Mikrotik IPv4/IPv6 firewall

[teodor_ch]

Αν κάνεις disable όλο το ip firewall filter?

[puntomania]

Αν κάνεις disable όλο το ip firewall filter?

oxi....

μονο αν κλείσω 2 pppoe ή τα 6 roules στο ro;ute


/ip route
add check-gateway=ping distance=1 gateway=pppoe-out1 routing-mark=to_wan1
add check-gateway=ping distance=1 gateway=pppoe-out2 routing-mark=to_wan2
add check-gateway=ping distance=1 gateway=pppoe-out3 routing-mark=to_wan3

add check-gateway=ping distance=1 gateway=pppoe-out1
add distance=2 gateway=pppoe-out2
add distance=3 gateway=pppoe-out3

- - - Updated - - -

στην ουσία είναι αυτό που λες... δεν ξέρει από πού να πάει... για το κάθε speedport...

[teodor_ch]

Θα το κοιτάξω ξανά το πρωί να δω και τα δικαιολογητικά μου mk.

Καλο βράδυ

[puntomania]

Θα το κοιτάξω ξανά το πρωί να δω και τα δικαιολογητικά μου mk.

Καλο βράδυ

το έφτιαξα....


έβαλα στο mangle

3 chain=prerouting action=accept dst-address=192.168.10.0/24 in-interface=Local in-interface-list=all log=no log-prefix=""

4 chain=prerouting action=accept dst-address=192.168.3.0/24 in-interface=Local in-interface-list=all log=no log-prefix=""



και μπαίνω τώρα!!!

[puntomania]

..έχω το εξής θέμα...

στην 192.168.0.240 έχω το freepbx για τα remote extension μου.

στα zoiper τους στο host έχω το noip.ddns.net:15201

το noip βγαίνει απο την wan3

-------------------------------------------------------------

στο nat έχω βάλει....



-------------------------------------------------------------

όταν είναι local συνδεμένα στο δίκτυο... για να συνδεθούν στο κέντρο πρέπει να βάλω αυτό στο mangle



-------------------------------------------------------------

όταν είμαι σε άλλο δίκτυο όμως... μια συνδέονται μια όχι...

το ίδιο ισχύ και για το vpn με διαφορά οτι αυτό αν βάλω το cloud δουλεύει, ενώ αν βάλω το cloud στο zoiper δεν δουλεύει!!!


για ρίξτε καμιά ιδέα.

- - - Updated - - -

όλο το θέμα γίνετε αποτι έχω καταλάβει με τις 3 γραμμές... άλλος τρόπος δεν παίζει για να τις ενόσω?

[puntomania]

Σε συνέχεια αυτού και αυτού των οδηγών παραθέτω τις ρυθμίσεις για IPv4 και IPv6 firewall.

IPv4 firewall:

Spoiler:

/ip firewall filter
*** Allow only needed icmp codes in icmp chain:

Κώδικας:

	add chain=icmp protocol=icmp icmp-options=0:0 action=accept \ comment="Echo reply" 
	add chain=icmp protocol=icmp icmp-options=3:0 action=accept \ comment="Net unreachable" 
	add chain=icmp protocol=icmp icmp-options=3:1 action=accept \ comment="Host unreachable" 
	add chain=icmp protocol=icmp icmp-options=4:0 action=accept \ comment="Allow source quench" 
	add chain=icmp protocol=icmp icmp-options=8:0 action=accept \ comment="Allow echo request" 
	add chain=icmp protocol=icmp icmp-options=11:0 action=accept \ comment="Allow time exceed" 
	add chain=icmp protocol=icmp icmp-options=12:0 action=accept \ comment="Allow parameter bad" 
	add chain=icmp action=drop comment="Deny all other types"
	add action=drop chain=input comment="Disable ICMP ping" in-interface=pppoe-out1 disabled=no protocol=\ icmp

*** Drop port scanners

Κώδικας:

	add chain=input protocol=tcp in-interface=pppoe-out1 psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Port scanners to list " disabled=no

*** Various combinations of TCP flags can also indicate port scanner activity:

Κώδικας:

	add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP FIN Stealth scan"
	add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/FIN scan"
	add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="SYN/RST scan"
	add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="FIN/PSH/URG scan"
	add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="ALL/ALL scan"
	add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="NMAP NULL scan"

*** Drop those IPs in both Input & Forward chains:

Κώδικας:

	add chain=input src-address-list="port scanners" action=drop comment="Dropping port scanners" disabled=no

*** Router protection :

Κώδικας:

	add chain=input connection-state=invalid action=drop \ comment="Drop Invalid connections" 
	add chain=input connection-state=established action=accept \ comment="Allow Established connections" 
	add chain=input src-address=192.168.5.0/24 action=accept \ in-interface=pppoe-out1

*** Customer protection (forward chain - traffic passing through the router):

Κώδικας:

	add chain=forward connection-state=invalid \ action=drop comment="Drop invalid connections" 
	add chain=forward connection-state=established action=accept \ comment="Allow already established connections" 
	add chain=forward connection-state=related action=accept \ comment="Allow related connections"

*** Block Bogon IP addresses:

Κώδικας:

	add chain=forward src-address=127.0.0.0/8 action=drop
	add chain=forward dst-address=127.0.0.0/8 action=drop
	add chain=forward src-address=169.254.0.0/16 action=drop
	add chain=forward dst-address=169.254.0.0/16 action=drop
	add chain=forward src-address=172.16.0.0/12 action=drop
	add chain=forward dst-address=172.16.0.0/12 action=drop
	add chain=forward src-address=192.0.0.0/24 action=drop
	add chain=forward dst-address=192.0.0.0/24 action=drop
	add chain=forward src-address=192.0.2.0/24 action=drop
	add chain=forward dst-address=192.0.2.0/24 action=drop
	add chain=forward src-address=198.18.0.0/15 action=drop
	add chain=forward dst-address=198.18.0.0/15 action=drop
	add chain=forward src-address=198.51.100.0/24 action=drop
	add chain=forward dst-address=198.51.100.0/24 action=drop
	add chain=forward src-address=203.0.113.0/24 action=drop
	add chain=forward dst-address=203.0.113.0/24 action=drop
	add chain=forward src-address=224.0.0.0/3 action=drop
	add chain=forward dst-address=224.0.0.0/3 action=drop

*** Make jumps to new chains:

Κώδικας:

	add chain=forward protocol=tcp action=jump jump-target=tcp in-interface=pppoe-out1\ comment="Make jumps to new chains"
	add chain=forward protocol=udp action=jump jump-target=udp in-interface=pppoe-out1
	add chain=forward protocol=icmp action=jump jump-target=icmp in-interface=pppoe-out1

*** Create TCP chain and deny some TCP ports in it (revise port numbers as needed):

Κώδικας:

	add chain=tcp protocol=tcp dst-port=69 action=drop \ comment="Deny TFTP"
	add chain=tcp protocol=tcp dst-port=111 action=drop \ comment="Deny RPC portmapper"
	add chain=tcp protocol=tcp dst-port=135 action=drop \ comment="Deny RPC portmapper"
	add chain=tcp protocol=tcp dst-port=137-139 action=drop \ comment="Deny NBT"
	add chain=tcp protocol=tcp dst-port=445 action=drop \ comment="Deny cifs"
	add chain=tcp protocol=tcp dst-port=2049 action=drop comment="Deny NFS" 
	add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="Deny NetBus"
	add chain=tcp protocol=tcp dst-port=20034 action=drop comment="Deny NetBus" 
	add chain=tcp protocol=tcp dst-port=3133 action=drop comment="Deny  BackOriffice"

*** Create UDP chain and deny some UDP ports in it (revise port numbers as needed):

Κώδικας:

	add chain=udp protocol=udp dst-port=69 action=drop comment="Deny TFTP" 
	add chain=udp protocol=udp dst-port=111 action=drop comment="Deny PRC portmapper" 
	add chain=udp protocol=udp dst-port=135 action=drop comment="Deny PRC portmapper" 
	add chain=udp protocol=udp dst-port=137-139 action=drop comment="Deny NBT" 
	add chain=udp protocol=udp dst-port=2049 action=drop comment="Deny NFS" 
	add chain=udp protocol=udp dst-port=3133 action=drop comment="Deny BackOriffice"

πέρασα αυτούς τους κανόνες.... όπου έχεις interface=pppoe-out1 το έκανα interface=all ppp είναι σωστό αυτό? ή θέλει κάτι διαφορετικό για τα 3 pppoe που έχω?

το add chain=input src-address=192.168.5.0/24 action=accept \ in-interface=pppoe-out1 το έκανα disable

[deniSun]

πέρασα αυτούς τους κανόνες.... όπου έχεις interface=pppoe-out1 το έκανα interface=all ppp είναι σωστό αυτό? ή θέλει κάτι διαφορετικό για τα 3 pppoe που έχω?

το add chain=input src-address=192.168.5.0/24 action=accept \ in-interface=pppoe-out1 το έκανα disable

Βάζοντας all-ppp γλυτώνεις τις μεμονωμένες δηλώσεις για κάθε ppp-out χωριστά.

[puntomania]

Βάζοντας all-ppp γλυτώνεις τις μεμονωμένες δηλώσεις για κάθε ppp-out χωριστά.

ωραία...

πάμε τώρα στο ΝΑΤ...

έχω μέσα αυτά....

0 chain=srcnat action=masquerade out-interface=pppoe-out1

1 chain=srcnat action=masquerade out-interface=pppoe-out2

2 chain=srcnat action=masquerade out-interface=pppoe-out3

3 chain=dstnat action=dst-nat to-addresses=192.168.0.240 to-ports=15100-15201 protocol=udp
dst-port=15100-15201 log=no log-prefix=""


θέλω το zoiper μου που έχει ως host... puntomania.ddns.net:15201 και rtp port range 15100-15110 να συνδεθεί ( είτε απο έξω είτε όταν βρίσκετε στο Local ) στον asterisk που είναι στην 192.168.0.240
οπότε η παραπάνω δήλωση πιστευω οτι είναι οκ.


στο filter έβαλα επίσης αυτό...

chain=input action=accept protocol=udp port=15100-15201 log=no log-prefix=""


μέχρι εδώ καλα?



στο mangle έχω μέσα αυτά για το multi wan (pppoe)....




0 chain=prerouting action=mark-routing new-routing-mark=to_wan1 passthrough=no src-address=192.168.0.249 (οτε γραμμη 1)
log=no log-prefix=""

1 chain=prerouting action=mark-routing new-routing-mark=to_wan2 passthrough=no src-address=192.168.0.247 (οτε γραμμη 2)
log=no log-prefix=""

2 ;;; Voip
chain=prerouting action=mark-routing new-routing-mark=to_wan1 passthrough=yes src-address=192.168.0.240 (asterisk remote extension)
log=no log-prefix=""

3 ;;; Voip
chain=prerouting action=accept src-address=192.168.0.240 log=no log-prefix=""

4 chain=prerouting action=accept dst-address=192.168.10.0/24 in-interface=Local log=no log-prefix=""

5 chain=prerouting action=accept dst-address=192.168.20.0/24 in-interface=Local log=no log-prefix=""

6 chain=prerouting action=accept dst-address=192.168.30.0/24 in-interface=Local log=no log-prefix=""

7 chain=prerouting action=accept in-interface=pppoe-out1 log=no log-prefix=""

8 chain=prerouting action=accept in-interface=pppoe-out2 log=no log-prefix=""

9 chain=prerouting action=accept in-interface=pppoe-out3 log=no log-prefix=""

10 chain=prerouting action=mark-connection new-connection-mark=wan1_conn passthrough=yes
dst-address-type=!local per-connection-classifier=both-addresses-and-ports:3/0 log=no log-prefix=""

11 chain=prerouting action=mark-connection new-connection-mark=wan2_conn passthrough=yes
dst-address-type=!local per-connection-classifier=both-addresses-and-ports:3/1 log=no log-prefix=""

12 chain=prerouting action=mark-connection new-connection-mark=wan3_conn passthrough=yes
dst-address-type=!local per-connection-classifier=both-addresses-and-ports:3/2 log=no log-prefix=""

13 chain=prerouting action=mark-routing new-routing-mark=to_wan1 passthrough=yes connection-mark=wan1_conn
log=no log-prefix=""

14 chain=prerouting action=mark-routing new-routing-mark=to_wan2 passthrough=yes connection-mark=wan2_conn
log=no log-prefix=""

15 chain=prerouting action=mark-routing new-routing-mark=to_wan3 passthrough=yes connection-mark=wan3_conn
log=no log-prefix=""



και στο ip route...

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 pppoe-out1 1
1 A S 0.0.0.0/0 pppoe-out2 1
2 A S 0.0.0.0/0 pppoe-out3 1
3 ADS 0.0.0.0/0 pppoe-out1 0
4 DS 0.0.0.0/0 pppoe-out3 0
5 DS 0.0.0.0/0 pppoe-out2 0
6 S 0.0.0.0/0 pppoe-out1 1
7 S 0.0.0.0/0 pppoe-out2 2
8 S 0.0.0.0/0 pppoe-out3 3
9 ADC 8X.1XX.1XX.3X/32 94.6X.1XX.6X pppoe-out2 0 pppoe-out3 pppoe-out1
10 ADC 192.168.0.0/24 192.168.0.1 Local 0
11 ADC 192.168.10.0/24 192.168.10.2 ether1 0
12 ADC 192.168.20.0/24 192.168.20.2 ether2 0
13 ADC 192.168.30.0/24 192.168.30.2 ether3 0




τι φταίει... και δεν μου δουλεύει το ΝΑΤ προς το server?

[deniSun]

1. Στο nat άλλαξε στα masquerade τα out-interface σε src-address.
2. Στο nat άλλαξε το port forward πρόσθεσε in-interface=all-ppp.

[puntomania]

1. Στο nat άλλαξε στα masquerade τα out-interface σε src-address.
2. Στο nat άλλαξε το port forward πρόσθεσε in-interface=all-ppp.

src-address τι βάζω όμως?

[macro]

Δε χρειαζεσαι src add αν βαλεις in interface. Μονο in χρειαζεσαι.

Αυτα στα εδωσα στο αλλο ποστ και τα ξαναπας απο τη αρχη βρε φιλος παλι.

[puntomania]

Δε χρειαζεσαι src add αν βαλεις in interface. Μονο in χρειαζεσαι.

Αυτα στα εδωσα στο αλλο ποστ και τα ξαναπας απο τη αρχη βρε φιλος παλι.

εμ ναι...αφού δεν δουλεύει... κάτι φταίει...

- - - Updated - - -

βασικά... υπάρχει κάπου κάποιος ολοκληρωμένος οδηγός κτλ... για multi-wan με pppoe και να δουλεύει το port fordward...?

[deniSun]

src-address τι βάζω όμως?

Το subnet του εσωτερικού σου δικτύου.

[teodor_ch]

1. Στο nat άλλαξε στα masquerade τα out-interface σε src-address.

To masquerade δεν είναι σωστότερο να το περιορίσει εκεί που χρειάζεται?

Δε ξέρω ακριβώς πώς λειτουργεί αλλά πχ απο ether1 σε ether2 όταν είναι στο ίδιο bridge που δε χρειάζεται masquerade θα περάσει απο τον κανόνα?

Βλέπω όλα περνάνε απο SRC-NAT
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow

[macro]

Γενικως η δηλωση του in interface με το src add, σημαινει ακριβως το ιδιο παντου, με τη διαφορα οτι στο src add μπορεις να ελιχθεις σε οχι ολο το υποδικτυο για λογους που χρειαζεσαι εσυ.

π.χ να περιοριστεις σε μια ομαδα clients και οχι σε ολο το υποδικτυο. /30, /31 κ.λ.π. ενω το in interface περιλαμβανει και αυτοματως ολο το subnet.