Mikrotik IPv4/IPv6 firewall

[teodor_ch]

Οι κανονες με τα drop ΠΑΝΤΑ υπηρχαν μπηκαν από την 1η μερα που μου εκανε η cosmote το apn vpn-internet και πηρα public ip.
Γιαυτο κιολας στην αρχη ειχα πολλα θεματα με τα vpn γιατι ηθελε κανονες να επιτρεπω subnets κτλ.

Καλά θυμάμαι

https://www.adslgr.com/forum/threads...=1#post6206693
Δές και το επόμενο ποστ.

Τους είχες αλλά disabled και σου γράφω απο κάτω

αν έχεις απενεργοποιήσει τους drop all others τότε δεν έχεις σωστό firewall!

αυτοί ΠΡΕΠΕΙ να υπάρχουν εκτός αν καταφέρεις απο πάνω να κάνεις drop ότι δεν θές (νομίζω αδύνατον!)

[macro]

Και το πιο σωστο ειναι στο drop everything να μη δηλωνετε in interface. Nα μη δηλωνετε τπτ.

Αν εχετε δηλωσει in interface ΟΛΑ τα dst add. & dst. ports ΔΕ κοβοντε. Για αυτο προσοχη.

[Nikiforos]

Kαλημερα, Θοδωρή ναι σωστα γιατι δεν δουλευαν τα vpn, δεν θυμαμαι ουτε καν ποτε τους εκλεισα, αλλα μετα εφτιαξα τους κανονες να τα επιτρεπουν και ανοιξα παλι αυτό με τα others!
μην νομιζει κανεις ότι ηταν ανενεργοι τοσο καιρο!!!!
μιλαμε για 1-2 εβδομάδες το πολυ....τωρα δεν θυμαμαι αν το DNS θεμα συνεβει τοτε, μπορει....δεν εχω χρονο να ψαχνω ποστς πισω δυστυχως!
δεν θυμαμαι κιολας ακριβως ποτε ειχε γινει.
Παντως τωρα τα εχω όλα σωστα, απλα εχω περιττους κανονες που στην ουσια δεν κανουν τπτ απλα υπαρχουν ενεργοι.
Μιλαω ΠΑΝΤΑ για το 951 με την κινητη, γιατι το 108 το εχω σενιαρει.

[jkarabas]

Kαλημερα, Θοδωρή ναι σωστα γιατι δεν δουλευαν τα vpn, δεν θυμαμαι ουτε καν ποτε τους εκλεισα, αλλα μετα εφτιαξα τους κανονες να τα επιτρεπουν και ανοιξα παλι αυτό με τα others!
μην νομιζει κανεις ότι ηταν ανενεργοι τοσο καιρο!!!!
μιλαμε για 1-2 εβδομάδες το πολυ....τωρα δεν θυμαμαι αν το DNS θεμα συνεβει τοτε, μπορει....δεν εχω χρονο να ψαχνω ποστς πισω δυστυχως!
δεν θυμαμαι κιολας ακριβως ποτε ειχε γινει.
Παντως τωρα τα εχω όλα σωστα, απλα εχω περιττους κανονες που στην ουσια δεν κανουν τπτ απλα υπαρχουν ενεργοι.
Μιλαω ΠΑΝΤΑ για το 951 με την κινητη, γιατι το 108 το εχω σενιαρει.

Τελικά του άφησες τους κανόνες με την 53 ενεργούς;

[Nikiforos]

Τελικά του άφησες τους κανόνες με την 53 ενεργούς;

ναι δεν εχω χρονο να ασχοληθώ αυτές τις μερες, δεν περισσευει ουτε 1 λεπτο....

[jkarabas]

ναι δεν εχω χρονο να ασχοληθώ αυτές τις μερες, δεν περισσευει ουτε 1 λεπτο....

Καλά όταν βρεις λίγο χρόνο κοίταξέ το, γιατί η λογική με το drop everything else πιθανολογώ ότι ισχύει.

[Nikiforos]

Καλά όταν βρεις λίγο χρόνο κοίταξέ το, γιατί η λογική με το drop everything else πιθανολογώ ότι ισχύει.

Ναι καποια στιγμη θελει ψαξιμο γιατι εχω πολλους κανονες και βλεπω ΔΕΝ μετρανε.
Κακο όπως ειπα δεν κανουν απλα είναι περιττοι.

[jkarabas]

Αυτο εχω σαν γενικο που βαζω παντου...........

Κώδικας:

/ip firewall filter

add action=drop chain=forward comment=Ransomware_Pretection_Ports port=135-139,445,3389 protocol=tcp
add action=drop chain=forward port=135-139,445,3389 protocol=udp

Καλημέρα αυτές τις πόρτες γιατί τις κάνεις drop; Από ότι είδα αφορούν κάποια services της microsoft.

[macro]

τις κανω drop στο dst.port και οχι στο any οπως λαθος το εχω ποσταρει και ειναι για προστατευεσαι απο το ransomware. Δε κοβει τπτ απο services της microsoft.

[jkarabas]

τις κανω drop στο dst.port και οχι στο any οπως λαθος το εχω ποσταρει και ειναι για προστατευεσαι απο το ransomware. Δε κοβει τπτ απο services της microsoft.

Είδα που χρησιμοποιούνται.
Δεν υποτίθεται ότι κόβεις τα πάντα με το drop everything else στο τέλος? και επιτρέπεις από πάνω τι να περνάει; Δηλ. θέλω να πω ότι χρειάζεται να δηλώσεις το drop για τις συγκεκριμένες πόρτες?

https://el.wikipedia.org/wiki/%CE%9A...E%B1%CE%B9_UDP

[macro]

Οχι το drop δε κοβει τα dst. διοτι τα επιτρεπεις απο το allow from lan, απο οσο ειδα......

[puntomania]

σε συνέχεια του setup μου στο 3011...

το config Μου είναι αυτό.

Spoiler:

/interface vlan
add interface=LAN name=VLAN-50 vlan-id=50

/ip hotspot profile
set [ find default=yes ] http-cookie-lifetime=1w login-by=cookie,http-chap,http-pap
add dns-name=mikrotik.local hotspot-address=192.168.3.1 name=hsprof1

/ip hotspot user profile
add add-mac-cookie=no !mac-cookie-timeout name=HOTSPOT-GUEST rate-limit=5M/300K session-timeout=10m shared-users=50 \
transparent-proxy=yes

/ip pool
add name=LAN-POOL ranges=192.168.0.100-192.168.0.200
add name=HOTSPOT-POOL ranges=192.168.3.100-192.168.3.254

/ip dhcp-server
add address-pool=LAN-POOL disabled=no interface=LAN lease-time=59m name=LAN
add address-pool=HOTSPOT-POOL disabled=no interface=VLAN-50 lease-time=1h name=HOTSPOT

/ip hotspot
add address-pool=HOTSPOT-POOL addresses-per-mac=1 disabled=no interface=VLAN-50 name=hotspot1 profile=hsprof1

/ip hotspot user profile
add address-pool=HOTSPOT-POOL name=GUEST transparent-proxy=yes


/ip address
add address=192.168.0.1/24 interface=LAN network=192.168.0.0
add address=192.168.10.50/24 interface=1-WAN network=192.168.10.0
add address=192.168.20.50/24 interface=2-WAN network=192.168.20.0
add address=192.168.30.50/24 interface=3-WAN network=192.168.30.0
add address=192.168.3.1/24 interface=VLAN-50 network=192.168.3.0


/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=masquerade chain=srcnat out-interface=pppoe-out2
add action=masquerade chain=srcnat out-interface=pppoe-out3
add action=masquerade chain=srcnat out-interface=1-WAN
add action=masquerade chain=srcnat out-interface=2-WAN
add action=masquerade chain=srcnat out-interface=3-WAN
add action=masquerade chain=srcnat src-address=192.168.0.0/24
add action=masquerade chain=srcnat src-address=192.168.20.0/24
add action=masquerade chain=srcnat src-address=192.168.3.0/24
add action=masquerade chain=srcnat src-address=10.0.0.0/24
add action=masquerade chain=srcnat src-address=10.0.2.0/24
add action=dst-nat chain=dstnat dst-port=15201 protocol=udp to-addresses=192.168.0.248 to-ports=15201
add action=dst-nat chain=dstnat dst-port=15100-15110 log=yes protocol=udp to-addresses=192.168.0.248 to-ports=15100-15110



/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.10.0/24
add action=accept chain=prerouting dst-address=192.168.20.0/24
add action=accept chain=prerouting dst-address=192.168.20.0/24
add action=accept chain=prerouting dst-address=192.168.3.0/24
add action=accept chain=prerouting dst-address=10.0.0.0/24
add action=accept chain=prerouting dst-address=10.0.2.0/24

add action=mark-routing chain=prerouting disabled=yes new-routing-mark=to_wan3 passthrough=no src-address=192.168.0.4
add action=mark-routing chain=prerouting connection-mark=no-mark new-routing-mark=to_wan1 passthrough=no src-address=192.168.0.249
add action=mark-routing chain=prerouting connection-mark=no-mark new-routing-mark=to_wan2 passthrough=no src-address=192.168.0.240

add action=accept chain=prerouting dst-address=192.168.0.0/24 src-address=192.168.0.0/24

add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=pppoe-out1 new-connection-mark=to_wan1
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=pppoe-out2 new-connection-mark=to_wan2
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=pppoe-out3 new-connection-mark=to_wan3

add action=jump chain=prerouting connection-mark=no-mark in-interface=LAN jump-target=policy_route

add action=mark-routing chain=prerouting connection-mark=to_wan1 new-routing-mark=to_wan1 passthrough=yes src-address=192.168.0.0/24
add action=mark-routing chain=prerouting connection-mark=to_wan2 new-routing-mark=to_wan2 passthrough=yes src-address=192.168.0.0/24
add action=mark-routing chain=prerouting connection-mark=to_wan3 new-routing-mark=to_wan3 passthrough=yes src-address=192.168.0.0/24

add action=mark-routing chain=output connection-mark=to_wan1 new-routing-mark=to_wan1
add action=mark-routing chain=output connection-mark=to_wan2 new-routing-mark=to_wan2
add action=mark-routing chain=output connection-mark=to_wan3 new-routing-mark=to_wan3

add action=mark-connection chain=policy_route dst-address-type=!local new-connection-mark=to_wan1 passthrough=yes per-connection-classifier=both-addresses-and-ports:3/0
add action=mark-connection chain=policy_route dst-address-type=!local new-connection-mark=to_wan2 passthrough=yes per-connection-classifier=both-addresses-and-ports:3/1
add action=mark-connection chain=policy_route dst-address-type=!local new-connection-mark=to_wan3 passthrough=yes per-connection-classifier=both-addresses-and-ports:3/2

έφτιαξα το vlan-50 που είναι το interface του hotspot.

έβαλα ένα AP στο LAN το ρύθμισα με το vlan-50

συνδέομαι σε αυτό κανονικά παίρνω ip από το range του hotspot και μου ανοίγει η σελίδα για το login, κάνω login, έχω πρόσβαση τοπικά αλλά όχι ίντερνετ!!!

στο mangle τι πρέπει να προσθέσω για το 192.168.3.0/24? δοκίμασα με με τους αντίστοιχους κανόνες που υπάρχουν για το 192.168.0.0/24 αλλά δεν κάνει κάτι...!

για δώστε μου καμιά βοήθεια.


--------------

στην wan2 δίνω ιντερνετ στο wifi του speedport ( 192.168.20.0/24 ) και παίζει κανονικά.

[kostas2911]

/ip hotspot user profile
add add-mac-cookie=no !mac-cookie-timeout name=HOTSPOT-GUEST rate-limit=5M/300K session-timeout=10m shared-users=50 \
transparent-proxy=yes

Καταρχήν το rate limit είναι ανάποδα. Πρώτα βάζεις το upload. Θα έπρεπε να είναι 300k/5M. Εκτός κι αν το έχεις βάλει εσκεμένα έτσι

[macro]

Δες αν ο dhcp εχει σωστο dns.

[puntomania]

κάτι στο mangle θέλει αλλαγή η προσθήκη...

- - - Updated - - -

όσο έψαξα ολοι κάνουν αναφορα οτι θέλει το hotspot=auth

add action=mark-connection chain=prerouting dst-address-type=!local hotspot=auth in-interface=Local new-connection-mark=WAN1_conn per-connection-classifier=both-addresses-and-ports:2/0
add action=mark-connection chain=prerouting dst-address-type=!local hotspot=auth in-interface=Local new-connection-mark=WAN2_conn per-connection-classifier=both-addresses-and-ports:2/1
...

στην περίπτωσή μου όμως εγώ έχω..

add action=mark-connection chain=policy_route dst-address-type=!local new-connection-mark=to_wan1 passthrough=yes per-connection-classifier=both-addresses-and-ports:3/0
add action=mark-connection chain=policy_route dst-address-type=!local new-connection-mark=to_wan2 passthrough=yes per-connection-classifier=both-addresses-and-ports:3/1
add action=mark-connection chain=policy_route dst-address-type=!local new-connection-mark=to_wan3 passthrough=yes per-connection-classifier=both-addresses-and-ports:3/2

chain=policy_route βάζω ναι μεν το hotspot=auth άλλα και πάλι δεν έχει ιντερνετ το hotspot.

- - - Updated - - -

Καταρχήν το rate limit είναι ανάποδα. Πρώτα βάζεις το upload. Θα έπρεπε να είναι 300k/5M. Εκτός κι αν το έχεις βάλει εσκεμένα έτσι

ναι οκ... αυτό είναι δευτερεύων...

- - - Updated - - -

Δες αν ο dhcp εχει σωστο dns.

το τσέκαρα...