Mikrotik IPv4/IPv6 firewall

[teodor_ch]

Κώδικας:

/ip firewall filter
add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
    fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp
add action=accept chain=forward comment="DVR exoxiko apo kinito" in-interface=pppoe-out1 out-interface=bridge1-lan-wlan
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=accept chain=forward connection-nat-state=dstnat log=yes
add action=accept chain=input connection-nat-state=dstnat 
add action=accept chain=forward connection-nat-state=dstnat 
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else" log=yes log-prefix=forward-all-others"disabled=yes

Τους τελευταίους 2-3 κανόνες σου πείραξα.
το drop forward all others είναι disabled για να μή σε πετάξει απο το νετ

ενεργοποίησε αν έχεις εξασφαλισμένη πρόσβαση
και βάλε ένα μέρος του LOG

αν θές γράψε επίσης τα ip ranges (είτε single IP είτε subnet είτε range πχ. 192.168.1.50-192.168.1.60) που δεν έχουν πρόσβαση απο την κάθε πλευρά

[Nikiforos]

expected end of command (line 1 column 107) ενταξει το βρηκα πρεπει να βγει ενα " μετα το others add action=drop chain=forward comment="Drop forward everything else" log=yes log-prefix=forward-all-others"disabled=yes

δεν παω εξοχικο μεσω ιντερνετ αλλα μεσω awmn οποτε δεν με πεταει.
αυτο με τα ip ranges που δεν εχουν προσβαση που εννοεις?

τα εκανα οπως εγραψες και παλι δεν εχω ιντερνετ εξοχικο.
ομως απο το κινητο μπαινω στο καταγραφικο μεσω ιντερνετ.
Ειναι 3 διαφορετικα πραγματα που πλεκετε το openvpn.
Tα λεω αναλυτικα :

1. Nα εχω ιντερνετ στο εξοχικο μεσω εξωτερικων ασυρματων δικτυων AWMN δλδ.
2. Να μπορω απο το κινητο να μπαινω μεσω ιντερνετ κινητης απευθειας στο καταγραφικο να βλεπω τις καμερες μου εκει, αυτο εχει σχεση και με το να ερχονται emails αν οι καμερες δουν κινηση.
3. Συνδεση απο το κινητο με το openvpn client ωστε να εχω ip απο το subnet μου στην Αθηνα δλδ.

[teodor_ch]

/ip firewall filter add action=drop chain=forward comment="Drop forward everything else" log=yes log-prefix="forward-all-others" disabled=no

το έκανα λοιπόν enable


να μου πείς απο ποιές ΙΡ δεν βλέπεις ποιές ΙΡ

ή δώσε το log και βλέπουμε

[Nikiforos]

τελικα ειναι να τραβαμε τα μαλια μας! οι δοκιμες επειδη ειναι 3 διαφορετικα πραγματα οπως ειπα απο πανω ειναι χρονοβορες και ακρη δεν εχω βγαλει.
Με αυτα που καναμε τωρα εχει γινει το εξης :
Μεσω κινητου μπαινω στις καμερες, συνδεεται το openvpn client αλλα δεν περναει κινηση μεσω ιντερνετ κινητης, και στο εξοχικο δεν εχω καθολου ιντερνετ.
Παραθετω logs εγω δεν βγαζω ακρη παντως.

Παραθετω και τους παλιους κανονες μηπως βοηθανε σε κατι, δυστυχως με print και δεν ειχα ΚΑΝΕΝΑ προβλημα τοτε! εννοειτε οτι τους εχω σβησει ετσι?
οταν τους αλλαξα με το τελευταιο tutorial του deni εγιναν τα προβληματα προφανως κατι εχει αλλαξει.

Κώδικας:

/ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; OPENVPN
      chain=input action=accept protocol=tcp dst-port=1722 log=no log-prefix="" 

 1    ;;; place hotspot rules here
      chain=unused-hs-chain action=passthrough log=no log-prefix="" 

 2    ;;; Port scanners to list 
      chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1 address-list=port scanners address-list-timeout=2w log=no log-prefix="" 

 3    ;;; NMAP FIN Stealth scan
      chain=input action=add-src-to-address-list tcp-flags=fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 

 4    ;;; SYN/RST scan
      chain=input action=add-src-to-address-list tcp-flags=syn,rst protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 

 5    ;;; SYN/FIN scan
      chain=input action=add-src-to-address-list tcp-flags=fin,syn protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 

 6    ;;; FIN/PSH/URG scan
      chain=input action=add-src-to-address-list tcp-flags=fin,psh,urg,!syn,!rst,!ack protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 

 7    ;;; ALL/ALL scan
      chain=input action=add-src-to-address-list tcp-flags=fin,syn,rst,psh,ack,urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 

 8    ;;; NMAP NULL scan
      chain=input action=add-src-to-address-list tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 

 9    ;;; dropping port scanners
      chain=input action=drop src-address-list=port scanners log=no log-prefix="" 

10    ;;; Echo reply
      chain=icmp action=accept protocol=icmp icmp-options=0:0 log=no log-prefix="" 

11    ;;; Net unreachable
      chain=icmp action=accept protocol=icmp icmp-options=3:0 log=no log-prefix="" 

12    ;;; Host unreachable
      chain=icmp action=accept protocol=icmp icmp-options=3:1 log=no log-prefix="" 

13    ;;; Allow source quench
      chain=icmp action=accept protocol=icmp icmp-options=4:0 log=no log-prefix="" 

14    ;;; Allow echo request
      chain=icmp action=accept protocol=icmp icmp-options=8:0 log=no log-prefix="" 

15    ;;; Allow time exceed
      chain=icmp action=accept protocol=icmp icmp-options=11:0 log=no log-prefix="" 
16    ;;; Allow parameter bad
      chain=icmp action=accept protocol=icmp icmp-options=12:0 log=no log-prefix="" 

17    ;;; Deny all other types
      chain=icmp action=drop log=no log-prefix="" 

18    ;;; Disable ICMP ping
      chain=input action=drop protocol=icmp in-interface=pppoe-out1 log=no log-prefix="" 

19    ;;; Port scanners to list 
      chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1 address-list=port scanners address-list-timeout=2w in-interface=pppoe-out1 log=no log-prefix="" 

20    ;;; NMAP FIN Stealth scan
      chain=input action=add-src-to-address-list tcp-flags=fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 

21    ;;; SYN/FIN scan
      chain=input action=add-src-to-address-list tcp-flags=fin,syn protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 

22    ;;; SYN/RST scan
      chain=input action=add-src-to-address-list tcp-flags=syn,rst protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 

23    ;;; FIN/PSH/URG scan
      chain=input action=add-src-to-address-list tcp-flags=fin,psh,urg,!syn,!rst,!ack protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 

24    ;;; ALL/ALL scan
      chain=input action=add-src-to-address-list tcp-flags=fin,syn,rst,psh,ack,urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 

25    ;;; NMAP NULL scan
      chain=input action=add-src-to-address-list tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 

26    ;;; Dropping port scanners
      chain=input action=drop src-address-list=port scanners log=no log-prefix="" 

27    ;;; Drop Invalid connections
      chain=input action=drop connection-state=invalid log=no log-prefix="" 

28    ;;; Allow Established connections
      chain=input action=accept connection-state=established log=no log-prefix="" 

29    ;;; Drop invalid connections
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

30    ;;; Allow already established connections
      chain=forward action=accept connection-state=established log=no log-prefix="" 

31    ;;; Allow related connections
      chain=forward action=accept connection-state=related log=no log-prefix="" 
32    chain=forward action=drop src-address=127.0.0.0/8 log=no log-prefix="" 

33    chain=forward action=drop dst-address=127.0.0.0/8 log=no log-prefix="" 

34    chain=forward action=drop src-address=169.254.0.0/16 log=no log-prefix="" 

35    chain=forward action=drop dst-address=169.254.0.0/16 log=no log-prefix="" 

36    chain=forward action=drop src-address=172.16.0.0/12 log=no log-prefix="" 

37    chain=forward action=drop dst-address=172.16.0.0/12 log=no log-prefix="" 

38    chain=forward action=drop src-address=192.0.0.0/24 log=no log-prefix="" 

39    chain=forward action=drop dst-address=192.0.0.0/24 log=no log-prefix="" 

40    chain=forward action=drop src-address=192.0.2.0/24 log=no log-prefix="" 

41    chain=forward action=drop dst-address=192.0.2.0/24 log=no log-prefix="" 

42    chain=forward action=drop src-address=198.18.0.0/15 log=no log-prefix="" 

43    chain=forward action=drop dst-address=198.18.0.0/15 log=no log-prefix="" 

44    chain=forward action=drop src-address=198.51.100.0/24 log=no log-prefix="" 

45    chain=forward action=drop dst-address=198.51.100.0/24 log=no log-prefix="" 

46    chain=forward action=drop src-address=203.0.113.0/24 log=no log-prefix="" 

47    chain=forward action=drop dst-address=203.0.113.0/24 log=no log-prefix="" 

48    chain=forward action=drop src-address=224.0.0.0/3 log=no log-prefix="" 

49    chain=forward action=drop dst-address=224.0.0.0/3 log=no log-prefix="" 

50    ;;; Make jumps to new chains
      chain=forward action=jump jump-target=tcp protocol=tcp in-interface=pppoe-out1 log=no log-prefix="" 

51    chain=forward action=jump jump-target=udp protocol=udp in-interface=pppoe-out1 log=no log-prefix="" 

52    chain=forward action=jump jump-target=icmp protocol=icmp in-interface=pppoe-out1 log=no log-prefix="" 

53    ;;; Deny TFTP
      chain=tcp action=drop protocol=tcp dst-port=69 log=no log-prefix="" 
54    ;;; Deny RPC portmapper
      chain=tcp action=drop protocol=tcp dst-port=111 log=no log-prefix="" 

55    ;;; Deny RPC portmapper
      chain=tcp action=drop protocol=tcp dst-port=135 log=no log-prefix="" 

56    ;;; Deny NBT
      chain=tcp action=drop protocol=tcp dst-port=137-139 log=no log-prefix="" 

57    ;;; Deny cifs
      chain=tcp action=drop protocol=tcp dst-port=445 log=no log-prefix="" 

58    ;;; Deny NFS
      chain=tcp action=drop protocol=tcp dst-port=2049 log=no log-prefix="" 

59    ;;; Deny NetBus
      chain=tcp action=drop protocol=tcp dst-port=12345-12346 log=no log-prefix="" 

60    ;;; Deny NetBus
      chain=tcp action=drop protocol=tcp dst-port=20034 log=no log-prefix="" 

61    ;;; Deny  BackOriffice
      chain=tcp action=drop protocol=tcp dst-port=3133 log=no log-prefix="" 

62    ;;; Deny TFTP
      chain=udp action=drop protocol=udp dst-port=69 log=no log-prefix="" 

63    ;;; Deny PRC portmapper
      chain=udp action=drop protocol=udp dst-port=111 log=no log-prefix="" 

64    ;;; Deny PRC portmapper
      chain=udp action=drop protocol=udp dst-port=135 log=no log-prefix="" 

65    ;;; Deny NBT
      chain=udp action=drop protocol=udp dst-port=137-139 log=no log-prefix="" 

66    ;;; Deny NFS
      chain=udp action=drop protocol=udp dst-port=2049 log=no log-prefix="" 

67    ;;; Deny BackOriffice
      chain=udp action=drop protocol=udp dst-port=3133 log=no log-prefix="" 

68    ;;; Allow established connections
      chain=input action=accept connection-state=established log=no log-prefix="" 
69    ;;; Allow related connections
      chain=input action=accept connection-state=related log=no log-prefix="" 

70    ;;; Drop invalid connections
      chain=input action=drop connection-state=invalid log=no log-prefix="" 

71    ;;; Allow established connections
      chain=forward action=accept connection-state=established log=no log-prefix="" 

72    ;;; Allow related connections
      chain=forward action=accept connection-state=related log=no log-prefix="" 

73    ;;; Drop invalid connections
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

[teodor_ch]

/ip firewall filter add chain=forward comment="From our VPN" src-address=10.2.237.248/29

και βάλε το πάνω απο τα drop all others (τα οποία πάντα πρέπει να είναι τελευταία. μπορεί να το ξέρεις αλλά καλύτερα να το ξαναπώ)

- - - Updated - - -

για αυτό σου είπα να μου πείς τα ΙΡ ranges που έχεις θέμα

εκτός απο το 10.2.237.248/29
το οποίο το κάναμε accept (και είναι δικό σου σωστά?)

βλέπω και ένα 10.2.237.128/29
αν το θές και αυτό βάλε και για αυτό κανόνα

- - - Updated - - -

βάλε κανόνα και πάλι LOG και πές και τί δε δουλεύει με το ΙΡ του

[Nikiforos]

καλα πλακα μου κανεις?
τωρα ολα δουλευουν μονο με το 1ο κανονα!
αυτο δεν χρειαζεται τωρα : add action=accept chain=forward comment="DVR exoxiko apo kinito" in-interface=pppoe-out1 out-interface=bridge1-lan-wlan

εβαλα εναν κανονα και για το 10.2.237.128/29 αυτο εδω περα ειναι vpn pptp που δεν το δουλευω τωρα.

[teodor_ch]

γενικά πρέπει να αφήσεις ότι θές να περνάει μέσα απο το ΜΚ
και δεν αρκεί το
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp

γιατί έχεις in-interface ppp (του OVPN)

θα μπορούσες να βάλεις

add action=accept chain=forward comment="Allow all forward from VPN" in-interface=<ovpn-nikiforos>
αλλά επειδή είναι dynamic name νομίζω είχα κάποιο πρόβλημα όταν το προσπαθούσα

και έτσι το έκανα μέσω
add action=accept chain=forward comment="Allow all forward from VPN" src-address= ip subnet του OVPN

[Nikiforos]

ωραιος, ευχαριστω με εφτιαξες παραθετω τωρα πως ειναι ακριβως :

Κώδικας:

/ip firewall filter
add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
    fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=accept chain=forward connection-nat-state=dstnat log=yes
add action=accept chain=input connection-nat-state=dstnat
add action=accept chain=forward connection-nat-state=dstnat
add action=accept chain=forward comment="From our OpenVPN" src-address=10.2.237.248/29
add action=accept chain=forward comment="From our VPN_PPTP" src-address=10.2.237.128/29
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else" log=yes log-prefix=forward-all-others

βεβαια δεν βλεπω ακομα emails αλλα πιστευω να μην ειναι κατι ξεχωριστο αυτο και θελουμε αλλο κανονα παλι!
λογικα περναει οπως οταν συνδεομαι στις καμερες απευθειας απο ιντερνετ κινητης γιατι οποτε δεν δουλευε αυτο δεν ερχονταν και τα emails.

[teodor_ch]

Σωστός!
αφαίρεσε και αυτό να μή σου γεμίζει το λογ
log=yes log-prefix=forward-all-others

και ομαδοποίησε τα input/forward για να είναι και πιο εύκολο να ψάχνεις/διορθώνεις κάτι

ΕΚΤΟΣ απο τα DROP ALL OTHERS που πρέπει να είναι στο τέλος

Η διαφορά με το παλιό firewall είναι τα drop all others
που είχα ανοίξει εγώ τη συζήτηση με τον Deni.
Πρίν στην ουσία μόνο τα 2-3 drop έκαναν δουλειά αφού στο τέλος υπήρχε ένα accept all others!

Δοκίμασε κάτι όποτε βαριέσαι.
Απενεργοποίσε τα drop all others και ζήτα κάποιον απο το ΑWMN να σε ψάξει μέσω samba //dikia-sou-ip
Φοβάμαι ότι θα σε βρεί παρόλα τα OVPN που έχεις!

σβήσε και αυτό που υπάρχει δύο φορές
add action=accept chain=forward connection-nat-state=dstnat log=yes

[Nikiforos]

τελικα ερχονται και emails!

Δοκίμασε κάτι όποτε βαριέσαι.
Απενεργοποίσε τα drop all others και ζήτα κάποιον απο το ΑWMN να σε ψάξει μέσω samba //dikia-sou-ip
Φοβάμαι ότι θα σε βρεί παρόλα τα OVPN που έχεις!

Το openvpn τι σχεση εχει δεν καταλαβα, τι εννοεις να εχουν προσβαση σε τι, στην samba στο desktop pc ή στο 109 πχ?
Το awmn βλεπει ολους τους αλλους, δεν περναμε μεσω VPN δλδ αν αυτο εννοεις.
Το vpn το θελουμε μονο αμα θελουμε να περασουμε ιντερνετ μεσω του awmn να δωσουμε δλδ αλλου ή αν θες να εχεις awmn ips μεσω internet οπως κανω πχ εγω στο κινητο.
Για το awmn στο 433ΑΗ που ειναι το ασυρματο ρουτερ εχω filter rules και κοβουν την προσβαση σε προσωπικα μου μηχανηματα.
Εχω δλδ και στο 433ΑΗ και στο 951 στο εξοχικο εναν κανονα να βλεπονται μεταξυ τους τα δικα μου subnet και τα μηχανηματα μου οσα δεν ειναι αναγκη να τα βλεπουν ολοι τα κοβω απο το 10.0.0.0/8 δλδ πχ το καταγραφικο dvr cctv γιατι να το βλεπουν ολοι? Δεν θα αφηνα τα εσωτερικα μου μηχανηματα ανοιχτα σε ολο το AWMN!
τετοια μηχανηματα πχ ειναι δικτυακος εκτυπωτης, καταγραφικο για καμερες CCTV, ipcamera κτλ. Πραγματα δλδ που ΔΕΝ δημιουργουν προβληματα στην λειτουργια του δικτυου.
Γενικα επειδη υπαρχει τροπος (στην σελιδα καταχωρησεων κομβων) να βρισκεις ευκολα σε ποιον ανηκει το καθε subnet και που ειναι αυτος δεν εχουμε κρουσματα χακεραδων κτλ, οποτε δεν εχουμε προβλημα, ειναι καλα παιδια στο δικτυο

επειδη πρεπει να παω για υπνο, ευχαριστω και παλι που βρηκες την λυση γιατι ειχα φαει ωρες!
επισης παραθετω την τελευταια εκδοση των filters :

Κώδικας:

/ip firewall filter
add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
    fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=accept chain=forward connection-nat-state=dstnat
add action=accept chain=input connection-nat-state=dstnat
add action=accept chain=forward comment="From our OpenVPN" src-address=10.2.237.248/29
add action=accept chain=forward comment="From our VPN_PPTP" src-address=10.2.237.128/29
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else" log-prefix=forward-all-others

καληνυχτα!

[teodor_ch]

αυτό που θέλω να πώ, είναι ότι χωρίς το drop all others
δεν υπάρχει firewall

και αν είναι σε κοινό bridge οι θύρες του εσωτερικού δικτύου με του ασύρματου τότε βλέπουν ο ένας τον άλλο

[deniSun]

Γενικά η λογική είναι...
Κόβεις τα πάντα και αφήνεις να περάσουν μόνο ότι θέλεις.

[macro]

εγω το !dst δε το εχω βαλει και μου παιζουν ολα κανονικα. Μπορει να ειναι τυχαιο βεβαια και απλα να μη μου εχει τυχει ακομη.

Δεν εχω vpn ομως.

[teodor_ch]

έχεις ΝΑΤ dst κανόνες?
αν ναί,
έχεις τα input/forward drop all others?
αν ναί, τότε κάτι άλλο συμβαίνει που δε γνωρίζω

[macro]

Ναι τα εχω ολα αυτα,

Νατ εκτος απο το βασικο εχω αλλα 2.... ενα για τα τορρεντς και ενα για να εχω access στο modem. input forward τελευταιοι κανονες.