Mikrotik IPv4/IPv6 firewall

[xhaos]

σου λεει:

Κώδικας:

Example with RouterOS
---------------------

To use this service automatically you can add the following script on your
router. Of course you will need to create a scheduler to execute this script
automatically.


/system script \
  add name="Blocklister_download_Ads" source="\
  /tool fetch url=\"https://blocklister.gefoo.org/ads\" dst-path=\"ads.rsc\";\
  /import file-name=\"ads.rsc\";"

[Lagman]

Αυτό είναι για την ενημέρωση και τη προσθήκη της λίστας το έχω κάνει. Δε πειράζει άστο θα το βρω γιατί δε μου παίζει

[teodor_ch]

http://wiki.mikrotik.com/wiki/Using_..._Address_Lists
κάτι απο εδώ?

[Lagman]

Το script μου έτρεξε μια χαρά,βάρεσε για λίγο 100% cpu αλλά μου την πρόσθεσε την λίστα. Το θέμα είναι ότι έφτιαξα ένα κανόνα στο firewall
add action=reject chain=forward comment="mavri lista ads" connection-state=new dst-address-list=ads_list in-interface=all-ethernet log=yes log-prefix=dendouleuei protocol=tcp reject-with=tcp-reset
έπιανε κίνηση αλλά δεν έκοβε κάτι στο σερφάρισμα , τώρα διάβασα στο θέμα Mikrotik QoS για IPv4/IPv6 που το έχει δοκιμάσει ο denisun , αφού κολλάει δεν έχει νόημα να το προσπαθήσω.

[xhaos]

Θέλεις κανόνα για τις συνδέσεις προς τα έξω (out going chain). Εκεί πρέπει να κόψεις

[deniSun]

Το script μου έτρεξε μια χαρά,βάρεσε για λίγο 100% cpu αλλά μου την πρόσθεσε την λίστα. Το θέμα είναι ότι έφτιαξα ένα κανόνα στο firewall
add action=reject chain=forward comment="mavri lista ads" connection-state=new dst-address-list=ads_list in-interface=all-ethernet log=yes log-prefix=dendouleuei protocol=tcp reject-with=tcp-reset
έπιανε κίνηση αλλά δεν έκοβε κάτι στο σερφάρισμα , τώρα διάβασα στο θέμα Mikrotik QoS για IPv4/IPv6 που το έχει δοκιμάσει ο denisun , αφού κολλάει δεν έχει νόημα να το προσπαθήσω.

Αν θέλεις να κόψεις ads με ΜΤ αλλά και με οποιοδήποτε άλλο ρούτερ μάλλον θα παιδευτείς.
Οι λίστες είναι πολύ μεγάλες για να φορτωθούν πάνω στα ρούτερ.
Και η δημιουργία των ανάλογων εγγραφών αλλά και η προσπέλασή τους είναι πολύ βαριά (λόγο αριθμού εγγραφών) για τα συγκεκριμένα μηχανήματα.
Η καλύτερη λύση είναι ένας τοπικός dns που να κόβει τα συγκεκριμένα domains.
Έχω ανάλογο οδηγό μέσα σε κάποιον οδηγό.

[Lagman]

Θέλεις κανόνα για τις συνδέσεις προς τα έξω (out going chain). Εκεί πρέπει να κόψεις

Ευχαριστώ , είναι το μόνο που δε δοκίμασα !!

- - - Updated - - -

Αν θέλεις να κόψεις ads με ΜΤ αλλά και με οποιοδήποτε άλλο ρούτερ μάλλον θα παιδευτείς.
Οι λίστες είναι πολύ μεγάλες για να φορτωθούν πάνω στα ρούτερ.
Και η δημιουργία των ανάλογων εγγραφών αλλά και η προσπέλασή τους είναι πολύ βαριά (λόγο αριθμού εγγραφών) για τα συγκεκριμένα μηχανήματα.
Η καλύτερη λύση είναι ένας τοπικός dns που να κόβει τα συγκεκριμένα domains.
Έχω ανάλογο οδηγό μέσα σε κάποιον οδηγό.

Μου αρέσει πάρα πολύ η ιδέα, αυτή τη στιγμή σκέφτομαι πως θα ήταν καλό να κόβεις όλα τα malware/spyware αλλά μάλλον καλύτερα μέσω proxy . Με τι λέξεις κλειδιά να αναζητήσω τον οδηγό ;;;

[deniSun]

Ευχαριστώ , είναι το μόνο που δε δοκίμασα !!

- - - Updated - - -



Μου αρέσει πάρα πολύ η ιδέα, αυτή τη στιγμή σκέφτομαι πως θα ήταν καλό να κόβεις όλα τα malware/spyware αλλά μάλλον καλύτερα μέσω proxy . Με τι λέξεις κλειδιά να αναζητήσω τον οδηγό ;;;

Αν το κάνεις με web cache (proxy) μάλλον δεν θα ανταμιφθείς από το αποτέλεσμα.
Πώς θα ανιχνεύεις τις σελίδες με mallware/spyware;

[Lagman]

Αν το κάνεις με web cache (proxy) μάλλον δεν θα ανταμιφθείς από το αποτέλεσμα.
Πώς θα ανιχνεύεις τις σελίδες με mallware/spyware;

Με αυτά τα λίγα που έχω διαβάσει θα ήθελα να δοκιμάσω το squidblacklist οι οποίοι δίνουν λίστες και για dns filtering αν δε κάνω λάθος.
Λέω proxy γιατί φαντάζομαι πως μεσω proxy δεν θα μπορείς να δεις μια κακόβουλη ip ενω με dns filtering αν με κάποιο τρόπο βάλεις "καρφωτα" την ip θα έχει επικοινωνία.

Που μπορώ να διαβάσω τον οδηγό σου ;;;

[deniSun]

Με αυτά τα λίγα που έχω διαβάσει θα ήθελα να δοκιμάσω το squidblacklist οι οποίοι δίνουν λίστες και για dns filtering αν δε κάνω λάθος.
Λέω proxy γιατί φαντάζομαι πως μεσω proxy δεν θα μπορείς να δεις μια κακόβουλη ip ενω με dns filtering αν με κάποιο τρόπο βάλεις "καρφωτα" την ip θα έχει επικοινωνία.

Που μπορώ να διαβάσω τον οδηγό σου ;;;

Δεν το βρίσκω πουθενά οπότε τον παραθέτω εδώ.
Προϋποθέτει μια έκδοση linux (εγώ έβαλα μια ubuntu server) με apache.
Δουλεύω με dnsmasq γιατί τον έχω κάνει να κάνει παράλληλες dns requests και όποιος απαντήσει πρώτος αυτός εξυπηρετεί.
Οπότε μιλάμε για τρομακτική διαφορά στην ταχύτητα των dns requests.
Και ξεγνοιάζεις από το να ψάχνεις ποιος dns θα είναι πρώτος και ποιος δεύτερος και αν κάποιος δουλεύει ή όχι.
Παρακάτω έχω όλη την διαδικασία για εγκατάσταση, δημιουργία script, παραμετροποίηση κλπ:

Spoiler:

Κώδικας:

*** DNSMasq with ADB
apt-get install dnsutils dnsmasq
service dnsmasq stop
cp /etc/dnsmasq.conf /etc/dnsmasq.conf.orig
pico /etc/dnsmasq.conf
	domain-needed
	bogus-priv
	interface=eth0
	no-dhcp-interface=	
	cache-size=10000
	#addn-hosts=/root/Hosts/hosts.new
	#log-queries
	server=212.205.212.205
	server=195.170.0.1
	server=195.170.2.2
	server=194.177.210.10
	server=194.177.210.211
	all-servers
pico /usr/local/bin/gravity.sh
	#!/bin/bash
	myIP="192.168.5.36"	adListURL="http://pgl.yoyo.org/adservers/serverlist.php?hostformat=dnsmasq&showintro=0&mimetype=plaintext"		
	adFile="/etc/dnsmasq.d/adList.conf"
	adTemp="/etc/dnsmasq.d/adList.conf.tmp"
	curl $adListURL | sed "s/127\.0\.0\.1/$myIP/" > $adTemp
	if [ -f "$adTemp" ];then
		mv -f $adTemp $adFile
	fi
	# pornListURL="http://squidguard.mesd.k12.or.us/blacklists.tgz"
	# pornFile="/etc/dnsmasq.d/pornList.conf"
	# pornTemp="/etc/dnsmasq.d/pornList.conf.tmp"
	# tmpPornFile="/tmp/pornList.conf.tmp"
	# tmpURLFile="/tmp/blacklists.tgz"
	# tmpURLFlder="/tmp/blacklists"
	# wget -O $tmpURLFile $pornListURL
	# cd /tmp
	# tar fxz $tmpURLFile ./blacklists/porn/domains
	# cat /tmp/blacklists/porn/domains | sed "/[0-9][0-9]*/d" >> $tmpPornFile
	# for i in `cat $tmpPornFile`; do echo "address=/$i/$myIP">>$pornTemp; done
	# if [ -f "$pornTemp" ];then
	#	mv -f $pornTemp $pornFile
	# fi
	# rm $tmpPornFile
	# rm $tmpURLFile
	# rm -r $tmpURLFlder
	service dnsmasq restart
chmod 755 /usr/local/bin/gravity.sh
./usr/local/bin/gravity.sh
crontab -e
	@weekly /usr/local/bin/gravity.sh >/dev/null 2>&1
	
*** www files
pico /var/www/html/index.html/index
	<html>
	<body bgcolor="0066FF">
	<font face="verdana" color="900000">
	<center>
	<b>Milady<br>
	Block ADS<br>
	</b>
	<center>
	</font>
	</body>
	</html>

*** Configuration Apache
pico /etc/apache2/apache2.conf
	ServerName localhost
	
*** Redirect all www requests to html file
a2enmod rewrite
service apache2 restart
pico /etc/apache2/sites-available/000-default.conf
	DocumentRoot /var/www/html
	<Directory "/var/www/html">
		AllowOverride All
	</Directory>
	RewriteEngine On
	RewriteCond %{REQUEST_URI} !=/index.html
	RewriteRule ^ /index.html [R=301]
service apache2 restart

[Lagman]

Δεν το βρίσκω πουθενά οπότε τον παραθέτω εδώ.
Προϋποθέτει μια έκδοση linux (εγώ έβαλα μια ubuntu server) με apache.
Δουλεύω με dnsmasq γιατί τον έχω κάνει να κάνει παράλληλες dns requests και όποιος απαντήσει πρώτος αυτός εξυπηρετεί.
Οπότε μιλάμε για τρομακτική διαφορά στην ταχύτητα των dns requests.
Και ξεγνοιάζεις από το να ψάχνεις ποιος dns θα είναι πρώτος και ποιος δεύτερος και αν κάποιος δουλεύει ή όχι.
Παρακάτω έχω όλη την διαδικασία για εγκατάσταση, δημιουργία script, παραμετροποίηση κλπ:

Spoiler:

Κώδικας:

*** DNSMasq with ADB
apt-get install dnsutils dnsmasq
service dnsmasq stop
cp /etc/dnsmasq.conf /etc/dnsmasq.conf.orig
pico /etc/dnsmasq.conf
	domain-needed
	bogus-priv
	interface=eth0
	no-dhcp-interface=	
	cache-size=10000
	#addn-hosts=/root/Hosts/hosts.new
	#log-queries
	server=212.205.212.205
	server=195.170.0.1
	server=195.170.2.2
	server=194.177.210.10
	server=194.177.210.211
	all-servers
pico /usr/local/bin/gravity.sh
	#!/bin/bash
	myIP="192.168.5.36"	adListURL="http://pgl.yoyo.org/adservers/serverlist.php?hostformat=dnsmasq&showintro=0&mimetype=plaintext"		
	adFile="/etc/dnsmasq.d/adList.conf"
	adTemp="/etc/dnsmasq.d/adList.conf.tmp"
	curl $adListURL | sed "s/127\.0\.0\.1/$myIP/" > $adTemp
	if [ -f "$adTemp" ];then
		mv -f $adTemp $adFile
	fi
	# pornListURL="http://squidguard.mesd.k12.or.us/blacklists.tgz"
	# pornFile="/etc/dnsmasq.d/pornList.conf"
	# pornTemp="/etc/dnsmasq.d/pornList.conf.tmp"
	# tmpPornFile="/tmp/pornList.conf.tmp"
	# tmpURLFile="/tmp/blacklists.tgz"
	# tmpURLFlder="/tmp/blacklists"
	# wget -O $tmpURLFile $pornListURL
	# cd /tmp
	# tar fxz $tmpURLFile ./blacklists/porn/domains
	# cat /tmp/blacklists/porn/domains | sed "/[0-9][0-9]*/d" >> $tmpPornFile
	# for i in `cat $tmpPornFile`; do echo "address=/$i/$myIP">>$pornTemp; done
	# if [ -f "$pornTemp" ];then
	#	mv -f $pornTemp $pornFile
	# fi
	# rm $tmpPornFile
	# rm $tmpURLFile
	# rm -r $tmpURLFlder
	service dnsmasq restart
chmod 755 /usr/local/bin/gravity.sh
./usr/local/bin/gravity.sh
crontab -e
	@weekly /usr/local/bin/gravity.sh >/dev/null 2>&1
	
*** www files
pico /var/www/html/index.html/index
	<html>
	<body bgcolor="0066FF">
	<font face="verdana" color="900000">
	<center>
	<b>Milady<br>
	Block ADS<br>
	</b>
	<center>
	</font>
	</body>
	</html>

*** Configuration Apache
pico /etc/apache2/apache2.conf
	ServerName localhost
	
*** Redirect all www requests to html file
a2enmod rewrite
service apache2 restart
pico /etc/apache2/sites-available/000-default.conf
	DocumentRoot /var/www/html
	<Directory "/var/www/html">
		AllowOverride All
	</Directory>
	RewriteEngine On
	RewriteCond %{REQUEST_URI} !=/index.html
	RewriteRule ^ /index.html [R=301]
service apache2 restart

Ευχαριστώ πολύ θα το δοκιμάσω στις γιορτές!!

[deniSun]

Επειδή όπως είπα οι λίστες είναι μεγάλες όσο πιο γρήγορο μηχάνημα τόσο καλύτερα αποτελέσματα.
Εγώ το έχω σε έναν παλιό φορητό celeron και πηγαίνει πολύ καλά.
Αλλά αν μπορείς να το βάλεις σε πιο νέο μηχάνημα με κανένα ssd... απλά θα πετάει.
Περισσότερο χρειάζεται γρήγορο δίσκο και μεγάλη μνήμη παρά επεξεργαστή.
Το dnsmasq τα φορτώνει όλα στην μνήμη.
Για παράδειγμα αν φορτώσεις και την λίστα porn που έχω σε σχόλια θα δεις επιβάρυνση στην ταχύτητα.
Σε εμένα έχοντάς την ενεργοποιημένη έφτανε σε επίπεδα χρόνου ίδια με αυτά του dns του ΟΤΕ.
Οπότε την απενεργοποίησα γιατί το ζητούμενο ήταν και η ταχύτητα.
Να κάνεις δοκιμές με το NameBench για να βλέπεις τους χρόνους.

- - - Updated - - -

Έκανα κάποιες μικρές προσθήκες και τροποποιήσεις στους κανόνες.
Έχω προσθέσει να αφήνει να περνάνε από έξω πακέτα broadcast και multicast.
Λογικά θα έπρεπε να αφήσουμε μόνο όσα έρχονται από το εσωτερικό δίκτυο αλλά απ ότι είδα στέλνει πακέτα και το modem αλλά και το brass οπότε δεν χάνουμε κάτι να τα αφήσουμε να περνάνε.

Πρόσθεσα να αφήνει να περνάνε όλα τα πακέτα στο input από το εσωτερικό δίκτυο (περιλαμβάνει τα broadcast, τα multicast, τα BOOTP-DHCP κλπ).

Τέλος άλλαξα την δήλωση για τον έλεγχο του in-interface
από:

Κώδικας:

in-interface=bridge

σε:

Κώδικας:

in-interface=!pppoe-out1

Μου φαίνεται πιο λογικό και σίγουρα θα πιάνει περισσότερες περιπτώσεις.

Έτσι όλες οι δηλώσεις διαμορφώνονται ως εξής:

Spoiler:

Κώδικας:

/ip firewall filter	
	add chain=input connection-state=established comment="Accept input established connections" 	
	add chain=input connection-state=related comment="Accept input related connections"
	add chain=input connection-state=invalid action=drop comment="______Drop input invalid connections" 
	add chain=forward connection-state=established comment="Allow forward forward established connections" 	
	add chain=forward connection-state=related comment="Allow forward related connections"
	add chain=forward connection-state=invalid action=drop comment="______Drop forward invalid connections" 
			
	add chain=input protocol=tcp in-interface=pppoe-out1 psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="Add port scanners to list" disabled=no	
	add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="______NMAP FIN Stealth scan"
	add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="______SYN/FIN scan"
	add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="______SYN/RST scan"
	add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="______FIN/PSH/URG scan"
	add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="______ALL/ALL scan"
	add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w comment="______NMAP NULL scan"
	add chain=input src-address-list="port scanners" action=drop comment="______Drop port scanners from list" disabled=no

	add chain=input protocol=tcp dst-port=1194 in-interface=pppoe-out1 comment="Allow OpenVPN"
	add chain=input in-interface=pppoe-out1 dst-address-type=broadcast,multicast comment="Allow Broadcast-Multicast"
	add chain=input in-interface=!pppoe-out1 comment="Allow all input from LAN" 	
	add chain=forward in-interface=!pppoe-out1 comment="Allow all forward from LAN" 
	
	add chain=input action=drop comment="Drop input everything else"	
	add chain=forward action=drop comment="Drop forward everything else"

Κώδικας:

/ipv6 firewall filter
	add chain=input connection-state=established comment="Accept input established connections" 	
	add chain=input connection-state=related comment="Accept input related connections"
	add chain=input connection-state=invalid action=drop comment="______Drop input invalid connections" 
	add chain=forward connection-state=established comment="Allow forward forward established connections" 	
	add chain=forward connection-state=related comment="Allow forward related connections"
	add chain=forward connection-state=invalid action=drop comment="______Drop forward invalid connections" 	
	
	add chain=input dst-port=546 protocol=udp comment="Allow input DHCPv6 client"
	add chain=input protocol=icmpv6 limit=50/5s,5 comment="Allow input ICMPv6"		
	add chain=forward protocol=icmpv6 limit=50/5s,5 comment="Allow forward ICMPv6"	
	add chain=input in-interface=!pppoe-out1 comment="Allow all input from LAN" 	
	add chain=forward in-interface=!pppoe-out1 comment="Allow all forward from LAN" 
		
	add chain=input action=drop comment="Drop input everything else"	
	add chain=forward action=drop comment="Drop forward everything else"

[paull]

Νομίζω ότι η νέα υλοποίηση του firewall από τον deniSun είναι πιό σωστή και συμφωνώ με την λογική να κάνεις accept μόνο ό,τι χρειάζεσαι και όλα τα υπόλοιπα να γίνονται drop. Πιστεύω είναι απλούστερο και πιό ασφαλές.

[gfdimopo]

Παιδιά καλησπέρα,

Εστησα στο μικροτικ το firewall απο την αρχή περνώντας του κανόνες του post 97.

Παρατηρώ ότι όταν ενεργοποιήσω το παρακάτω κανόνα

add chain=input action=drop comment="Drop input everything else"

δεν έχω ιντερνετ/ δεν ανοιγουν οι σελίδες δηλαδή.

Αν τον απενεργοποιήσω δουλευει κανονικά

[deniSun]

Παιδιά καλησπέρα,

Εστησα στο μικροτικ το firewall απο την αρχή περνώντας του κανόνες του post 97.

Παρατηρώ ότι όταν ενεργοποιήσω το παρακάτω κανόνα

add chain=input action=drop comment="Drop input everything else"

δεν έχω ιντερνετ/ δεν ανοιγουν οι σελίδες δηλαδή.

Αν τον απενεργοποιήσω δουλευει κανονικά

Σίγουρα περάστηκαν όλοι οι κανόνες;