Mikrotik IPv4/IPv6 firewall

[deniSun]

Ή openvp ή SSStp, προς το παρόν το έχω στημένο με sstp με certificate keys server & client.
Εξάλλου είναι πρωτόκολλο που η mikrotik το υποστηρίζει.
Πρόσθεσα και το αντίστοιχο rule για την πόρτα του ssstp στο fw και είμαι έτοιμος.

ok τότε.

[Nikiforos]

καλημέρα! φιλος θελει να κοψει ολο το εσωτερικο lan του + wifi από μια ip στο ιδιο τοπικο δικτυο και μονο μια να το βλεπει.
Εχει σωστα τα filter rules όπως ειδα αλλα δεν πιανει.
Υπαρχει τροπος? πιστευω ότι δεν μπορει να γινει γιατι το βλεπουν τοπικα μεσω switch πχ.
Ετσι δεν είναι?
θα πρεπει να είναι πανω όλα σε ένα rb router-switch και ισως τοτε να γινεται.
Ξερει κανεις?

[deniSun]

καλημέρα! φιλος θελει να κοψει ολο το εσωτερικο lan του + wifi από μια ip στο ιδιο τοπικο δικτυο και μονο μια να το βλεπει.
Εχει σωστα τα filter rules όπως ειδα αλλα δεν πιανει.
Υπαρχει τροπος? πιστευω ότι δεν μπορει να γινει γιατι το βλεπουν τοπικα μεσω switch πχ.
Ετσι δεν είναι?
θα πρεπει να είναι πανω όλα σε ένα rb router-switch και ισως τοτε να γινεται.
Ξερει κανεις?

Τι δηλώσεις έχει κάνει;

[Nikiforos]

επειδή δεν είμαι σπιτι δεν μπορω να δω τωρα, θα τα κοιτάξω το απόγευμα.
από κατι γρηγορα screenshots που εστειλε, ειδα ότι εχει κοψει ολο το subnet του από αυτή την ip και εχει αφησει μια.
Αλλα όπως ειπα δεν εχει καποιο νοημα αν πεφτουν απλα όλα σε switch γιατι από εκει ολες οι συσκευες παλι το βλεπουν! ετσι δεν είναι?
για να κοψεις από το τοπικο σου δικτυο ένα μηχανημα, ή το κανεις από αυτό αν είναι εφικτο, ή θα πρεπει να είναι πανω σε ένα μηχανημα να είναι ρουτεροσουιτσ όπως πχ τα δικα μας 109 όπως φανταζομαι.
Ουτε το σεταπ που εχει δεν ξερω ακομα ή τι μηχανημα είναι αυτό που θελει να κοψει.

Οποτε για να το θεσω σαν γενικο ερωτημα, αν εχουμε ένα switch και εχουμε πανω τα μηχανήματα μας, και θελουμε πχ ένα pc να μην το φτανει κανενα άλλο μηχανήμα παρα ένα από αυτά είναι αυτό εφικτο από ένα ρουτερ mikrotik rb που είναι στο ιδιο τοπικο δικτυο αλλα παλι στο ιδιο switch?
δε νομιζω ότι είναι γιατι θα το βλεπουν ολοι μεσω του switch!!!
μονο το AP αν είναι πανω στο mikrotik router μπορούμε να κοψουμε εκεινες τις ips ίσως και με MAC, αλλα αν οι Ethernet δεν περνανε μεσω του Mikrotik πως είναι αυτό εφικτο να γινει και ενσύρματα?

[Nikiforos]

Καλημέρα
Να κάνω μια ερώτηση για να κατανοήσω λίγο περισσότερο το ΝΑΤ με τις καταχωρήσεις στο MT.
Έχουμε όλοι την cloud ip και την έχουμε ενεργοποιήσει.
Άρα δίνοντας έξω από το lan μας σε έναν browser το string της cloud, λογικά έπρεπε να ανοίγει το web του mikrotik σωστά?
Όμως αυτό σε εμένα δεν συμβαίνει.
Αντίθετα συμβαίνει εσωτερικά στο lan μου.
Στο ΝΑΤ έχω φυσικά masqarade το subnet μου χωρίς in και out interface.

καλησπέρα και απο εδω, ειναι λογικο αυτο που λες ετσι γινεται οταν εισαι τοπικα!
κατι τετοιο ελεγα και εγω για τον apache web server μου που τρεχει επανω σε linux nas server τυπου Qnap.
Πρεπει στο winbox να πας να κανεις ΝΑΤ masquerade και να ανοιξεις την πορτα που θες.
Το ip cloud ειναι απλα ενα ονομα για να εχεις ευκολη σε προσβαση την dynamic ip σου που ειναι μετα σαν static με ενα ονομα.
Αμα δεν ανοιξεις πορτες δεν κανει δουλεια ομως.

Δες εδω :
https://forum.mikrotik.com/viewtopic.php?t=42331

και μην ξεχασεις να πας απο winbox στο μενου ip-service να ειναι ανοιγμενες οι αντιστοιχες υπηρεσιες και να εχει προσβαση απο το 0.0.0.0/0 δλδ απο το ιντερνετ αυτο σημαινουν τα μηδενικα.

οπως καταλαβα εχεις κανει και λαθος το μασκερειντ....

δες εμενα πως ειναι πχ :

add action=dst-nat chain=dstnat comment="DVR CCTV exoxiko" dst-port=2222 in-interface=pppoe-out1 protocol=tcp to-addresses=10.10.1.5 to-ports=2222

[jkarabas]

καλησπέρα και απο εδω, ειναι λογικο αυτο που λες ετσι γινεται οταν εισαι τοπικα!
κατι τετοιο ελεγα και εγω για τον apache web server μου που τρεχει επανω σε linux nas server τυπου Qnap.
Πρεπει στο winbox να πας να κανεις ΝΑΤ masquerade και να ανοιξεις την πορτα που θες.
Το ip cloud ειναι απλα ενα ονομα για να εχεις ευκολη σε προσβαση την dynamic ip σου που ειναι μετα σαν static με ενα ονομα.
Αμα δεν ανοιξεις πορτες δεν κανει δουλεια ομως.

Δες εδω :
https://forum.mikrotik.com/viewtopic.php?t=42331

και μην ξεχασεις να πας απο winbox στο μενου ip-service να ειναι ανοιγμενες οι αντιστοιχες υπηρεσιες και να εχει προσβαση απο το 0.0.0.0/0 δλδ απο το ιντερνετ αυτο σημαινουν τα μηδενικα.

οπως καταλαβα εχεις κανει και λαθος το μασκερειντ....

δες εμενα πως ειναι πχ :

add action=dst-nat chain=dstnat comment="DVR CCTV exoxiko" dst-port=2222 in-interface=pppoe-out1 protocol=tcp to-addresses=10.10.1.5 to-ports=2222

Μάλλον κάτι παίζει με τα rules που έχω του denisun και δεν μπορώ να τα κατανοήσω.
Στο ΝΑΤ άνοιγμα πόρτας dsn-nat από την 80 του ip mikrotik έχω κάνει σε κάποια διαφορετική.
Το έχω όπως μου το είπες.
Στα ip services στην 80 δεν έχω ορίσει κανένα range.

[Nikiforos]

στο αλλο θεμα ειπες νομιζω οτι δεν εχεις in και out interface κανω λαθος?

Στο ΝΑΤ έχω φυσικά masqarade το subnet μου χωρίς in και out interface.

ποστ #4263 στο γενικο θεμα.....
λαθος ειναι αυτο.

[jkarabas]

στο αλλο θεμα ειπες νομιζω οτι δεν εχεις in και out interface κανω λαθος?

Στο ΝΑΤ έχω φυσικά masqarade το subnet μου χωρίς in και out interface.

ποστ #4263 στο γενικο θεμα.....
λαθος ειναι αυτο.

Ναι έτσι το έχω

chain=srcnat action=masquerade src-address=192.168.100.0/24 log=no log-prefix=""

Δες το Post του deniSun για την ρύθμιση του ΝΑΤ
https://www.adslgr.com/forum/threads...31#post5427031
Δεν έκανα κάτι διαφορετικό.
Γιατί είναι λάθος;

[Nikiforos]

για ανοιγμα πορτας δεν μιλαμε????
τι ειναι αυτο το ΝΑΤ που δειχνεις? τι υποτιθεται οτι κανει?
ειπες οτι θες να βλεπεις απεξω το webfig δλδ την port 80 και σου εδειξα τι ΝΑΤ πρεπει να κανεις.
Δεν εχει σχεση αυτο που δειχνεις.
Θελει οπως το δικο μου με 80 αντι 2222 βαζεις την ip του mikrotik σου, το interface για το internet το ppoe σου κτλ.

Δες εδω ποιο ευκολα http://www.icafemenu.com/how-to-port...tik-router.htm

[jkarabas]

Με μπέρδεψες να τα πάρω από την αρχή.

ΝΑΤ
Άνοιγμα πόρτας
Πχ.
chain=dstnat action=dst-nat to-addresses=192.168.100.5 to-ports=80 protocol=tcp dst-port=2222-> Βλέπω την συσκευή απ'έξω
Δηλ. public ip:2222 (δουλεύει)
Και ότι άλλο έχω ανοίξει οκ?

Έστω ότι η ip του Mt είναι 192.168.100.1
chain=dstnat action=dst-nat to-addresses=192.168.100.1 to-ports=80 protocol=tcp dst-port=2223-> Δεν δουλεύει
Δηλ. public ip:2223 δεν δουλεύει απ'έξω.

Αυτό είναι το πρόβλημα.

Σε όλα τα παραπάνω in interface δεν βάζω. Εάν ορίσω την eth1-WAN σαν in interface που είναι η eth με το Modem που έχω σαν bridge, τότε οι κανόνες δεν δουλεύουν.

[Nikiforos]

πες τα ολα για να καταλαβω, τι συσκευη ειναι, τι πορτα εχει, ετσι που τα λες μπερδεμενα δεν καταλαβαινω τπτ.
η πορτα αν ειναι 80 μετα παλι θελει 80, τι ειναι το 2222, 2223?
οτι αφορα το ιντερνετ παντα εννοειτε οτι εχεις ppoe client σαν in interface οριζεις αυτο, out δεν βαζεις.
θελει και τι προτοκολο ειναι, αν ειναι tcp οκ τοτε.
Το PPPOE INTERFACE δηλωνεις οτι την ethernet!
μπορει να σε μπερδεψε εκεινη η σελιδα αλλα εσυ θα βαλεις το ppoe interface στο in.

Αλλο παραδειγμα απο το εξοχικο mikrotik routerboard με κινητη σε θυρα USB δλδ stick

add action=dst-nat chain=dstnat comment="port forward DVR CCTV PC app" dst-port=5555 in-interface=ppp-out1 protocol=tcp to-addresses=10.2.3.1 to-ports=5555

εδω τι λεμε dst-nat δλδ κανουμε port forwarding, σχολιο τι ειναι αυτο για τι πραγμα δλδ, πορτα 5555 με internet interface αυτο που εχει το ιντερνετ, προτοκολο TCP και η ip του μηχανηματος δλδ του DVR CCTV.

[airbus]

μηπως εχεις ενεργοποιημενο "Επιθυμία αυξημένης προστασίας από κακόβουλες "επιθέσεις" του ΟΤΕ?

[Nikiforos]

κανε και ενα export ip-firewall-nat να δουμε τι εχεις κανει....
και στο ip-service επισης.

[jkarabas]

ip firewall nat

Spoiler:

/ip firewall nat
add action=masquerade chain=srcnat comment="Internet to LAN" src-address=\
192.168.100.0/24
add action=dst-nat chain=dstnat comment=IP_camera_HD dst-port=8013 \
protocol=tcp to-addresses=192.168.100.106 to-ports=8013
add action=dst-nat chain=dstnat comment=Printer-Network dst-port=8014 \
protocol=tcp to-addresses=192.168.100.81 to-ports=80
add action=dst-nat chain=dstnat comment=utorrent dst-port=51418 protocol=tcp \
to-addresses=192.168.100.107 to-ports=51418
add action=dst-nat chain=dstnat comment="Access Web Mikrotik 915G (indoor)" \
disabled=yes dst-port=8015 protocol=tcp to-addresses=192.168.100.254 \
to-ports=80
add action=dst-nat chain=dstnat comment="Access Web Mikrotik SXT (outdoor)" \
dst-port=8016 protocol=tcp to-addresses=192.168.100.112 to-ports=80
add action=dst-nat chain=dstnat comment="FTP Qnap" dst-port=34 protocol=tcp \
to-addresses=192.168.100.107 to-ports=21
add action=dst-nat chain=dstnat comment="Zyxel-Access from web for cloud" \
dst-port=8020 protocol=tcp to-addresses=192.168.1.1 to-ports=80
add action=dst-nat chain=dstnat comment=SSH-UBUNTU-PUTTY dst-port=8017 \
protocol=tcp to-addresses=192.168.100.103 to-ports=22
add action=dst-nat chain=dstnat comment=FritzBox dst-port=8033 protocol=tcp \
to-addresses=192.168.100.166 to-ports=80
add action=dst-nat chain=dstnat comment="Cisco Voip" dst-port=8021 protocol=\
tcp to-addresses=192.168.100.80 to-ports=80
add action=dst-nat chain=dstnat comment=FosCAM2 dst-port=8012 \
protocol=tcp to-addresses=192.168.100.108 to-ports=8012
add action=dst-nat chain=dstnat comment=FosCAM3 dst-port=8010 \
protocol=tcp to-addresses=192.168.100.109 to-ports=8010
add action=dst-nat chain=dstnat comment="NAS Qnap" dst-port=8019 protocol=tcp \
to-addresses=192.168.100.107 to-ports=8019
add action=dst-nat chain=dstnat comment="TwonkyMedia Server" dst-port=9000 \
protocol=tcp to-addresses=192.168.100.107 to-ports=9000
add action=dst-nat chain=dstnat comment=Transmition-Torrent-Qnap dst-port=\
9091 protocol=tcp to-addresses=192.168.100.107 to-ports=9091
add action=dst-nat chain=dstnat comment=Android_Mikrotik_951G dst-port=8728 \
protocol=tcp to-addresses=192.168.100.254 to-ports=8728
add action=dst-nat chain=dstnat comment=Android_Mikrotik_SXT dst-port=8730 \
protocol=tcp to-addresses=192.168.100.112 to-ports=8728

Filter Rules

Spoiler:

/ip firewall filter
add action=accept chain=input comment=\
"Accept input established, related connections" connection-state=\
established,related
add action=drop chain=input comment="______Drop input invalid connections" \
connection-state=invalid
add action=accept chain=forward comment=\
"Allow forward forward established, related connections" \
connection-state=established,related
add action=drop chain=forward comment=\
"______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Add port scanners to list" \
in-interface=internet protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/RST scan" \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=accept chain=input comment="Allow SSTP" dst-port=4434 \
in-interface=internet protocol=tcp
add action=accept chain=input comment="Allow mikro winbox android" dst-port=\
8728 in-interface=internet protocol=tcp
add action=accept chain=input comment="Allow winbox" disabled=yes dst-port=\
8291 in-interface=internet protocol=tcp
add action=drop chain=input comment="______Drop port scanners from list" \
src-address-list="port scanners"
add action=accept chain=input comment="Allow OpenVPN" disabled=yes dst-port=\
1194 in-interface=internet protocol=tcp
add action=accept chain=forward in-interface=internet src-address=\
!192.168.100.0/24
add action=accept chain=input comment="Allow all input from LAN" \
in-interface=!internet
add action=accept chain=forward comment="Allow all forward from LAN" \
in-interface=!internet
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"

[teodor_ch]

add action=accept chain=forward in-interface=internet src-address=\
!192.168.100.0/24

τί είναι αυτό?

αφήνεις όλα τα εισερχόμενα απο το ίντερνετ στο λαν σου?

γενικά έχει πολλά λάθη
δές το τελευταίο default του ΜΚ και απο εκεί πρόσθεσε ότι χρειάζεσαι