Mikrotik IPv4/IPv6 firewall

[eliasbats]

Δεν έχει σημασία πόσες πραγματικές wan έχεις αλλά σε πόσα μέρη θες να σπάσεις την κίνηση.

αν πχ εχεις 4 wan αλλά η wan4 έχει 2πλασια ταχύτητα από τις άλλες θα θα πρέπει να σπάσεις την κίνηση στα 5 και να χρησιμοποιήσεις 1 φορά την wan1, 1 φορά την wan2, 1 φορά την wan3 και 2 φορές την wan4

οπότε θα βάλεις
5/0 wan1
5/1 wan2
5/2 wan3
5/3 wan4
5/4 wan4

Θεωρητικά βάσει documentation αυτό είναι το σωστό που λέει ο Κώστας (έτσι το έχω και εγώ). Τώρα, εάν το RouterOS είναι αρκετά έξυπνο να ταιριάξει το 4/0 με το 4/4, το οποίο -- μαθηματικά μιλώντας -- είναι στην ουσία το ίδιο πράγμα, και τα ορίσεις τα συγκεκριμένα στην ίδια γραμμή η οποία έχει 2πλάσιο bandwidth, τότε ίσως να δουλεύει σωστά από σπόντα!

Όσον αφορά τη συζήτηση περί "only-addresses" ή "both-addresses-and-ports", όσο περνούν τα χρόνια και τα web applications γίνονται Mobile friendly, δεν θα παρουσιάζονται προβλήματα με τη 2η μέθοδο. Mobile friendly σημαίνει ότι επειδή κινούμαστε με το κινητό μας π.χ. μεταξύ 3G και wi-fi, αλλάζει η WAN IP του κινητού μας. Αυτό το αντιλήφθηκαν οι web developers και δεν κλειδώνουν πια το session μας με την IP address αλλά με άλλα αναγνωριστικά (όπως το browser cookie). Έτσι σιγά σιγά θα συναντάμε όλο και λιγότερα sites που έχουν πρόβλημα όταν αλλάζουμε ξαφνικά IP address, ακόμη και τα web banking που ίσως θεωρούσαν παραδοσιακά ότι κλειδώνοντας και στην IP address δημιουργούσαν μια έξτρα προϋπόθεση ασφαλείας.

[puntomania]

...τότε ίσως να δουλεύει σωστά από σπόντα!

χαχαχα ωριαίως!

[teodor_ch]

Όπως το υπέθετα (και για αυτό όλες οι υπόλοιπες κάμερες δε βλέπουν WAN) οι κάμερες μου έχουν backdoor.

Επειδή έχω μία κάμερα στο δρόμο που θέλω να μου στέλνει εμαιλ της έχω αφήσει πρόσβαση πρός τα έξω (αλλά όχι προς τα μέσα με τη μορφή dstnat ή firewall dst-address accept).
Λογικά κάποιος δε μπορεί να τη δεί εκτός αν η ίδια η κάμερα μιλάει με κάποιο σερβερ επίτηδες (εκτός του mail server).

Τα backdoor περιγράφονται εδώ
http://seclists.org/fulldisclosure/2017/Sep/23

για παράδειγμα ένα απο τα 3 λινκς

Κώδικας:

http://camera.ip/onvif-http/snapshot?auth=YWRtaW46MTEK

Η ερώτηση είναι η εξής. Να βάλω firewall block content=YWRtaW46MTEK ???
Ή έχει κάποιος κάποια άλλη ιδέα? Η κίνηση είναι μόνο μέσω http

- - - Updated - - -

Τουλάχιστον για το LAN δουλεύει.
Υποθέτω ότι θα δουλέψει και για το WAN.

Κώδικας:

add action=drop chain=forward comment="Hikvision backdoor" content=YWRtaW46MTEK dst-address=192.168.254.6 log=yes log-prefix="Hikvision backdoor"

Αν και εκτός θέματος, στα πολύ γρήγορα απλά για να το ψάξω.
Κάποια άλλη ιδέα να μου έρχονται οι φωτογραφίες στο κινητό?
Η κάμερα μπορεί να αποθηκεύει τις φωτογραφίες μέσω ftp σε κάποιο φάκελο στο σερβερ.
Απο εκεί πώς θα φεύγουν?

[macro]

1) Δεν επιμενω για τους διαιρετες, απλα τονιζω οτι καποια στιγμη που ηθελα να το κανω αυτο σε 2 wan, το εκανα με 2/0-2/1-2/2 και πραγματικα δουλευε μια χαρα.


2) Ο φιλος elias νομιζω απαντησε γιατι το both-addresses-and-ports δεν εχει προβλημα τωρα πια.

[teodor_ch]

1) Δεν επιμενω για τους διαιρετες, απλα τονιζω οτι καποια στιγμη που ηθελα να το κανω αυτο σε 2 wan, το εκανα με 2/0-2/1-2/2 και πραγματικα δουλευε μια χαρα.

Είμαι 99.99% σίγουρος ότι δε γινόταν οι μοιρασιά που ήθελες!

Μέσω interfaces φαίνονται πόσα πακέτα έχουν περάσει απο την κάθε σύνδεση και βλέπεις πόσο σωστά γίνεται το μοίρασμα.

Για το 2 αυτό πρέπει να είναι και ακούγεται απόλυτα λογικό.

- - - Updated - - -

The vulnerability exploited open port 80 from Internet side. Don’t leave any open ports on the input chain unless you limit access to your own IP.

Απο αυτό το λινκ στο δίπλα τόπικ κράτησα το παραπάνω quote.
https://forum.mikrotik.com/viewtopic.php?f=2&t=131748

Αυτό επιβεβαιώνει το πανέξυπνο κόλπο που είχα διαβάσει στο reddit και σας είχα περιγράψει.
Προσωπικά θα το ξεκινήσω αφού είναι πολύ πιο αποδοτικό απο οποιοδήποτε vpn και πιστεύω εξίσου ασφαλές.


Στα πολύ γρήγορα, βάζουμε το κινητό να ενημερώνει το dynamic dns για παράδειγμα tokinitomoy.duckdns.org
και αφήνουμε στο ρούτερ πρόσβαση μόνο απο το παραπάνω όνομα (μέσω address list)

Η καθυστέρηση ενημέρωσης της ΙΡ στα γρήγορα είδα ότι είναι <1'

[sdikr]

Απο αυτό το λινκ στο δίπλα τόπικ κράτησα το παραπάνω quote.
https://forum.mikrotik.com/viewtopic.php?f=2&t=131748

Αυτό επιβεβαιώνει το πανέξυπνο κόλπο που είχα διαβάσει στο reddit και σας είχα περιγράψει.
Προσωπικά θα το ξεκινήσω αφού είναι πολύ πιο αποδοτικό απο οποιοδήποτε vpn και πιστεύω εξίσου ασφαλές.


Στα πολύ γρήγορα, βάζουμε το κινητό να ενημερώνει το dynamic dns για παράδειγμα tokinitomoy.duckdns.org
και αφήνουμε στο ρούτερ πρόσβαση μόνο απο το παραπάνω όνομα (μέσω address list)

Η καθυστέρηση ενημέρωσης της ΙΡ στα γρήγορα είδα ότι είναι <1'

Μιλάς για πρόσβαση απο έξω, δηλαδή το κινητό να κάνει σύνδεση μέσω 3g/4g; αν ναι τότε να έχεις στο μυαλό σου οτι η εξωτερική Ip που δηλώνει είναι nat ip του παρόχου κινητής και την μοιράζονται και άλλοι σε αυτόν τον πάροχο.

[puntomania]

κάνοντας δοκιμή τώρα... με noip... δεν συνδέετε καν....μα όταν είσαι πίσω από ΝΑΤ... μπορεί να δουλέψει?

[teodor_ch]

Τώρα που το δοκίμασα όντως ήταν πίσω απο ΝΑΤ οπότε έχεις δίκιο.
Όταν το είχα ξαναδοκιμάσει είχα μοναδική ΙΡ (94.χχχ) και δε νομίζω να ήμουν πίσω απο landline wifi.

Υπάρχει η δυνατότηα να ζητήσω απο τη Cosmote να μή με βγάζει πίσω απο ΝΑΤ? Έχω σύνδεση.

[sdikr]

Τώρα που το δοκίμασα όντως ήταν πίσω απο ΝΑΤ οπότε έχεις δίκιο.
Όταν το είχα ξαναδοκιμάσει είχα μοναδική ΙΡ (94.χχχ) και δε νομίζω να ήμουν πίσω απο landline wifi.

Υπάρχει η δυνατότηα να ζητήσω απο τη Cosmote να μή με βγάζει πίσω απο ΝΑΤ? Έχω σύνδεση.

Θα πρέπει να τους ζητήσεις να έχεις Public, δίνουν σε συμβόλαιο μετά θα πρέπει να αλλάξεις και το apn

[Nikiforos]

Καλησπέρα!
Τα έχω γράψει και στο θέμα κινητής. Όλες οι καρτοκινητες είναι μόνο πίσω από ΝΑΤ. Σε πάγιες συνδέσεις ζητάμε public ip. Όπως κάνα και εγώ και όταν το κάνουν τότε στο apn αντί Internet, γράφουμε vpn-Internet. Αν είμαστε πίσω από ΝΑΤ δεν ανοίγουν κανονικές πόρτες και δεν παίζουν υπηρεσίες ddns όπως πχ το Noip

[sdikr]

Καλησπέρα!
Τα έχω γράψει και στο θέμα κινητής. Όλες οι καρτοκινητες είναι μόνο πίσω από ΝΑΤ. Σε πάγιες συνδέσεις ζητάμε public ip. Όπως κάνα και εγώ και όταν το κάνουν τότε στο apn αντί Internet, γράφουμε vpn-Internet. Αν είμαστε πίσω από ΝΑΤ δεν ανοίγουν κανονικές πόρτες και δεν παίζουν υπηρεσίες ddns όπως πχ το Noip

Και εμείς όπως και άλλοι τα έχουμε/εχουν γράψει πολύ πιο πριν το γράψεις εσυ στο φόρουμ, εδώ όμως κάνουμε μια συζήτηση το να λες, τα έχω γράψει άλλου δεν βοηθάει.

[Nikiforos]

Εγώ γιαυτο στο εξοχικό Έβαλα cosmote mobile Internet, αλλά υπάρχει τρόπος να κάνουμε την δουλειά μας με ssh ή vpn tunneling αλλά χρειάζεται ένας Linux server και μια γραμμή που να έχει public ip.

- - - Updated - - -

Και εμείς όπως και άλλοι τα έχουμε/εχουν γράψει πολύ πιο πριν το γράψεις εσυ στο φόρουμ, εδώ όμως κάνουμε μια συζήτηση το να λες, τα έχω γράψει άλλου δεν βοηθάει.

Επειδή τα εχω γράψει εκεί αναλυτικότερα που είναι το σωστότερο θέμα γιαυτό το ανέφερα. Δεν την είπα σε κανέναν... Τώρα ειμαι από κινητό δεν μπορώ να γράψω εκθέσεις...

- - - Updated - - -

Τώρα που το δοκίμασα όντως ήταν πίσω απο ΝΑΤ οπότε έχεις δίκιο.
Όταν το είχα ξαναδοκιμάσει είχα μοναδική ΙΡ (94.χχχ) και δε νομίζω να ήμουν πίσω απο landline wifi.

Υπάρχει η δυνατότηα να ζητήσω απο τη Cosmote να μή με βγάζει πίσω απο ΝΑΤ? Έχω σύνδεση.

καλησπέρα!
ναι τα ιδια παθαινα και εγω οταν εκανα δοκιμες στο θεμα της κινητης με το twin sim cosmote whats up.
Ειχα μιλησει μαζι τους και μου εστειλαν email οτι πρεπει να κανω παγια συνδεση ιντερνετ.
Οταν την εκανα ΠΑΛΙ ειχα ip πισω απο ΝΑΤ!
και μου ειπαν οτι απο default δινουν ετσι, αλλα οταν κανεις παγια συνδεση μπορεις τηλεφωνικα να ζητησεις να παρεις vpn-internet, ετσι λενε αυτο το apn.
Οταν ενεργοποιηθει θα σε ενημερωσουν με SMS και μετα αλλαζεις το ονομα του apn απο σκετο ιντερνετ σε vpn-internet.
Και απο τοτε και μετα θα εχεις ΠΑΝΤΑ μονο public ips και κανεις τα παντα!
μονο προσεξε μετα θες πολυ καλοστημενο firewall!
εγω μεχρι να το στησω με εσκιζαν συνεχεια!
αυτα εννοουσα πριν οτι δεν μπορουσα να γραψω εκθεσεις, γιατι ημουν σε φιλικο σπιτι και απο κινητο και με χαλια σημα....τωρα που ηρθα σπιτι σου απαντησα, απλα ανεφερα το θεμα επειδη εκει τα ειχα πει ποιο αναλυτικα ολα αυτα. Εξηγουμε για να μην παρεξηγουμε.

[puntomania]

ερώτηση προς ειδικούς...

το freepbx έχει το fail2ban για την ασφάλεια από μη εξουσιοδοτημένους χρήστες στα extension του. που αν κάποιος προσπαθήσει 1-2 φόρες τρώει ban για Χ διάστημα.

παίζει να το κάνει αυτό το mikrotik, δηλαδή μπορεί ας πούμε να καταλάβει αν μια σύνδεση udp με πόρτα 5060 προς το κέντρο είναι οκ... και αν οχι να τον βάζει στην άκρη?

[Nikiforos]

ερώτηση προς ειδικούς...

το freepbx έχει το fail2ban για την ασφάλεια από μη εξουσιοδοτημένους χρήστες στα extension του. που αν κάποιος προσπαθήσει 1-2 φόρες τρώει ban για Χ διάστημα.

παίζει να το κάνει αυτό το mikrotik, δηλαδή μπορεί ας πούμε να καταλάβει αν μια σύνδεση udp με πόρτα 5060 προς το κέντρο είναι οκ... και αν οχι να τον βάζει στην άκρη?

καλημέρα και καλη εβδομαδα!
εχω βρει αυτά και μερικα απο αυτά τα εχω βαλει στο rb με την κινητη για παραπανω ασφαλεια, φανταζομαι με μερικες τροποποιήσεις ισως να κανουν αυτό που θες.
http://www.linux-sys-adm.com/how-to-...l-on-mikrotik/

[teodor_ch]

ερώτηση προς ειδικούς...

το freepbx έχει το fail2ban για την ασφάλεια από μη εξουσιοδοτημένους χρήστες στα extension του. που αν κάποιος προσπαθήσει 1-2 φόρες τρώει ban για Χ διάστημα.

παίζει να το κάνει αυτό το mikrotik, δηλαδή μπορεί ας πούμε να καταλάβει αν μια σύνδεση udp με πόρτα 5060 προς το κέντρο είναι οκ... και αν οχι να τον βάζει στην άκρη?

αυτό έχω για τη θύρα του winbox
με την προϋπόθεση ότι στο τέλος υπάρχει κανόνας input drop all others
αλλιώς βάλε εσύ ένα drop

Κώδικας:

add action=add-src-to-address-list address-list=wb_blacklist address-list-timeout=1w3d chain=input comment="WinBox brute forcers blacklisting" connection-state=new \
    dst-port=8291 protocol=tcp src-address-list=wb_stage3
add action=add-src-to-address-list address-list=wb_stage3 address-list-timeout=1m chain=input comment="WinBox brute forcers the third stage" connection-state=new \
    dst-port=8291 protocol=tcp src-address-list=wb_stage2
add action=add-src-to-address-list address-list=wb_stage2 address-list-timeout=1m chain=input comment="WinBox brute forcers the second stage" connection-state=new \
    dst-port=8291 protocol=tcp src-address-list=wb_stage1
add action=add-src-to-address-list address-list=wb_stage1 address-list-timeout=1m chain=input comment="WinBox brute forcers the first stage" connection-state=new \
    dst-port=8291 protocol=tcp src-address-list=!wb_stage1
add action=accept chain=input dst-port=8291 protocol=tcp src-address-list=!wb_blacklist