Mikrotik IPv4/IPv6 firewall

[BillyVan]

Εξαρταται πως εχεις στημενα πολλα πραγματα.

Ας πουμε απο Ελλαδα ειναι allow μεν αλλα μεχρι ενα σημειο.

Αν προσπαθησει μια ιπ ελληνικη να μπει 3 φορες σε vpn δικο μου (με λαθος στοιχεια) την μπλοκαρω.

Αν απο εξωτερικο προσπαθησουν να συνδεθουν στο vpn μου και δεν ειναι στη λιστα οκ ολα καλα.

Απο Κινα πχ δε θελω παρε δωσε οποτε τρωνε πορτα.

Οπως το λες συμφωνω σε μεγαλο βαθμο αλλα δεν ειναι ασπρο μαυρο στο στησιμο και τις αναγκες του καθενος μας.

[deniSun]

Εξαρταται πως εχεις στημενα πολλα πραγματα.

Ας πουμε απο Ελλαδα ειναι allow μεν αλλα μεχρι ενα σημειο.

Αν προσπαθησει μια ιπ ελληνικη να μπει 3 φορες σε vpn δικο μου (με λαθος στοιχεια) την μπλοκαρω.

Αν απο εξωτερικο προσπαθησουν να συνδεθουν στο vpn μου και δεν ειναι στη λιστα οκ ολα καλα.

Απο Κινα πχ δε θελω παρε δωσε οποτε τρωνε πορτα.

Οπως το λες συμφωνω σε μεγαλο βαθμο αλλα δεν ειναι ασπρο μαυρο στο στησιμο και τις αναγκες του καθενος μας.

Εγώ θα το έκανα ως εξής:
block όλη η Κίνα
οτιδήποτε άλλο με έλεγχο για 3 fail.
Έτσι θα έχεις μόνο μία λίστα.

Το έχω γράψει πολλές φορές ότι οι μεγάλες λίστες δεν μπορούν να διαχειριστούν από κανένα ρούτερ.
Δεν είναι αυτός ο ρόλος τους.
Το είχα δοκιμάσει παλιότερα σε adblock κλπ.
Στην ουσία θα δουλέψει αλλά θα χάσεις σε απόδοση.
Στην δική σου περίπτωση με τις λίστες που βάζεις θα καθυστερεί μόνο κατά την ανανέωση της λίστας (στην ουσία θα είναι σαν να freezeάρει το ρούτερ κατά την διαδικασία)
και κατά την πρώτη σύνδεση των χρηστών.
Αντίστοιχες υλοποιήσεις σε ubi γίνονται με άλλες λογικές.
Δηλώνεις όσες geo IP lists θέλεις και ο έλεγχος γίνεται από δικό τους server.
Στο ρούτερ δεν φορτώνεται τίποτε.
Το ίδιο γίνεται και με την υπηρεσία adblock που προσφέρουν.
Προφανώς δεν υπάρχει έλεγχος στις λίστες αυτές (δεν μπορείς να δηλώσεις κάποια μπλοκαρισμένη ΙΡ ή range ως white).

[teodor_ch]

Εναλλακτικά αφήνεις μόνο το cloudflare και μπαίνεις μέσω αυτού.
Εκεί μπλοκάρεις ότι θέλεις. Μπορείς να προσθέσεις και access control.

[jkarabas]

Στο RAW blacklist δεν χρησιμοποιείτε;
Έγινε ολόκληρη κουβέντα παλιότερα για αυτό το λόγο και τον σκοπό που το κάνουμε.

[macro]

Αληθεια υπαρχει σκοπος? Εγω που ειμαι πισω απο cgnat, ουτε FW δεν εχω περασει στο ρουτερ, αφου δε με φτανει κανεις.

[BillyVan]

Αληθεια υπαρχει σκοπος? Εγω που ειμαι πισω απο cgnat, ουτε FW δεν εχω περασει στο ρουτερ, αφου δε με φτανει κανεις.

Συμφωνω απολυτα.

Ετσι ακριβως ημουνα για χρόνια και ποτε δεν ειχα κανενα απολυτως πρόβλημα.

Και δε χρειαζεται cgnat για να εισαι οκ (βεβαια δεν εχεις public ip πχ) , φτανει και το ρουτερ του παροχου και μετα το Μικροτικ μια χαρα παιζει και το διπλο νατ οταν ρυθμιστει σωστα στα παντα.

[deniSun]

Θα έχουμε νέα τάση λοιπόν από εδώ και πέρα.
Αιτήσεις στον πάροχο να σε βάλουν (όχι να σε βγάλουν) πίσω από cgnat.

[BillyVan]

Αν χρειαζεσαι public ip τοτε ειναι μονοδρομος το firewall με ή και χωρις λιστες.

Στο κατω κατω και το μαμα firewall μια χαρα κανει τη δουλεια του.

Εμεις οι πυροβολημενοι το ψαχνουμε συνεχεια ισως και παραπανω απ οτι πρεπει.

[macro]

Μηπως το basic FW ειναι οκ και εχεις παραπανω απο μια σφαιρες μεσα σου?

[BillyVan]

Μηπως το basic FW ειναι οκ και εχεις παραπανω απο μια σφαιρες μεσα σου?

χαχαχα αμετρητες σφαιρες

[RyDeR]

Πως γίνεται η υλοποίηση hairpin nat (loopback) σε rOS7; Τα παλιά rules που είχα στο rOS6 δεν μου λειτουργούν μετά το update.

[romankonis]

https://help.mikrotik.com/docs/displ...rpin%20NAT,%3F

[BillyVan]

Δηλωνω παντελως ασχετος με ipv6 εξ αρχης.

Το νημα ειναι 141 σελιδες και δεν εχω το κουραγιο να ψαξω και να μελετησω υλοποιηση ipv6 σε Μικροτικ.

Οποτε παραθετω καποιες απ τις πολλες ερωτησεις μου.

Το firewall στο Mikrotik πως θα δουλευει δεν εχω καταλαβει αφου σχεδον ολες οι συκσευες θα εχουν απ ευθειας προσβαση απ εξω.

Αλλα ας τα παρω με τη σειρα οπως μου ηρθαν στο μυαλο

Περίπτωση που ο παροχος δινει ipv6 στο ρουτερ μου.

Στο εσωτερικο μου δικτυο εχω συσκευες που μπορουν να παρουν ipv6 αλλα πολλες που μπορουν να παρουν μονο ipv4.

1. Οι συσκευες που θα παρουν ipv6 πως θα παρουν απ τον παροχο ?

2. Αν παρουν απ τον Dhcp toy Mikrotik πως θα ξερω οτι ειναι οκ?

3. Ti pool πρεπει να υπαρχει στο dhcp server ?

4. Πως ξερω αν θα ειναι προσβασιμες απ εξω αυτες?

5. Οι συσκευες που δεν παιρνουν ipv6 πως θα βγαινουν εξω? (Θα τρεχω και δευτερο dhcp server?)

6. Οι παραπανω συσκευες πως θα ειναι προσβασιμες απ εξω?

Ισως βοηθουσε ενα νημα για το ipv6 απο καποιον που το γνωριζει και να εμπλουτιζεται σιγα σιγα απο τους γνωστες.

Αναμενω με ενδιαφερον τις απαντησεις για να συνεχισω.

Δεν ηθελα να ανοιξω και νεο νημα αλλα αν κριθει αναγκαιο εχετε το ελευθερο να μετακινησετε το μηνυμα μου οπως νομιζετε.

[x_undefined]

Περιληπτικά:

Το router θα πάρει μια IPv6 για επικοινωνία με τον πάροχο. Μετά με DHCPv6 client ζητάς ένα prefix από τον πάροχο το οποίο στην ουσία είναι το pool που μπορείς να χρησιμοποιήσεις (συνήθως δίνουν /56 ή /48 για να μπορείς να φτιάξεις διαφορετικά /64 subnets αλλά η Inalan δίνει /64 prefix οπότε αναγκαστικά 1 subnet) και θα το διαφημίζεις στις συσκευές σου με με RA μηνύματα του Network Discovery (IPv6/ND). Εδώ καλό είναι επίσης να περιορίσεις τα RA μόνο στο LAN σου. Οι συσκευές σου θα φτιάξουν μόνες τους τις διευθύνσεις IPv6 με SLAAC βάσει αυτού του prefix είτε θα τις παίρνουν από DHCPv6 server που θα τρέχεις (ξεχωριστός από τον DHCP server για το v4, γενικά θα δεις ότι όλα είναι ξεχωριστά στο MikroTik και στη δική τους κατηγορία IPv6 στο RouterOS). Ακόμα και στην περίπτωση του SLAAC, μπορείς να τους στέλνεις επιπλέον πληροφορίες με DHCPv6 Server (π.χ. τους DNS servers μιας και κάποιες συσκευές νομίζω δεν τους διαβάζουν από το Network Discovery).

Εμένα δεν βλέπω να έχει κανένα default firewall rule για το IPv6 (ίσως επειδή δεν είχα καν το πακέτο εγκατεστημένο και εγκαταστάθηκε αναγκαστικά ως ενιαίο στο v7). Σε αυτή την περίπτωση, τα πάντα είναι προσβάσιμα από έξω, κάθε συσκευή με IPv6.

Εδώ έχει έναν σύντομο οδηγό και ένα ενδεικτικό firewall: https://help.pentanet.com.au/hc/en-u...to-accept-IPv6 (για το βήμα 2 δεν είμαι σίγουρος αν χρειάζεται ωστόσο).

[deniSun]

Το firewall στο Mikrotik πως θα δουλευει δεν εχω καταλαβει αφου σχεδον ολες οι συκσευες θα εχουν απ ευθειας προσβαση απ εξω.

Σε σχέση με το ν4 στο ν6 απλά δεν χρειάζεται να περάσεις από ΝΑΤ.
Η κίνηση των πακέτων εξακολουθεί να περνάει μέσα από το ΜΤ.
Άρα θέλεις έλεγχο και fw για προστασία και του ΜΤ και των client.

1. Οι συσκευες που θα παρουν ipv6 πως θα παρουν απ τον παροχο ?

Πλέον με SLAAC.
Το περιγράφει αναλυτικά ο
Το avatar του μέλους @x_undefined.

2. Αν παρουν απ τον Dhcp toy Mikrotik πως θα ξερω οτι ειναι οκ?

Μπορείς να ορίσεις dhcpv6 server και να παίρνουν από αυτόν, αλλά δεν χρειάζεται.
Στο ΜΤ απλά ορίζεις dhcp client.

3. Ti pool πρεπει να υπαρχει στο dhcp server ?

Σου έχω το conf όλο στο τέλος.

4. Πως ξερω αν θα ειναι προσβασιμες απ εξω αυτες?

Αν δεν παίξεις με dhcpn6 server, που σου είπα ότι δεν χρειάζεται,
τότε θα πάρεις real ipv6
άρα πλήρως προσβάσιμη από έξω (εφόσον δεν ορίσεις κανόνες στο fw).

5. Οι συσκευες που δεν παιρνουν ipv6 πως θα βγαινουν εξω? (Θα τρεχω και δευτερο dhcp server?)

Αν το λειτουργικό το υποστηρίζει θα πάρουν ν4 και ν6 μαζί.
Από εκεί και μετά εξαρτάται το sw με τι θα επιλέξει να βγει έξω.
πχ ο ff έχει default επιλεγμένο να βγαίνει με ν6 και fallback με ν4.
το traceroute στα 11 θα σε βγάλει με ν6 και αν θέλεις ν4 θα πρέπει να δώσεις -4
ο wg θα σε συνδέσει με ν4 ή ν6 στο ΜΤ αλλά η κίνηση στο tunnel θα γίνεται μόνο με ν4.

6. Οι παραπανω συσκευες πως θα ειναι προσβασιμες απ εξω?

Για ν4 φαντάζομαι το γνωρίζεις.
Για ν6 απλά δεν πρέπει να γνωρίζεις το μακρινάρι της ν6 διεύθυνσης.
Αλλά επειδή αλλάζει δυναμικά σε τακτά χρονικά διαστήματα σου είναι πρακτικά άχρηστο.

IPv6 Configuration:

Spoiler:

Κώδικας:

# IPv6 Enable (radvd)
System > Package List > ipv6 (enable)
PPP > Profiles > default-encryption 
	General
		Change TCP MSS:	yes
	Protocols
		Use IPv6: yes
		Use MPLS: no
		Use Compression: default
		Use Encryption: yes
IPv6 > DHCPv6 Client > (+) [DHCP-PD]
	Interface: pppoe-out1
	Request: prefix
	Pool Name: ipv6-pool
	Pool Prefix Length: 64 (old 56)
	(X) Use Peer DNS
	(X) Rapid Commit
	(x) Add Default Route
IPv6 > ND > Interfaces 
	(default)
	Interface: bridge1	
	RA Interval: 10-30 (default: 200-600)
	RA Delay: 3
	RA Lifetime: 1800
	Advertise MAC Address		
IPv6 > ND > Prefixes
	Default:
		Autonomous
		Valid Lifetime: 0d 00:05:00 (default: 30d 00:00:00)
		Preferred Lifetime: 0d 00:02:00 (default: 7d 00:00:00)
IPv6 > Addresses > (+)	
	Address: ::/64
	From Pool: ipv6-pool
	Interface: bridge1
	Advertise

IPv6 Firewall:

Spoiler:

Κώδικας:

/ipv6 firewall address-list
add address=::/96 comment="IPv4 Compatible" list=BadIP
add address=::1/128 comment=Loopback list=BadIP
add address=::127.0.0.0/104 comment=Loopback list=BadIP
add address=::224.0.0.0/100 comment=Multicast list=BadIP
add address=::255.0.0.0/104 comment="Limited broadcast" list=BadIP
add address=::ffff:0.0.0.0/96 comment="IPv4 translated" list=BadIP
add address=2001:db8::/32 comment="Documentation prefix" list=BadIP
add address=2001:20::/28 comment=ORCHIDv2 list=BadIP
add address=2001:10::/28 comment=ORCHID list=BadIP
add address=100::/64 comment="Discard prefix" list=NonGlobalIP
add address=2001::/32 comment="Teredo tunneling" list=NonGlobalIP
add address=fc00::/7 comment="Unique local" list=NonGlobalIP
add address=ff00::/8 comment=Multicast list=NonGlobalIP
add address=::/128 comment=Unspecified list=BadSrcIP
add address=ff00::/8 comment=Multicast list=BadSrcIP
add address=::/128 comment=Unspecified list=BadDstIP
add address=3ffe::/16 comment=6bone list=BadIP

Spoiler:

Κώδικας:

/ipv6 firewall raw
add action=accept chain=prerouting comment="DISABLE ALL RAW" disabled=yes
add action=drop chain=prerouting comment="Drop Bad IP" src-address-list=BadIP
add action=drop chain=prerouting comment="Drop Bad IP" dst-address-list=BadIP
add action=drop chain=prerouting comment="Drop Bad src IP" src-address-list=\
    BadSrcIP
add action=drop chain=prerouting comment="Drop Bad dst IP" dst-address-list=\
    BadDstIP
add action=drop chain=prerouting comment="Drop non Global IP from WAN" \
    in-interface=pppoe-out1 src-address-list=NonGlobalIP
add action=drop chain=prerouting comment="Drop non Global IP from LAN" \
    dst-address=!fc00::/6 dst-address-list=NonGlobalIP in-interface=\
    !pppoe-out1
add action=accept chain=prerouting comment="Accept Local Multicast" \
    dst-address=ff02::/16
add action=drop chain=prerouting comment="Drop Other Multicast" dst-address=\
    ff00::/8
add action=jump chain=prerouting comment="Check SYN, ACK from WAN" \
    in-interface=pppoe-out1 jump-target=ddos protocol=tcp src-address-list=\
    !BlockedDDoSAttacker tcp-flags=syn,ack
add action=return chain=ddos comment="______Check for SYN, SYN-ACK flood" \
    dst-limit=64,64,src-and-dst-addresses/10s
add action=add-src-to-address-list address-list=BlockedDDoSAttacker \
    address-list-timeout=1d chain=ddos comment="______Block DDoS attacker" \
    log=yes log-prefix=DDoS
add action=drop chain=prerouting comment="Drop DDoS from WAN" in-interface=\
    pppoe-out1 src-address-list=BlockedDDoSAttacker
add action=jump chain=prerouting comment="Check TCP from WAN" in-interface=\
    pppoe-out1 jump-target=tcp protocol=tcp src-address-list=!BlockedAddress
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=1d chain=tcp comment=\
    "______Block !FIN/!SYN/!RST/!ACK scan" protocol=tcp tcp-flags=\
    !fin,!syn,!rst,!ack
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=1d chain=tcp comment="______Block FIN/SYN scan" \
    protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=1d chain=tcp comment="______Block FIN/RST scan" \
    protocol=tcp tcp-flags=fin,rst
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=1d chain=tcp comment="______Block FIN/!ACK scan" \
    protocol=tcp tcp-flags=fin,!ack
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=1d chain=tcp comment="______Block FIN/URG scan" \
    protocol=tcp tcp-flags=fin,urg
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=1d chain=tcp comment="______Block SYN/RST scan" \
    protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=1d chain=tcp comment="______Block RST/URG scan" \
    protocol=tcp tcp-flags=rst,urg
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=1d chain=tcp comment="______Block bad TCP" port=0 \
    protocol=tcp
add action=drop chain=prerouting comment="Drop Blocked Address from WAN" \
    in-interface=pppoe-out1 src-address-list=BlockedAddress
add action=accept chain=prerouting comment="Accept all from WAN" \
    in-interface=pppoe-out1
add action=accept chain=prerouting comment="Accept all from LAN" \
    in-interface=!pppoe-out1
add action=drop chain=prerouting comment="Drop all others"

Spoiler:

Κώδικας:

/ipv6 firewall filter
add action=accept chain=input comment=\
    "Input accept established, related, untracked connections" \
    connection-state=established,related,untracked
add action=drop chain=input comment="Input drop invalid connections" \
    connection-state=invalid
add action=accept chain=input comment="Input accept ICMP" protocol=icmpv6
add action=accept chain=input comment="Input accept UDP traceroute" port=\
    33434-33534 protocol=udp
add action=accept chain=input comment="Input accept DHCPv6 client" dst-port=\
    546 protocol=udp src-address=fe80::/10
add action=drop chain=input comment="Input drop all not from LAN" \
    in-interface=pppoe-out1
add action=accept chain=forward comment=\
    "Forward accept established, related, untracked connections" \
    connection-state=established,related,untracked
add action=drop chain=forward comment="Forward  drop invalid connections" \
    connection-state=invalid
add action=drop chain=forward comment="Forward drop bad ICMP" hop-limit=\
    equal:1 protocol=icmpv6
add action=accept chain=forward comment="Forward accept ICMP" protocol=icmpv6
add action=drop chain=forward comment="Forward drop all not from LAN" \
    in-interface=pppoe-out1