Mikrotik IPv4/IPv6 firewall

[RyDeR]

Έψαξα για το hairpin. Αρχικά να πω το setup:

Εσωτερική θύρα 5000, IP 10.10.10.120, port forward (dst-nat) απο εξωτερική 20000 σε εσωτερική 5000.

Hairpin nat απο το wiki:

Κώδικας:

/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 \
  dst-address=192.168.1.2 protocol=tcp dst-port=80 \
  out-interface=LAN action=masquerade

Δοκίμασα αυτά τα 2 για εμένα και πάλι δεν έπαιξε:

Κώδικας:

/ip firewall nat
add chain=srcnat src-address=10.10.10.0/24 \
  dst-address=10.10.10.120 protocol=tcp dst-port=20000 \
  out-interface=bridge1 action=masquerade

Κώδικας:

/ip firewall nat
add chain=srcnat src-address=10.10.10.0/24 \
  dst-address=10.10.10.120 protocol=tcp dst-port=5000 \
  out-interface=bridge1 action=masquerade

[teodor_ch]

Καλησπέρα,

προσπαθώ να κάνω port forward (dst-nat) όμως έχοντας στους κανόνες του fw "drop forward everything else" τότε συνεχίζει να κόβει την πόρτα. Πως θα το ξεπεράσω το κόλλημα;

Μάλλον είναι του deni το firewall και για δικούς του λόγους του αρέσει να ταλαιπωρεί και να ταλαιπωρείται.
Ας σου πεί αυτός τη λύση

[kostas2911]

Αυτό είναι το σωστό.

Κώδικας:

/ip firewall nat
add chain=srcnat src-address=10.10.10.0/24 \
  dst-address=10.10.10.120 protocol=tcp dst-port=5000 \
  out-interface=bridge1 action=masquerade

Γράψε και το dstnat που έχεις

Κανονικά πρέπει να είναι έτσι

Κώδικας:

chain=dstnat action=dst-nat to-addresses=10.10.10.120 to-ports=5000 
      protocol=tcp dst-port=20000 log=no log-prefix=""

Και ιδανικά να έχεις και dst-address="την public ip σου" και να φτιάξεις ένα script που να την ανανεώνει εφόσον δεν είναι static


Επίσης πρέπει να είναι πρώτο το dstnat και από κάτω το srcnat

[rebeskes]

Καλησπέρα παίδες,

Ερώτηση σε ένα δίκτυο 192.168.1.0/24 θέλω από το 70 εώς το 90 να βλέπουν από το internet μόνο 1 site για παράδειγμα το adslgr.com με ποιο τρόπο μου προτείνεται να το κάνω;

[kostas2911]

Καλησπέρα παίδες,

Ερώτηση σε ένα δίκτυο 192.168.1.0/24 θέλω από το 70 εώς το 90 να βλέπουν από το internet μόνο 1 site για παράδειγμα το adslgr.com με ποιο τρόπο μου προτείνεται να το κάνω;

Ο εύκολος τρόπος είναι αυτός

Κώδικας:

/ip firewall filter add action=drop chain=forward dst-address=!178.162.211.13 src-address=192.168.1.70-192.168.1.90

Στην ουσία όμως περιορίζεις την ip του site και όχι το domain. Δηλαδή αν είναι κι άλλα site στην ίδια ip θα βλέπουν και αυτά.

Καλύτερος τρόπος είναι με opendns. Φτιάχνεις μια whitelist στο opendns και μετά με αυτόν τον κανόνα

Κώδικας:

/ip firewall nat add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address=192.168.1.70-192.168.1.90 to-addresses=208.67.222.222 to-ports=53

τους υποχρεώνεις να χρησιμοποιούν τους dns του Opendns

[rebeskes]

@kostas
Για αρχή θέλω να σε ευχαριστήσω που μου απάντησες και ασχολήθηκες, επειδή δεν είναί μόνο το adslgr.com που θέλω να βλέπουν είναι 6 site ακόμα + το google drive έλεγα να το κάνω με regular expression στο layer7, πως σου φαίνεται σαν ιδέα και ρωτάω και θέλω την γνώμη σου γιατί αν μη τι άλλο βλέπω ότι έχεις και μια εξειδίκευση στα mikrotik

[eliasbats]

@kostas
Για αρχή θέλω να σε ευχαριστήσω που μου απάντησες και ασχολήθηκες, επειδή δεν είναί μόνο το adslgr.com που θέλω να βλέπουν είναι 6 site ακόμα + το google drive έλεγα να το κάνω με regular expression στο layer7, πως σου φαίνεται σαν ιδέα και ρωτάω και θέλω την γνώμη σου γιατί αν μη τι άλλο βλέπω ότι έχεις και μια εξειδίκευση στα mikrotik

Πολύ ωραίο θέμα θίγει ο rebeskes. Πόσο αποτελεσματικό και πρακτικό είναι λοιπόν το Layer 7 matching? Υπάρχουν best practices που αποδίδουν καλύτερα αποτελέσματα? Υπάρχουν γνωστές περιπτώσεις (από δημοφιλή web apps) που δεν θα δουλέψει σωστά? Ποιο είναι το Impact στο router από άποψη performance? Αναμένουμε από τους RouterOS gurus!

[kostas2911]

Προσωπικά σε παρόμοια κατάσταση δούλεψα με opendns.
Με layer7 το προσπάθησα αλλά δεν κατάφερα κάτι. Δεν είχα και πολύ χρόνο τότε και δεν ξανά ασχολήθηκα.

[Lagman]

Σε layer 7 τα patterns είναι παλιά και δε δουλεύει σωστά.

[rebeskes]

@lagman δηλαδή; μπορείς να το εξηγήσεις;

[Lagman]

Δηλαδή για κάποιες εφαρμογές οι κανόνες που μαρκάρουν τα πακέτα τους πρέπει να ενημερωθούν, γιατί οι εφαρμογές αλλάζουν.
Πχ skype έχω ακούσει από αρκετούς ότι δεν μπορούν να το φιλτράρουν σε layer 7.

Αν πας σε άλλο κατασκευαστή με πανάκριβο εξοπλισμό τα πιάνεις όλα.

[ayger]

Πόσο αποτελεσματικό και πρακτικό είναι λοιπόν το Layer 7 matching?

Αποτελεσματικά? Πολύ.
Πρακτικά? Καθόλου.

Υπάρχουν best practices που αποδίδουν καλύτερα αποτελέσματα?

Wireshark Και πάλι wireshark. Life's too short for it.

Υπάρχουν γνωστές περιπτώσεις (από δημοφιλή web apps) που δεν θα δουλέψει σωστά?

Skype πχ. Αλλάζει το Pattern.

Ποιο είναι το Impact στο router από άποψη performance?

Απίστευτα μεγάλο. Εξαρτάται και το bandwidth βέβαια. Σε κάποιες περιπτώσεις έχω πιττώσει 1100Ahx2 με 3 50άρια vdsl με ελάχιστα L7 filters για ανίχνευση και drop torrents.

Ερώτηση σε ένα δίκτυο 192.168.1.0/24 θέλω από το 70 εώς το 90 να βλέπουν από το internet μόνο 1 site για παράδειγμα το adslgr.com με ποιο τρόπο μου προτείνεται να το κάνω;

Αναβάθμισε σε οτιδήποτε πάνω από 6.32 και βάλε κάτι τέτοιο στα address list του firewall

Κώδικας:

/ip firewall address-list
add address=www.adslgr.com list=test

Dynamic address lists που γίνονται refresh με το dns TTL του server σου.

Από εκεί και πέρα ξεκινάς στην αλυσίδα forward τα drop σου μαζί με την λίστα των επιθυμητών υπολογιστών (IP's)

[rebeskes]

Αναβάθμισε σε οτιδήποτε πάνω από 6.32 και βάλε κάτι τέτοιο στα address list του firewall

Κώδικας:

/ip firewall address-list
add address=www.adslgr.com list=test

Dynamic address lists που γίνονται refresh με το dns TTL του server σου.

Από εκεί και πέρα ξεκινάς στην αλυσίδα forward τα drop σου μαζί με την λίστα των επιθυμητών υπολογιστών (IP's)

Δεν έχω κάποιο dns server γενικά server, μπορείς να με βοηθήσεις με κάποιο παράδειγμα ώστε να πάρω μπρος λίγο ή να μου δώσεις κάποιο reference?

[ayger]

Δεν έχω κάποιο dns server γενικά server, μπορείς να με βοηθήσεις με κάποιο παράδειγμα ώστε να πάρω μπρος λίγο ή να μου δώσεις κάποιο reference?

Δεν χρειάζεται να έχεις κάποιο dns server ακόμα και αυτό της google δουλεύει μια χαρά, αρκεί να το δηλώσεις στο IP --> DNS του mikrotik έτσι ώστε να κάνει resolve to router στους κανόνες.


Απλό παράδειγμα λοιπόν:

Έστω ότι θες να μπλοκάρεις το range 192.168.1.70-192.168.1.90 να ΜΗΝ μπαίνουν.....

Κώδικας:

/ip firewall address-list
add address=192.168.1.70-192.168.1.90 list=hosts_to_be_blocked

πχ στο adslgr και στο in.gr

Κώδικας:

/ip firewall address-list
add address=www.adslgr.com list=block_desired_domains
add address=www.in.gr list=block_desired_domains

ο κανόνας του firewall μεταμορφώνεται ως εξής :

Κώδικας:

/ip firewall filter
add action=drop chain=forward dst-address-list=block_desired_domains src-address-list=hosts_to_be_blocked

Στο winbox σου στο ip-->firewall-->address list θα μπορείς να προσθέτεις αφαιρείς κατά βούληση.



O παραπάνω τρόπος δεν δουλεύει σε domain τα οποία έχουν πολλαπλά A records
πχ

Κώδικας:

microsoft.com	A	23.96.52.53	IN	2181
microsoft.com	A	191.239.213.197	IN	2181
microsoft.com	A	104.40.211.35	IN	2181
microsoft.com	A	104.43.195.251	IN	2181
microsoft.com	A	23.100.122.175	IN	2181

για λόγους Load balancing. To tik τραβάει μόνο την πρώτη εγγραφή.
Εκεί δυστυχώς μόνο dns filtering όπως πολύ σωστά αναφέρθηκε πολλάκις στο παρών thread.

[rebeskes]

@ayger
Για αρχή θέλω να σε ευχαριστήσω και για τον χρόνο σου και για την απάντησή σου
Με την πρώτη ευκαιρία θα δοκιμάσω τον τρόπο σου, μου φαίνεται λίγο πιο τακτοποιημένος θα δούμε
Προς το παρόν δοκιμάζω τον τρόπο που πρότεινε ο @kostas2911 με το OPENDNS και τον ευχαριστώ γι αυτό.

Θέλω να τον δοκιμάσω όμως για να το καταλάβω.

Και πάλι ευχαριστώ