Τους τελευταίους 2-3 κανόνες σου πείραξα.Κώδικας:/ip firewall filter add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=\ fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners" add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp add action=accept chain=forward comment="DVR exoxiko apo kinito" in-interface=pppoe-out1 out-interface=bridge1-lan-wlan add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp add action=accept chain=forward connection-nat-state=dstnat log=yes add action=accept chain=input connection-nat-state=dstnat add action=accept chain=forward connection-nat-state=dstnat add action=drop chain=input comment="Drop input everything else" add action=drop chain=forward comment="Drop forward everything else" log=yes log-prefix=forward-all-others"disabled=yes
το drop forward all others είναι disabled για να μή σε πετάξει απο το νετ
ενεργοποίησε αν έχεις εξασφαλισμένη πρόσβαση
και βάλε ένα μέρος του LOG
αν θές γράψε επίσης τα ip ranges (είτε single IP είτε subnet είτε range πχ. 192.168.1.50-192.168.1.60) που δεν έχουν πρόσβαση απο την κάθε πλευρά
Εμφάνιση 331-345 από 2112
-
13-09-16, 21:23 Απάντηση: Mikrotik IPv4/IPv6 firewall #331
-
13-09-16, 21:31 Απάντηση: Mikrotik IPv4/IPv6 firewall #332
expected end of command (line 1 column 107) ενταξει το βρηκα πρεπει να βγει ενα " μετα το others add action=drop chain=forward comment="Drop forward everything else" log=yes log-prefix=forward-all-others"disabled=yes
δεν παω εξοχικο μεσω ιντερνετ αλλα μεσω awmn οποτε δεν με πεταει.
αυτο με τα ip ranges που δεν εχουν προσβαση που εννοεις?
τα εκανα οπως εγραψες και παλι δεν εχω ιντερνετ εξοχικο.
ομως απο το κινητο μπαινω στο καταγραφικο μεσω ιντερνετ.
Ειναι 3 διαφορετικα πραγματα που πλεκετε το openvpn.
Tα λεω αναλυτικα :
1. Nα εχω ιντερνετ στο εξοχικο μεσω εξωτερικων ασυρματων δικτυων AWMN δλδ.
2. Να μπορω απο το κινητο να μπαινω μεσω ιντερνετ κινητης απευθειας στο καταγραφικο να βλεπω τις καμερες μου εκει, αυτο εχει σχεση και με το να ερχονται emails αν οι καμερες δουν κινηση.
3. Συνδεση απο το κινητο με το openvpn client ωστε να εχω ip απο το subnet μου στην Αθηνα δλδ.Τελευταία επεξεργασία από το μέλος Nikiforos : 13-09-16 στις 21:38.
-
13-09-16, 21:34 Απάντηση: Mikrotik IPv4/IPv6 firewall #333
/ip firewall filter add action=drop chain=forward comment="Drop forward everything else" log=yes log-prefix="forward-all-others" disabled=no
το έκανα λοιπόν enable
να μου πείς απο ποιές ΙΡ δεν βλέπεις ποιές ΙΡ
ή δώσε το log και βλέπουμε
-
13-09-16, 21:45 Απάντηση: Mikrotik IPv4/IPv6 firewall #334
τελικα ειναι να τραβαμε τα μαλια μας! οι δοκιμες επειδη ειναι 3 διαφορετικα πραγματα οπως ειπα απο πανω ειναι χρονοβορες και ακρη δεν εχω βγαλει.
Με αυτα που καναμε τωρα εχει γινει το εξης :
Μεσω κινητου μπαινω στις καμερες, συνδεεται το openvpn client αλλα δεν περναει κινηση μεσω ιντερνετ κινητης, και στο εξοχικο δεν εχω καθολου ιντερνετ.
Παραθετω logs εγω δεν βγαζω ακρη παντως.
Παραθετω και τους παλιους κανονες μηπως βοηθανε σε κατι, δυστυχως με print και δεν ειχα ΚΑΝΕΝΑ προβλημα τοτε! εννοειτε οτι τους εχω σβησει ετσι?
οταν τους αλλαξα με το τελευταιο tutorial του deni εγιναν τα προβληματα προφανως κατι εχει αλλαξει.
Κώδικας:/ip firewall filter> print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; OPENVPN chain=input action=accept protocol=tcp dst-port=1722 log=no log-prefix="" 1 ;;; place hotspot rules here chain=unused-hs-chain action=passthrough log=no log-prefix="" 2 ;;; Port scanners to list chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1 address-list=port scanners address-list-timeout=2w log=no log-prefix="" 3 ;;; NMAP FIN Stealth scan chain=input action=add-src-to-address-list tcp-flags=fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 4 ;;; SYN/RST scan chain=input action=add-src-to-address-list tcp-flags=syn,rst protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 5 ;;; SYN/FIN scan chain=input action=add-src-to-address-list tcp-flags=fin,syn protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 6 ;;; FIN/PSH/URG scan chain=input action=add-src-to-address-list tcp-flags=fin,psh,urg,!syn,!rst,!ack protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 7 ;;; ALL/ALL scan chain=input action=add-src-to-address-list tcp-flags=fin,syn,rst,psh,ack,urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 8 ;;; NMAP NULL scan chain=input action=add-src-to-address-list tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 9 ;;; dropping port scanners chain=input action=drop src-address-list=port scanners log=no log-prefix="" 10 ;;; Echo reply chain=icmp action=accept protocol=icmp icmp-options=0:0 log=no log-prefix="" 11 ;;; Net unreachable chain=icmp action=accept protocol=icmp icmp-options=3:0 log=no log-prefix="" 12 ;;; Host unreachable chain=icmp action=accept protocol=icmp icmp-options=3:1 log=no log-prefix="" 13 ;;; Allow source quench chain=icmp action=accept protocol=icmp icmp-options=4:0 log=no log-prefix="" 14 ;;; Allow echo request chain=icmp action=accept protocol=icmp icmp-options=8:0 log=no log-prefix="" 15 ;;; Allow time exceed chain=icmp action=accept protocol=icmp icmp-options=11:0 log=no log-prefix="" 16 ;;; Allow parameter bad chain=icmp action=accept protocol=icmp icmp-options=12:0 log=no log-prefix="" 17 ;;; Deny all other types chain=icmp action=drop log=no log-prefix="" 18 ;;; Disable ICMP ping chain=input action=drop protocol=icmp in-interface=pppoe-out1 log=no log-prefix="" 19 ;;; Port scanners to list chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1 address-list=port scanners address-list-timeout=2w in-interface=pppoe-out1 log=no log-prefix="" 20 ;;; NMAP FIN Stealth scan chain=input action=add-src-to-address-list tcp-flags=fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 21 ;;; SYN/FIN scan chain=input action=add-src-to-address-list tcp-flags=fin,syn protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 22 ;;; SYN/RST scan chain=input action=add-src-to-address-list tcp-flags=syn,rst protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 23 ;;; FIN/PSH/URG scan chain=input action=add-src-to-address-list tcp-flags=fin,psh,urg,!syn,!rst,!ack protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 24 ;;; ALL/ALL scan chain=input action=add-src-to-address-list tcp-flags=fin,syn,rst,psh,ack,urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 25 ;;; NMAP NULL scan chain=input action=add-src-to-address-list tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix="" 26 ;;; Dropping port scanners chain=input action=drop src-address-list=port scanners log=no log-prefix="" 27 ;;; Drop Invalid connections chain=input action=drop connection-state=invalid log=no log-prefix="" 28 ;;; Allow Established connections chain=input action=accept connection-state=established log=no log-prefix="" 29 ;;; Drop invalid connections chain=forward action=drop connection-state=invalid log=no log-prefix="" 30 ;;; Allow already established connections chain=forward action=accept connection-state=established log=no log-prefix="" 31 ;;; Allow related connections chain=forward action=accept connection-state=related log=no log-prefix="" 32 chain=forward action=drop src-address=127.0.0.0/8 log=no log-prefix="" 33 chain=forward action=drop dst-address=127.0.0.0/8 log=no log-prefix="" 34 chain=forward action=drop src-address=169.254.0.0/16 log=no log-prefix="" 35 chain=forward action=drop dst-address=169.254.0.0/16 log=no log-prefix="" 36 chain=forward action=drop src-address=172.16.0.0/12 log=no log-prefix="" 37 chain=forward action=drop dst-address=172.16.0.0/12 log=no log-prefix="" 38 chain=forward action=drop src-address=192.0.0.0/24 log=no log-prefix="" 39 chain=forward action=drop dst-address=192.0.0.0/24 log=no log-prefix="" 40 chain=forward action=drop src-address=192.0.2.0/24 log=no log-prefix="" 41 chain=forward action=drop dst-address=192.0.2.0/24 log=no log-prefix="" 42 chain=forward action=drop src-address=198.18.0.0/15 log=no log-prefix="" 43 chain=forward action=drop dst-address=198.18.0.0/15 log=no log-prefix="" 44 chain=forward action=drop src-address=198.51.100.0/24 log=no log-prefix="" 45 chain=forward action=drop dst-address=198.51.100.0/24 log=no log-prefix="" 46 chain=forward action=drop src-address=203.0.113.0/24 log=no log-prefix="" 47 chain=forward action=drop dst-address=203.0.113.0/24 log=no log-prefix="" 48 chain=forward action=drop src-address=224.0.0.0/3 log=no log-prefix="" 49 chain=forward action=drop dst-address=224.0.0.0/3 log=no log-prefix="" 50 ;;; Make jumps to new chains chain=forward action=jump jump-target=tcp protocol=tcp in-interface=pppoe-out1 log=no log-prefix="" 51 chain=forward action=jump jump-target=udp protocol=udp in-interface=pppoe-out1 log=no log-prefix="" 52 chain=forward action=jump jump-target=icmp protocol=icmp in-interface=pppoe-out1 log=no log-prefix="" 53 ;;; Deny TFTP chain=tcp action=drop protocol=tcp dst-port=69 log=no log-prefix="" 54 ;;; Deny RPC portmapper chain=tcp action=drop protocol=tcp dst-port=111 log=no log-prefix="" 55 ;;; Deny RPC portmapper chain=tcp action=drop protocol=tcp dst-port=135 log=no log-prefix="" 56 ;;; Deny NBT chain=tcp action=drop protocol=tcp dst-port=137-139 log=no log-prefix="" 57 ;;; Deny cifs chain=tcp action=drop protocol=tcp dst-port=445 log=no log-prefix="" 58 ;;; Deny NFS chain=tcp action=drop protocol=tcp dst-port=2049 log=no log-prefix="" 59 ;;; Deny NetBus chain=tcp action=drop protocol=tcp dst-port=12345-12346 log=no log-prefix="" 60 ;;; Deny NetBus chain=tcp action=drop protocol=tcp dst-port=20034 log=no log-prefix="" 61 ;;; Deny BackOriffice chain=tcp action=drop protocol=tcp dst-port=3133 log=no log-prefix="" 62 ;;; Deny TFTP chain=udp action=drop protocol=udp dst-port=69 log=no log-prefix="" 63 ;;; Deny PRC portmapper chain=udp action=drop protocol=udp dst-port=111 log=no log-prefix="" 64 ;;; Deny PRC portmapper chain=udp action=drop protocol=udp dst-port=135 log=no log-prefix="" 65 ;;; Deny NBT chain=udp action=drop protocol=udp dst-port=137-139 log=no log-prefix="" 66 ;;; Deny NFS chain=udp action=drop protocol=udp dst-port=2049 log=no log-prefix="" 67 ;;; Deny BackOriffice chain=udp action=drop protocol=udp dst-port=3133 log=no log-prefix="" 68 ;;; Allow established connections chain=input action=accept connection-state=established log=no log-prefix="" 69 ;;; Allow related connections chain=input action=accept connection-state=related log=no log-prefix="" 70 ;;; Drop invalid connections chain=input action=drop connection-state=invalid log=no log-prefix="" 71 ;;; Allow established connections chain=forward action=accept connection-state=established log=no log-prefix="" 72 ;;; Allow related connections chain=forward action=accept connection-state=related log=no log-prefix="" 73 ;;; Drop invalid connections chain=forward action=drop connection-state=invalid log=no log-prefix=""
-
13-09-16, 21:53 Απάντηση: Mikrotik IPv4/IPv6 firewall #335
/ip firewall filter add chain=forward comment="From our VPN" src-address=10.2.237.248/29
και βάλε το πάνω απο τα drop all others (τα οποία πάντα πρέπει να είναι τελευταία. μπορεί να το ξέρεις αλλά καλύτερα να το ξαναπώ)
- - - Updated - - -
για αυτό σου είπα να μου πείς τα ΙΡ ranges που έχεις θέμα
εκτός απο το 10.2.237.248/29
το οποίο το κάναμε accept (και είναι δικό σου σωστά?)
βλέπω και ένα 10.2.237.128/29
αν το θές και αυτό βάλε και για αυτό κανόνα
- - - Updated - - -
βάλε κανόνα και πάλι LOG και πές και τί δε δουλεύει με το ΙΡ του
-
13-09-16, 21:54 Απάντηση: Mikrotik IPv4/IPv6 firewall #336
καλα πλακα μου κανεις?
τωρα ολα δουλευουν μονο με το 1ο κανονα!
αυτο δεν χρειαζεται τωρα : add action=accept chain=forward comment="DVR exoxiko apo kinito" in-interface=pppoe-out1 out-interface=bridge1-lan-wlan
εβαλα εναν κανονα και για το 10.2.237.128/29 αυτο εδω περα ειναι vpn pptp που δεν το δουλευω τωρα.Τελευταία επεξεργασία από το μέλος Nikiforos : 13-09-16 στις 22:05.
-
13-09-16, 22:04 Απάντηση: Mikrotik IPv4/IPv6 firewall #337
γενικά πρέπει να αφήσεις ότι θές να περνάει μέσα απο το ΜΚ
και δεν αρκεί το
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
γιατί έχεις in-interface ppp (του OVPN)
θα μπορούσες να βάλεις
add action=accept chain=forward comment="Allow all forward from VPN" in-interface=<ovpn-nikiforos>
αλλά επειδή είναι dynamic name νομίζω είχα κάποιο πρόβλημα όταν το προσπαθούσα
και έτσι το έκανα μέσω
add action=accept chain=forward comment="Allow all forward from VPN" src-address= ip subnet του OVPN
-
13-09-16, 22:06 Απάντηση: Mikrotik IPv4/IPv6 firewall #338
ωραιος, ευχαριστω με εφτιαξες παραθετω τωρα πως ειναι ακριβως :
Κώδικας:/ip firewall filter add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=\ fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners" add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp add action=accept chain=forward connection-nat-state=dstnat log=yes add action=accept chain=input connection-nat-state=dstnat add action=accept chain=forward connection-nat-state=dstnat add action=accept chain=forward comment="From our OpenVPN" src-address=10.2.237.248/29 add action=accept chain=forward comment="From our VPN_PPTP" src-address=10.2.237.128/29 add action=drop chain=input comment="Drop input everything else" add action=drop chain=forward comment="Drop forward everything else" log=yes log-prefix=forward-all-others
λογικα περναει οπως οταν συνδεομαι στις καμερες απευθειας απο ιντερνετ κινητης γιατι οποτε δεν δουλευε αυτο δεν ερχονταν και τα emails.
-
13-09-16, 22:13 Απάντηση: Mikrotik IPv4/IPv6 firewall #339
Σωστός!
αφαίρεσε και αυτό να μή σου γεμίζει το λογ
log=yes log-prefix=forward-all-others
και ομαδοποίησε τα input/forward για να είναι και πιο εύκολο να ψάχνεις/διορθώνεις κάτι
ΕΚΤΟΣ απο τα DROP ALL OTHERS που πρέπει να είναι στο τέλος
Η διαφορά με το παλιό firewall είναι τα drop all others
που είχα ανοίξει εγώ τη συζήτηση με τον Deni.
Πρίν στην ουσία μόνο τα 2-3 drop έκαναν δουλειά αφού στο τέλος υπήρχε ένα accept all others!
Δοκίμασε κάτι όποτε βαριέσαι.
Απενεργοποίσε τα drop all others και ζήτα κάποιον απο το ΑWMN να σε ψάξει μέσω samba //dikia-sou-ip
Φοβάμαι ότι θα σε βρεί παρόλα τα OVPN που έχεις!
σβήσε και αυτό που υπάρχει δύο φορές
add action=accept chain=forward connection-nat-state=dstnat log=yes
-
13-09-16, 22:26 Απάντηση: Mikrotik IPv4/IPv6 firewall #340
τελικα ερχονται και emails!
Το openvpn τι σχεση εχει δεν καταλαβα, τι εννοεις να εχουν προσβαση σε τι, στην samba στο desktop pc ή στο 109 πχ?
Το awmn βλεπει ολους τους αλλους, δεν περναμε μεσω VPN δλδ αν αυτο εννοεις.
Το vpn το θελουμε μονο αμα θελουμε να περασουμε ιντερνετ μεσω του awmn να δωσουμε δλδ αλλου ή αν θες να εχεις awmn ips μεσω internet οπως κανω πχ εγω στο κινητο.
Για το awmn στο 433ΑΗ που ειναι το ασυρματο ρουτερ εχω filter rules και κοβουν την προσβαση σε προσωπικα μου μηχανηματα.
Εχω δλδ και στο 433ΑΗ και στο 951 στο εξοχικο εναν κανονα να βλεπονται μεταξυ τους τα δικα μου subnet και τα μηχανηματα μου οσα δεν ειναι αναγκη να τα βλεπουν ολοι τα κοβω απο το 10.0.0.0/8 δλδ πχ το καταγραφικο dvr cctv γιατι να το βλεπουν ολοι? Δεν θα αφηνα τα εσωτερικα μου μηχανηματα ανοιχτα σε ολο το AWMN!
τετοια μηχανηματα πχ ειναι δικτυακος εκτυπωτης, καταγραφικο για καμερες CCTV, ipcamera κτλ. Πραγματα δλδ που ΔΕΝ δημιουργουν προβληματα στην λειτουργια του δικτυου.
Γενικα επειδη υπαρχει τροπος (στην σελιδα καταχωρησεων κομβων) να βρισκεις ευκολα σε ποιον ανηκει το καθε subnet και που ειναι αυτος δεν εχουμε κρουσματα χακεραδων κτλ, οποτε δεν εχουμε προβλημα, ειναι καλα παιδια στο δικτυο
επειδη πρεπει να παω για υπνο, ευχαριστω και παλι που βρηκες την λυση γιατι ειχα φαει ωρες!
επισης παραθετω την τελευταια εκδοση των filters :
Κώδικας:/ip firewall filter add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=\ fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners" add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp add action=accept chain=forward connection-nat-state=dstnat add action=accept chain=input connection-nat-state=dstnat add action=accept chain=forward comment="From our OpenVPN" src-address=10.2.237.248/29 add action=accept chain=forward comment="From our VPN_PPTP" src-address=10.2.237.128/29 add action=drop chain=input comment="Drop input everything else" add action=drop chain=forward comment="Drop forward everything else" log-prefix=forward-all-others
Τελευταία επεξεργασία από το μέλος Nikiforos : 13-09-16 στις 23:03.
-
14-09-16, 14:23 Απάντηση: Mikrotik IPv4/IPv6 firewall #341
αυτό που θέλω να πώ, είναι ότι χωρίς το drop all others
δεν υπάρχει firewall
και αν είναι σε κοινό bridge οι θύρες του εσωτερικού δικτύου με του ασύρματου τότε βλέπουν ο ένας τον άλλο
-
14-09-16, 14:56 Απάντηση: Mikrotik IPv4/IPv6 firewall #342
Γενικά η λογική είναι...
Κόβεις τα πάντα και αφήνεις να περάσουν μόνο ότι θέλεις.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
14-09-16, 15:02 Απάντηση: Mikrotik IPv4/IPv6 firewall #343
εγω το !dst δε το εχω βαλει και μου παιζουν ολα κανονικα. Μπορει να ειναι τυχαιο βεβαια και απλα να μη μου εχει τυχει ακομη.
Δεν εχω vpn ομως.Άλλα Ντάλλα....
-
14-09-16, 15:44 Απάντηση: Mikrotik IPv4/IPv6 firewall #344
έχεις ΝΑΤ dst κανόνες?
αν ναί,
έχεις τα input/forward drop all others?
αν ναί, τότε κάτι άλλο συμβαίνει που δε γνωρίζω
-
14-09-16, 16:02 Απάντηση: Mikrotik IPv4/IPv6 firewall #345
Ναι τα εχω ολα αυτα,
Νατ εκτος απο το βασικο εχω αλλα 2.... ενα για τα τορρεντς και ενα για να εχω access στο modem. input forward τελευταιοι κανονες.Άλλα Ντάλλα....
Παρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks