Mikrotik IPv4/IPv6 firewall

[galotzas]

Μωρε το θεμα ειναι να βρουμε πως δουλευει σωστα και ιδανικα ,μην αρπαζεστε. Το οτι δεν εχεις δει λουπα δεν λεει και τπτ γιατι μπορει να μην φαινεται η μπορει να γινει καποια στιγμη.
Ακομα και ετσι να το βαλεις παλι θα δουλεψει

[CODE]/ip firewall nat
add action=masquerade chain=srcnat
[/CODE

Σκετο χωρις τιποτα.] Ειναι ομως σωστο και λειτουργικο?

[jkarabas]

Ας έκανε λοιπόν η mikrotik υποχρεωτική τη δήλωση, το άφησε όμως ανοιχτό, γιατί ας μου πει κάποιος. Ας το πάρουμε λοιπόν αλλιώς το θέμα.
Ας αναφέρουμε λοιπόν σε ποιες περιπτώσεις τα αφήνουμε κενά.
Συζήτηση κάνουμε έτσι.........

[teodor_ch]

Το τεστ του Deni αποδεικνύει ότι δεν έχουμε άσκοπο ΝΑΤ και μόνο.

Βέβαια, του Deni του αρέσει να γράφει συνήθως πολλούς κανόνες (βλέπε διπλούς για ένα απλό dst-nat) αλλά τώρα προτιμάει έναν γενικό. (Αυτό ήταν για να τον πειράξω )

Απο εκεί και πέρα ο καθένας κάνει τις επιλογές του αφού ανάλογα το setup αλλάζουν πολλά πράγματα.
Δεν υπάρχει σωστό και λάθος γενικό (όπως πχ, με τον κανόνα "drop all others" που κατα 99.99% χρειάζεται).

Δε χρειάζεται να το συνεχίσουμε αφού δεν υπάρχει λύση.

Για την ιστορία, προτιμώ να το κάνω συγκεκριμένο αφού έχω διαφορετικά subnets/interface και multi-wan και αλλού δίνω νετ αλλού δε δίνω.
Είναι πιο εύκολο να λύσω ένα πρόβλημα όταν οι κανόνες είναι συγκεκριμένοι.

[jkarabas]

Για την ιστορία, προτιμώ να το κάνω συγκεκριμένο αφού έχω διαφορετικά subnets/interface και multi-wan και αλλού δίνω νετ αλλού δε δίνω.
Είναι πιο εύκολο να λύσω ένα πρόβλημα όταν οι κανόνες είναι συγκεκριμένοι.

Και καλά κάνεις αφού έχεις διάφορα interface και κρίνεις που και τι.
Στη δική μου περίπτωση είναι ποιο απλά τα πράγματα.
Συμφωνώ ότι δεν υπάρχει σωστό και λάθος. Its up to you που λέμε....

[teodor_ch]

Και καλά κάνεις αφού έχεις διάφορα interface και κρίνεις που και τι.
Στη δική μου περίπτωση είναι ποιο απλά τα πράγματα.
Συμφωνώ ότι δεν υπάρχει σωστό και λάθος. Its up to you που λέμε....

Το μόνο θέμα είναι ότι αν κάποιος αντιγράφει τους κανόνες σου και αρχίσει και το κάνει πολυπλοκότερο μπορεί να έχει θέμα.
Όπως αν και εσύ πχ. αργότερα αλλάξεις κάτι.

(Δεν κάθομαι να σκεφτώ τί μπορεί να γίνει βέβαια. Αλλά για αυτό μου αρέσει να τους κάνω συγκεκριμένους τους κανόνες!)

[macro]

Το τεστ του Deni αποδεικνύει ότι δεν έχουμε άσκοπο ΝΑΤ και μόνο.

Βέβαια, του Deni του αρέσει να γράφει συνήθως πολλούς κανόνες (βλέπε διπλούς για ένα απλό dst-nat) αλλά τώρα προτιμάει έναν γενικό. (Αυτό ήταν για να τον πειράξω )

Απο εκεί και πέρα ο καθένας κάνει τις επιλογές του αφού ανάλογα το setup αλλάζουν πολλά πράγματα.
Δεν υπάρχει σωστό και λάθος γενικό (όπως πχ, με τον κανόνα "drop all others" που κατα 99.99% χρειάζεται).

Δε χρειάζεται να το συνεχίσουμε αφού δεν υπάρχει λύση.

Για την ιστορία, προτιμώ να το κάνω συγκεκριμένο αφού έχω διαφορετικά subnets/interface και multi-wan και αλλού δίνω νετ αλλού δε δίνω.
Είναι πιο εύκολο να λύσω ένα πρόβλημα όταν οι κανόνες είναι συγκεκριμένοι.

Δεν επρεπε να το μαρτυρησεις, να τον πιει και να ψαχνετε τι μαλακια εχει κανει μετα.

[kostas2911]

Άρα το hotspot και όλους τους κανόνες που το αφορούν θα τους βάλεις στο bridge2. Ούτε στο ether10 ούτε στο vlan100

και σε αυτό (hotspot) όμως και στο vpn του αυτοκινήτου... το πρόβλημα είναι στα mangle που έχω για το multi-wan

θα το δω τις επόμενες μέρες πάλι... και ίσως βάλω πάλι το tp-link για τις γραμμές του ιντερνετ και απο πίσω το 3011 για τα υπόλοιπα hotspot... vpn
και όταν με το κάλο βάλουν την καμπίνα εδώ... ( απ ότι ξέρω θα μπει ανάμεσα σε μένα και στο γείτονα ) και δώσουν 100αρα ή και 200αρα ίσως... κρατάω μία γραμμή και βάζω το 3011 μόνο του πάλι και τέλος.

Φτιάξε routes για το εσωτερικό δίκτυο και το VPN με όλα τα routing marks που έχεις

[kostas2911]

Ωραία ας υποθέσουμε λοιπόν ότι πρέπει να ορίζουμε τα in.interface και τα out.interface αντίστοιχα στους κανόνες dst-nat και scrnat.

Παράδειγμα:
Έχω κατάστημα με κάμερες και ορίζω στο ΝΑΤ τις αντίστοιχες πόρτες.
Θέλω λοιπόν να έχω πρόσβαση στις κάμερες και από το εσωτερικό δίκτυο(LAN) αλλά και απ'έξω (Wan ή ppoe out).

Λύσεις:
Με την λογική του υποχρεωτικού ορισμού στα in.interface πρέπει να έχω διπλό κανόνα για κάθε κάμερα που θα ορίζω το in.interface στο LAN και στο WAN αντίστοιχα.
Δηλ. 4 κάμερες 8 κανόνες σωστά;
Εάν όμως αφήσω κενό το in.interface τότε με 1 κανόνα έχω πρόσβαση και από μέσα εσωτερικά αλλά και απ'έξω.
Το θέμα είναι ότι με όλα αυτά ποιος ορισμός είναι ο ποιος σωστός ή εάν και τα 2 τελικά είναι σωστά.
Στα tips αναφέρουν different kinds of problems, for example, loops, lost access to internet and etc εγώ προσωπικά τέτοιο θέμα δεν είχα ποτέ αφήνοντας κενά τα in.interface. Δεν σημαίνει βέβαια ότι με τα λεγόμενά τους είναι σωστό.

Δηλ για το παραπάνω παράδειγμα:
add chain=dstnat dst-port=1234 action=dst-nat protocol=tcp to-address=192.168.88.2 to-port=80 (χωρίς in.interface) έχουμε πρόσβαση και από το εσωτερικό δίκτυο(LAN) αλλά και απ'έξω.
ή
add chain=dstnat dst-port=1234 action=dst-nat protocol=tcp to-address=192.168.88.2 to-port=80 in-interface=WAN
add chain=dstnat dst-port=1234 action=dst-nat protocol=tcp to-address=192.168.88.2 to-port=80 in-interface=LAN
εδώ ξεχωρίζουμε τους κανόνες.

Αν όμως έχεις πχ κι ένα υποκατάστημα που έχεις κι εκει μια κάμερα που έχει ίδια πόρτα με την τοπική τοτε έχοντας ένα κανονα χωρίς in interface όταν προσπαθείς από το εσωτερικό δίκτυο να δεις το υποκατάστημα θα σε κάνει ridect στην τοπική

[jkarabas]

Αν όμως έχεις πχ κι ένα υποκατάστημα που έχεις κι εκει μια κάμερα που έχει ίδια πόρτα με την τοπική τοτε έχοντας ένα κανονα χωρίς in interface όταν προσπαθείς από το εσωτερικό δίκτυο να δεις το υποκατάστημα θα σε κάνει ridect στην τοπική

Είπαμε όλα εξαρτώνται από το τι θες να κάνεις και από το setup που έχεις.
Δεν έχει σημασία που βρίσκονται οι κάμερες σε υποκατάστημα.
Εγώ θα άλλαζα (dst-port) την πόρτα της κάμερας από το υποκατάστημα.
Καταρχάς τις πόρτες τις κάνεις redirect και ορίζεις αυτές που θέλεις.
add chain=dstnat dst-port=1234 action=dst-nat protocol=tcp to-address=192.168.88.2 to-port=80
Δεν υπάρχει θέμα με το in interface πάλι κενό θα το άφηνα.

[deniSun]

Σε ένα φόρουμ που έχουν γραφεί τόσα και τόσα ωραία πράγματα θεωρώ προσβλητικό να αναφερόμαστε σε λεπτομέρειες.
Δεν νομίζω ότι ΚΑΝΕΙΣ εδώ μέσα θεώρησε ότι αυτό που γράφω είναι ένας γενικός κανόνας που απευθύνεται σε όλους.
Επίσης δεν νομίζω ότι ΚΑΝΕΙΣ εδώ μέσα δεν κατάλαβε ότι το να δηλώσεις ξεχωριστούς κανόνες nat όταν έχεις πχ ξεχωριστά δίκτυα με διαφορετικούς κανόνες/προτεραιότητες είναι απαραίτητο.
Οπότε μην παρουσιάζετε τα απολύτως αυτονόητα ως κάτι το φοβερό που οι άλλοι δεν καταλαβαίνουν.
Προσωπικά το θεωρώ υποτιμητικό.

Είναι σαν να λέω:
"Ο γενικός κανόνας ΝΑΤ καλύπτει τις απαιτήσεις του δικού μου configuration για το οποίο γράφω και έχω ξεκινήσει τα ανάλογα θέματα"
και το σχόλιο που γίνεται είναι:
"Όχι δεν ισχύει ο κανόνας αυτός γιατί δημιουργεί προβλήματα. Γιατί εάν είχα πχ διαφορετικά sub και ήθελα να έχω διαφορετικού περιορισμούς και χίλια δύο άλλες περιπτώσεις ο γενικός κανόνας δεν θα δούλευε σωστά."

[kostas2911]

Αν όμως έχεις πχ κι ένα υποκατάστημα που έχεις κι εκει μια κάμερα που έχει ίδια πόρτα με την τοπική τοτε έχοντας ένα κανονα χωρίς in interface όταν προσπαθείς από το εσωτερικό δίκτυο να δεις το υποκατάστημα θα σε κάνει ridect στην τοπική

Είπαμε όλα εξαρτώνται από το τι θες να κάνεις και από το setup που έχεις.
Δεν έχει σημασία που βρίσκονται οι κάμερες σε υποκατάστημα.
Εγώ θα άλλαζα (dst-port) την πόρτα της κάμερας από το υποκατάστημα.
Καταρχάς τις πόρτες τις κάνεις redirect και ορίζεις αυτές που θέλεις.
add chain=dstnat dst-port=1234 action=dst-nat protocol=tcp to-address=192.168.88.2 to-port=80
Δεν υπάρχει θέμα με το in interface πάλι κενό θα το άφηνα.

Σαφώς και το κάθε setup ειναι διαφορετικό.
Με τον κανόνα όμως που λες
add chain=dstnat dst-port=1234 action=dst-nat protocol=tcp to-address=192.168.88.2 to-port=80
Στην ουσία ότι ip και να βάλεις με πόρτα 1234 θα σε πάει στην 192.168.88.2:80.
Σε ένα απλο setup σίγουρα δεν θα εχεις κάποιο πρόβλημα. Σε ένα όμως πιο σύνθετο ίσως σου βγουν μελλοντικά προβλήματα.

[jkarabas]

Δεν διαφωνώ μαζί σου και με κανέναν ότι πρέπει να συγκεκριμενοποιείς τον κανόνα όπως πιστεύω ότι δεν θα υπάρξουν προβλήματα εάν δεν το δηλώσεις. Άποψή μου.
Όταν θα φτάσω σε σύνθετα πράγματα και χρειαστεί να συγκεκριμενοποιήσω τον κανόνα σίγουρα θα το κάνω. Για αυτό υπάρχει το In και το out interface.
Υπόψιν ότι τον παραπάνω κανόνα τον έχω σε 4 κάμερες στο σπίτι μου και δουλεύει άψογα. Από το να κάτσω να αλλάξω τις πόρτες σε κάθε κάμερα αυτή η λύση είναι η καλύτερη.

Καλό θα είναι, δεν μιλάω για σένα kostas2911, να υπάρχει και σεβασμός σε ανθρώπους όπως είναι ο deni (τον άνθρωπο δεν το γνωρίζω) που έχουν προσφέρει πάρα πολλά εδώ μέσα. Φυσικά και όχι μόνο αυτός.
Δεν μπορώ να καταλάβω κάθε φορά που γράφει κάτι υπάρχει μια ανεξήγητη "επίθεση" προς αυτά που γράφει και γεμίζουν οι σελίδες. Λάθος.
Εγώ με όλα όσα έχει γράψει διακρίνω ότι ποτέ δεν προσπάθησε να αλλάξει τη γνώμη κάποιου για κάτι και πάντα είναι διακριτικός σε αυτά που λέει και με διαθέση.
Δοκιμάζει-διαπιστώνει-διαβάζει και αμέσως κοινοποιεί τα συμπεράσματά του.
Εάν δεν υπήρχαν άνθρωποι σαν τον deni σε forums όλοι οι υπόλοιποι ακόμη θα ψαχνόμασταν.
Διαβάζουμε κάποιους, δοκιμάζουμε κρίνουμε από μόνοι μας τι πρέπει να κάνουμε και προχωράμε.
Και κάτι ακόμη ουδείς αλάνθαστος σε αυτόν τον κόσμο. Όλοι μας από όλους μαθαίνουμε.

[kostas2911]

Φυσικά και είναι λάθος οποιαδήποτε επίθεση. Εδώ μέσα συζητάμε και ο καθένας λέει την άποψη του και τις δοκιμές που έχει κάνει. Όποιος νομίζει ότι τα ξέρει όλα δεν έχει νόημα να παρακολουθεί και να γράφει εδώ.

[teodor_ch]

Σε ένα φόρουμ που έχουν γραφεί τόσα και τόσα ωραία πράγματα θεωρώ προσβλητικό να αναφερόμαστε σε λεπτομέρειες.
Δεν νομίζω ότι ΚΑΝΕΙΣ εδώ μέσα θεώρησε ότι αυτό που γράφω είναι ένας γενικός κανόνας που απευθύνεται σε όλους.
Επίσης δεν νομίζω ότι ΚΑΝΕΙΣ εδώ μέσα δεν κατάλαβε ότι το να δηλώσεις ξεχωριστούς κανόνες nat όταν έχεις πχ ξεχωριστά δίκτυα με διαφορετικούς κανόνες/προτεραιότητες είναι απαραίτητο.
Οπότε μην παρουσιάζετε τα απολύτως αυτονόητα ως κάτι το φοβερό που οι άλλοι δεν καταλαβαίνουν.
Προσωπικά το θεωρώ υποτιμητικό.

Είναι σαν να λέω:
"Ο γενικός κανόνας ΝΑΤ καλύπτει τις απαιτήσεις του δικού μου configuration για το οποίο γράφω και έχω ξεκινήσει τα ανάλογα θέματα"
και το σχόλιο που γίνεται είναι:
"Όχι δεν ισχύει ο κανόνας αυτός γιατί δημιουργεί προβλήματα. Γιατί εάν είχα πχ διαφορετικά sub και ήθελα να έχω διαφορετικού περιορισμούς και χίλια δύο άλλες περιπτώσεις ο γενικός κανόνας δεν θα δούλευε σωστά."

Τόσα και τόσα έχουν γραφτεί και όμως ακόμα αντιγράφουν οι νέοι τους κανόνες της πρώτης σελίδας όπως επίσης δε μπορούν να κάτσουν και να διαβάσουν 970 ποστ!
ΠΡΕΠΕΙ να το αναφέρουμε.

Υπάρχουν νέα άτομα με ΜΚ και με copy paste προσπαθούν να στήσουν πολύ πιο σύνθετα δίκτυα (multi-wan, load balance, vpn κλπ) που για αυτούς δεν είναι αυτονόητα.

Ευχαριστούμε για τη δοκιμή και το συμπέρασμα που έβγαλες (για να σε γλυκάνω μετά το πείραγμα )

[deniSun]

Για να μην υπάρχει λοιπόν μπέρδεμα ας ανοίξει όποιος θέλει ξεχωριστό θέμα για configuration MT σε Multi WAN, ασύρματες ζεύξεις κλπ όπου εκεί θα συζητιούνται θέματα config, fw, qos κλπ.