηλώσω τον ίδιο κανόνα για έξοδο
τότε συμβαίνει το εξής "περίεργο".
Τα πακέτα προς το 105.Χ κόβονται. Σωστά.
Τα πακέτα προς το 5.Χ δεν κόβονται. Κανονικά θα έπρεπε να τα κόβει και αυτά μιας και στην λίστα περιλαμβάνεται όλο το 192.168.Υ.Χ.
Κόβονται συγκεκριμένα πακέτα από το 5.Χ όπως πχ κάποια που αφορούν το udp (netbios, snmp κλπ)


Καμιά ιδέα;

Εμένα θυμάμαι δημιουργούσε κάποιο πρόβλημα η λίστα με το subnet

Κώδικας:

add address=192.168.0.0/16 comment="defconf: RFC6890" list=not_global_ipv4

και αναγκάστηκα να αφαιρέσω τον κανόνα.
Λεπτομέρειες δεν μπορώ να θυμηθώ.

[deniSun]

Αυτό που έκανα, και φαίνεται ότι δουλεύει, είναι να δηλώσω:

Κώδικας:

add action=drop chain=prerouting dst-address=!192.168.4.0/23 \
    dst-address-list=NotGlobalIP in-interface=!pppoe-out1

Οπότε κόβει από μέσα προς τα έξω όλες τις διευθύνσεις της NotGlobalIP
αφήνοντας ταυτόχρονα την κίνηση από 4.Χ και 5.Χ όπου είναι το wg και lan.

- - - Updated - - -

Επίσης αυτοί οι κανόνες δεν βλέπω τον λόγο να υπάρχουν. Κόβονται από το raw.

Κώδικας:

 add action=drop chain=forward src-address-list=no_forward_ipv4 comment="defconf: drop bad forward IPs"
  add action=drop chain=forward dst-address-list=no_forward_ipv4 comment="defconf: drop bad forward IPs"

Κώδικας:

add action=drop chain=forward src-address-list=no_forward_ipv6 comment="defconf: drop bad forward IPs"
add action=drop chain=forward dst-address-list=no_forward_ipv6 comment="defconf: drop bad forward IPs"

Επίσης αυτός ο κανόνας θεωρώ ότι είναι απίθανο έως αδύνατο να ενεργοποιηθεί:

Κώδικας:

add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

Επίσης αυτά δεν χρησιμοποιούνται. Τουλάχιστον όχι από την cosmote:

Κώδικας:

add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept IPSec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept IPSec ESP" protocol=ipsec-esp

Κώδικας:

add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" protocol=udp dst-port=500,4500
add action=accept chain=forward comment="defconf: accept AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches IPSec policy" ipsec-policy=in,ipsec

- - - Updated - - -

Και αντίστοιχα για το ipv6 φαίνεται ότι δουλεύει σωστά:

Κώδικας:

add action=drop chain=prerouting dst-address=!fc00::/6 dst-address-list=\
    NonGlobalIP in-interface=!pppoe-out1

Στο fd00 παίζει το wg.

[nsar]

Εμένα θυμάμαι δημιουργούσε κάποιο πρόβλημα η λίστα με το subnet
Κώδικας:

add address=192.168.0.0/16 comment="defconf: RFC6890" list=not_global_ipv4

και αναγκάστηκα να αφαιρέσω τον κανόνα.
Λεπτομέρειες δεν μπορώ να θυμηθώ.

Ίσως πρέπει να ελεγξεις τί έχεις περασμένο στο WAN Interface List.
O μόνος κανόνας που χρησιμοποιείται η λίστα αυτή είναι στο Raw Table όπου γίνονται Drop τα πακέτα από WAN Interface List με Src Address στη λίστα not_global_ipv4.

- - - Updated - - -

Επίσης αυτός ο κανόνας θεωρώ ότι είναι απίθανο έως αδύνατο να ενεργοποιηθεί:
Κώδικας:

add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

Επιτρέπει το port forwarding. Αν δεν υπάρχει κανόνας για port forwarding δεν χρειάζεται, εκτός αν μου διαφεύγει κάτι.

[deniSun]

Επιτρέπει το port forwarding. Αν δεν υπάρχει κανόνας για port forwarding δεν χρειάζεται, εκτός αν μου διαφεύγει κάτι.

Καμία σχέση,
Μια χαρά παίζει το port forward και χωρίς αυτόν τον κανόνα.
Στην ουσία αποτρέπει την απίθανη περίπτωση να εισχωρήσει κάτι στο εσωτερικό σου δίκτυο πχ γνωρίζοντας τις εσωτερικές ΙΡ
χωρίς να έχεις ΝΑΤαριστεί.
Μια περίπτωση που μπορώ να σκεφτώ είναι να μπορέσει να περάσει κάτι στο χρονικό διάστημα που ενεργοποιούνται όλοι οι κανόνες.
Απλά υπάρχει ως διπλό/τριπλό/τετραπλό σημείο ασφαλείας που εγώ πιστεύω ότι είναι απίθανο να ενεργοποιηθεί.

[jkarabas]

Ίσως πρέπει να ελεγξεις τί έχεις περασμένο στο WAN Interface List.
O μόνος κανόνας που χρησιμοποιείται η λίστα αυτή είναι στο Raw Table όπου γίνονται Drop τα πακέτα από WAN Interface List με Src Address στη λίστα not_global_ipv4.

Ναι έχεις δίκιο τώρα το θυμήθηκα. Έχω subnet(modem vdsl) στη wan list σε 192.168.1.1