Mikrotik IPv4/IPv6 firewall

**macro** · 12-12-18, 19:12

Απο το λαν σε βρισκει γιατι στη σειρα το εχεις κατω απο το port scanner ενω δε πρεπει.

**jkarabas** · 12-12-18, 19:17

Αρχικό μήνυμα από macro

Απο το λαν σε βρισκει γιατι στη σειρα το εχεις κατω απο το port scanner ενω δε πρεπει.

Θα τα αλλάξω, απλά από εσάς είδα τις δηλώσεις και έτσι τα είχα εξ αρχής. Δηλ οι 2 κανόνες που αφορούν το Lan να μπουν πριν απο τα portscan σωστά;

- - - Updated - - -

ΟΚ έβαλα τους 2 κανόνες πριν και τώρα δεν τις μπανάρει. Το θέμα είναι γιατί απ'έξω έχει θέμα;

**macro** · 12-12-18, 19:47

Το εχω αλλαξει το δικο μου... δες κανα δυο σελιδες πριν. Αυτο με το απεξω δε γνωριζω. Μηπως κατι δε δουλευει καλα στους κανονες? Για βαλε απο κανεναν αλλον.

**jkarabas** · 12-12-18, 20:17

Αρχικό μήνυμα από macro

Το εχω αλλαξει το δικο μου... δες κανα δυο σελιδες πριν. Αυτο με το απεξω δε γνωριζω. Μηπως κατι δε δουλευει καλα στους κανονες? Για βαλε απο κανεναν αλλον.

Δεν ξέρω είναι περίεργο για αυτό και ποστάρισα το firewall σπάω το κεφάλι μου. Μήπως κάτι παίζεται με την σειρά πάλι;
Το δικό σου το δοκιμάσες; σου είναι εύκολο να το ανεβάσεις εδώ?

- - - Updated - - -

Αυτό είναι το δικό σου;

- - - Updated - - -

Τελικό setup αλλά και πάλι απ'έξω δεν την μπανάρει την ip

Κώδικας:

add action=accept chain=input comment="Accept input established, related connections,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge-LAN
add action=drop chain=input comment="Drop input everything else"

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"

add action=drop chain=forward comment=Ransomware_Protection_Ports dst-port=67-69,111,135-139,445,3389,2049,3133,12345-12346,20034 protocol=tcp
add action=drop chain=forward dst-port=67-69,111,135-139,445,3389,2049,3133,12345-12346,20034 protocol=udp
add action=jump chain=forward comment="Make jumps to ICMP chains" jump-target=icmp protocol=icmp
add action=accept chain=forward comment= "Allow forward forward established, related connections,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment= "______Drop forward invalid connections" connection-state=invalid

add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol= icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0  protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0  protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"

add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge-LAN
add action=drop chain=forward comment=  "Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat log=yes log-prefix="Drop everything else Forward____!DST_NAT"

**macro** · 12-12-18, 20:30

Αν το βρεις ποσταρε το.........

**jkarabas** · 12-12-18, 20:40

Αρχικό μήνυμα από macro

Αν το βρεις ποσταρε το.........

Το βρήκα και έχω το λινκ παραπάνω, το έχεις αλλάξει από τότε;

**Nikiforos** · 12-12-18, 21:10

Το επαθα και εγω αυτο απεξω να μην την μπαναρει, το δοκιμαζα απο κινητο, θελει διαφορετικη σειρα στους κανονες. Η σειρα φταιει.

- - - Updated - - -

Κώδικας:

/ip firewall filter
add action=accept chain=input dst-address=10.X.XXX.0/27 src-address=10.XX.XX.0/24
add action=accept chain=forward dst-address=10.X.XXX.0/27 src-address=10.XX.XX.0/24
add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related
add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=accept chain=input comment=OpenVPN dst-port=1645 port="" protocol=tcp
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" in-interface=bridge1-lan-wlan
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=bridge1-lan-wlan
add action=accept chain=forward connection-nat-state=dstnat
add action=accept chain=input connection-nat-state=dstnat
add action=accept chain=forward comment="from openvpn" in-interface=all-ppp src-address=10.X.XXX.248/29
add action=accept chain=input comment="from openvpn" in-interface=all-ppp src-address=10.X.XXX.248/29
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=pppoe-out1 protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid
add action=drop chain=forward comment="Drop forward everything else" log-prefix=forward-all-others
add action=drop chain=input comment="Drop input everything else"

**jkarabas** · 12-12-18, 21:53

Αρχικό μήνυμα από Nikiforos

Το επαθα και εγω αυτο απεξω να μην την μπαναρει, το δοκιμαζα απο κινητο, θελει διαφορετικη σειρα στους κανονες. Η σειρα φταιει.

- - - Updated - - -

Κώδικας:

/ip firewall filter
add action=accept chain=input dst-address=10.X.XXX.0/27 src-address=10.XX.XX.0/24
add action=accept chain=forward dst-address=10.X.XXX.0/27 src-address=10.XX.XX.0/24
add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related
add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=accept chain=input comment=OpenVPN dst-port=1645 port="" protocol=tcp
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" in-interface=bridge1-lan-wlan
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=bridge1-lan-wlan
add action=accept chain=forward connection-nat-state=dstnat
add action=accept chain=input connection-nat-state=dstnat
add action=accept chain=forward comment="from openvpn" in-interface=all-ppp src-address=10.X.XXX.248/29
add action=accept chain=input comment="from openvpn" in-interface=all-ppp src-address=10.X.XXX.248/29
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=pppoe-out1 protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid
add action=drop chain=forward comment="Drop forward everything else" log-prefix=forward-all-others
add action=drop chain=input comment="Drop input everything else"

Τίποτα και έτσι.
Νικηφόρε ο κανόνας add action=drop chain=forward comment="Drop forward everything else" log-prefix=forward-all-other πρέπει να μπει τελευταίος.

**Nikiforos** · 12-12-18, 22:09

καλα λες το εχω αναποδα. το αλλαξα.

**jkarabas** · 12-12-18, 22:28

Αρχικό μήνυμα από Nikiforos

καλα λες το εχω αναποδα. το αλλαξα.

Ευτυχώς που το προσέξαμε ήταν πολύ σημαντικό!!

Ο κανόνας αυτός τι είναι;
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp

- - - Updated - - -

Αρχικό μήνυμα από macro

Αν το βρεις ποσταρε το.........

add action=accept chain=input comment="Accept input established, related connections,untracked" connection-state=established,related,untracked
Το untracted παραπάνω χρειάζεται και τι ακριβώς κάνει;

**Nikiforos** · 12-12-18, 22:35

Αρχικό μήνυμα από jkarabas

Ευτυχώς που το προσέξαμε ήταν πολύ σημαντικό!!
Ο κανόνας αυτός τι είναι;
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp

δεν εχω ιδεα τι κανει αλλα ουτε που τον εχω βρει και βλεπω εχει μετρησεις κιολας.

**jkarabas** · 12-12-18, 22:47

Αρχικό μήνυμα από Nikiforos

δεν εχω ιδεα τι κανει αλλα ουτε που τον εχω βρει και βλεπω εχει μετρησεις κιολας.

Δεν τον έχω κάπου εντοπίσει για αυτό σε ρώτησα, εξάλλου το ότι έχει μετρήσεις δεν λέει και κάτι αυτό.
Για δοκίμασε να κάνει ένα port scan να μου πεις σε δουλεύει τελικά;

**Nikiforos** · 12-12-18, 22:54

Αρχικό μήνυμα από jkarabas

Δεν τον έχω κάπου εντοπίσει για αυτό σε ρώτησα, εξάλλου το ότι έχει μετρήσεις δεν λέει και κάτι αυτό.
Για δοκίμασε να κάνει ένα port scan να μου πεις σε δουλεύει τελικά;

το οτι εχει μετρησεις σημαινει οτι κατι πιανει, αν δεν εκανε απολυτως τιποτα δεν θα εκανε νουμερα, τωρα τι κανει δεν ξερω και που το βρηκα.
Παντως το εχω και στο 951 με την κινητη αλλα εκει δεν εχει τιποτα απο νουμερα.

Ναι δουλευει το port scan απο το κινητο μεσω 4G στο ονομα του noip.

**jkarabas** · 12-12-18, 23:06

Αρχικό μήνυμα από Nikiforos

το οτι εχει μετρησεις σημαινει οτι κατι πιανει, αν δεν εκανε απολυτως τιποτα δεν θα εκανε νουμερα, τωρα τι κανει δεν ξερω και που το βρηκα.
Παντως το εχω και στο 951 με την κινητη αλλα εκει δεν εχει τιποτα απο νουμερα.

Ναι δουλευει το port scan απο το κινητο μεσω 4G στο ονομα του noip.

Πακέτα πιάνει αλλά τι κάνει όμως??
Στη βάζει μέσα στα port address? Δεν μπορω να καταλάβω γιατί σε μένα δεν το πιάνει και έχω αλλάξει τις σειρές, κάτι μου διαφεύγει.

**Nikiforos** · 12-12-18, 23:11

Αρχικό μήνυμα από jkarabas

Πακέτα πιάνει αλλά τι κάνει όμως??
Στη βάζει μέσα στα port address? Δεν μπορω να καταλάβω γιατί σε μένα δεν το πιάνει και έχω αλλάξει τις σειρές, κάτι μου διαφεύγει.

δεν ξερω τι κανει, ψαχνω στο google και δεν βρισκω τιποτα, αν ξερει καποιος αλλος ας μας πει.
ναι μου δειχνει κανονικα την ip. Ειναι σιγουρα με την σωστη σειρα?
γιατι οταν εκανα δοκιμες καπου αλλου εβαλα τον κανονα και δεν επιανε.

Θέμα: Mikrotik IPv4/IPv6 firewall

Παρόμοια Θέματα

Mikrotik IPv6 σε PPPoE client με modem σε bridge mode

Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ

Mikrotik 2011 DHCP lease failed without success Point to Multipoint

IPV6 + IPV4 SPEED TEST

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές