1. Το drop στα dns δεν το χρειάζεσαι.
Θα σε καλύψει το drop στο τέλος.
Από την στιγμή που δεν έχεις κάπου accept για αυτά τα πακέτα, θα τα μαζεύει στο τέλος το drop.
2. Τα drop στα !dstnat για τα all-ppp, δεν ξέρω τι μαζεύουν και από που.
Λογικά αν τα βγάλεις, θα πέφτουν στα δύο γενικά drop στο τέλος.
3. Το jump στο icmp... γιατί;
Εμφάνιση 436-450 από 2112
-
21-03-17, 22:29 Απάντηση: Mikrotik IPv4/IPv6 firewall #436
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
22-03-17, 11:59 Απάντηση: Mikrotik IPv4/IPv6 firewall #437
1) Το δοκιμαζω να το κλεισω και αυτο για τα dns. Ειναι λογικο αυτο που λες.
2) Για αυτο το κανονα δεν ειμαι και πολυ σιγουρος. Τον ειχα απο τα πρωτα σεταπ που ειχα κανει. Καπου ειχαμε συζητησει και με το theodor ενα θεμα που ειχαμε και οταν το βαζαμαi ηταν οκ. Δε πολυθυμαμαι να σου πω. Ειναι πολλα ποστς πισω. Μιλαμε για το drop all from wan not destinated που εχω προτελευταιο input-forward ετσι? Θα το κλεισω και αυτο και βλεπουμε.
Και βλεπω αμεσως περισοτερα πακετα στο τελευταιο drop everything else.
3) jump στο icmp το εχω βαλει επειδη δε θελω να ειναι εντελως ανοιχτο αλλα να κανει μονο συγκεκριμενα πραγματα. Αυτο δε το βγαζω αν δε μου πεις καποια καλυτερη λυση. Δε θελω να ειναι accept ολο το icmp.
Κατι ακομη που δε ξερω αν μπορει να σχολιαστει ειναι οτι εχω συμπληρωσει αλλον εναν drop invalid forward, ακριβως κατω απο το accept torrents forwards, 5ος κανονας αν δε κανω λαθος. Δλδ εβαλα και drop invalid forward μετα τα accept established forward ο οποιος γραφει πακετα. Drop input εχω 2ρο κανονα.
Υ.Γ
Τωρα που ξανασκεφτομαι τη λογικη σου, ουτε το drop invlaid που βαζουμε πανω μετα το accept established, χρειαζεται να υπαρχουν. Λογικα θα πεφτουν το drop everything else στο τελος ολα αυτα. Ετσι δεν ειναι?
Κλεινοντας ομω το drop invalid forward δε βλεπω να γραφει το drop everything else forward. Αρα κατι μας ξεφευγει.Τελευταία επεξεργασία από το μέλος macro : 22-03-17 στις 12:56.
Άλλα Ντάλλα....
-
22-03-17, 15:59 Απάντηση: Mikrotik IPv4/IPv6 firewall #438
2. Ναι.
3. Τον περιορισμό του icmp τον κάνεις παρακάτω με τα icmp-options.
Το jump τι το θέλεις;
Ο περιορισμός χρειάζεται στο ν6.
Στο ν4 δεν τον κρίνω απαραίτητο.
ΥΓ
Όχι.
Για να φτάσει να ελεγχθεί ο τελευταίος κανόνας με τα drop θα πρέπει να περάσει από όλους τους παραπάνω.
Οπότε αν για οποιοδήποτε λόγο γίνει δεκτός από κάποιον άλλον κανόνα δεν θα φτάσει στα drop.
Εμείς θέλουμε ότι δεν γίνεται established να πέφτει αμέσως χωρίς να ελέγχονται οι υπόλοιποι κανόνες.
Και από θέμα ταχύτητας, εκτός της ασφάλειας, είναι απαραίτητο να μπούνε αυτά τα drop στην αρχή μετά τα ανάλογα accept.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
22-03-17, 17:42 Απάντηση: Mikrotik IPv4/IPv6 firewall #439
Αν δε βαλω τα jumps δε μου πιανει πακετα στο icmp rules
Άλλα Ντάλλα....
-
22-03-17, 18:21 Απάντηση: Mikrotik IPv4/IPv6 firewall #440
-
22-03-17, 18:37 Απάντηση: Mikrotik IPv4/IPv6 firewall #441
Το πρωτο πραγμα που δοκιμασα ηταν αυτο, δε δουλευει χωρις το chain. Μονο με το chain στη θεση που λες δουλευει. Αλλιως κανω ping απεξω στη wan ip μου και εχω time outs, και ολα τα αλλα δε γραφουν τπτ.
Άλλα Ντάλλα....
-
22-03-17, 20:04 Απάντηση: Mikrotik IPv4/IPv6 firewall #442
-
22-03-17, 23:27 Απάντηση: Mikrotik IPv4/IPv6 firewall #443
-
23-03-17, 11:10 Απάντηση: Mikrotik IPv4/IPv6 firewall #444
Λοιπον deni...... σου εξηγω οτι το εχω δοκιμασει ετσι οπως μου λες και σαν αποτελεσμα εχω, οτι μπορω να κανω και να μου κανουν ping αλλα δε γραφουν τα πακετα του echo reply-request που αυτο σημαινει οτι ειναι εντελως ανοιχτο το icmp που δε το θελω ετσι. Εν ολιγοις ολα τα πακετα σε ολους αυτους τους κανονες ειναι 0 παντα με το τροπο που μου λες εσυ. Πιθανον επειδη περνανε ολα απο το πρωτο κανονα του accept icmp. Αν το κλεισω αυτον ομως δε μου κανουν ping απεξω.
Theodor........
Λοιπον διαβασα λιγα πραγματα για αυτο το κανονα.
Αυτος ο κανονας δεν ειναι για να σου ακυρωνει το ΝΑΤ, αλλα για να σου ριχνει οτιδηποτε κυκλοφορει forward και δεν ειναι ΝATed. Για αυτο λοιπον τον θεωρω απαραιτητο, μπαινει πανω απο το drop everything και ειναι ψιλοmust μιας και δεν ειμαι σιγουρος οτι τα κοβει το drop everything αν δε τον βαλεις. Δηλωνεται σαν μονο forward και οχι και input.
Εν ολοιγις για να ειμαι σιγουρος δεν εκανα τελικα καμια αλλαγη και ειμαι οπως αυτο που ποσταρα. Για να εχω το κεφαλι μου ησυχο. Ας ειναι και σα διπλη πορτα ασφαλεις εν τελει. Σιγα για εναν κανονα τωραΤελευταία επεξεργασία από το μέλος macro : 23-03-17 στις 11:16.
Άλλα Ντάλλα....
-
23-03-17, 22:16 Απάντηση: Mikrotik IPv4/IPv6 firewall #445
Στο ν4 δεν έχω κανέναν περιορισμό στο icmp.
Στο ν6 έχω τα παρακάτω και δουλεύουν κανονικά:
Κώδικας:add action=accept chain=input comment=\ "Accept input established, related connections" connection-state=\ established,related add action=drop chain=input comment="______Drop input invalid connections" \ connection-state=invalid add action=accept chain=forward comment=\ "Allow forward forward established, related connections" \ connection-state=established,related add action=drop chain=forward comment=\ "______Drop forward invalid connections" connection-state=invalid add action=accept chain=input comment="Allow input DHCPv6 client" dst-port=\ 546 protocol=udp add action=accept chain=input comment="Allow input ICMPv6" limit=\ 5/5s,5:packet protocol=icmpv6 add action=accept chain=forward comment="Allow forward ICMPv6" limit=\ 5/5s,5:packet protocol=icmpv6 add action=accept chain=input comment="Allow all input from LAN" \ in-interface=!all-ppp add action=accept chain=forward comment="Allow all forward from LAN" \ in-interface=!all-ppp add action=drop chain=input comment="Drop input everything else" add action=drop chain=forward comment="Drop forward everything else"
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
24-03-17, 10:57 Απάντηση: Mikrotik IPv4/IPv6 firewall #446
Λοιπον deni οσων αφορα τους 2 κανονες των drops οντως τους πιανει το drop everything else στο τελος και τους εσβησα. Ειχες δικιο σε αυτο.
Στο ipv4 οταν εννοεις οτι δεν εχεις περιορισμο σημαινει οτι το εχεις ελευθερο εντελως? Ή δε σου κανουν καθολου ping απ' εξω? Κλειστο δλδ. Μαλλον εντελως κλειστο το εχεις που αυτο δεν ειναι και οτι καλυτερο.
Ασχετο λιγο αλλα γιατι δηλωνεις dst port=546 udp? Δε το γνωριζω αυτο.
Στο δικο μου σεταπ κατω απο το drop-forward invalid δε μου δουλευει τπτ. Μονο κατω απο το drop-input invalid μου δουλευει και μονο αν εχω το chain τα πακετα γραφουν. Αν σταματησω το chain και τα βαλω ολα κατω απο το drop-input invalid, δουλευει μονο το allow icmp και ολα τα αλλα δε γραφουν καθολου. Προφανως γιατι αφου τα αφηνω με το allow icmp φευγουν ετσι και τα απο κατω τους rules ειναι σα να μην υπαρχουν μετα απο αυτο.Άλλα Ντάλλα....
-
24-03-17, 15:46 Απάντηση: Mikrotik IPv4/IPv6 firewall #447
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
03-04-17, 19:55 Απάντηση: Mikrotik IPv4/IPv6 firewall #448
Θέλω την βοήθεια σας.....
έχω στο μικροτικ λαν1 (ιντερνετ) την 192.168.0.2 (192.168.0.0/24) και στην λαν2 192.168.3.1 (192.168.3.0/24)
θέλω 4 συσκευές από την λαν2 ( 192.168.3.10-192.168.3.13) να έχουν πρόσβαση στο δικτυο που βρίσκετε πίσω απο την λαν1 192.168.0.0/24, και όλες οι άλλες να κόβονται, δοκίμασα το παρακάτω... άλλα δεν μου δουλεύει!
RB3011 & RB LHGG & ZTE MC8020 | ucm6202 | fritzbox 7390 | HP microserver gen8 | Raspberry pi 2 tvserver | ....και αρκετά ακόμη...
-
03-04-17, 21:22 Απάντηση: Mikrotik IPv4/IPv6 firewall #449
exclude exclude exclude = κάτι δεν κάνεις σωστά!
για δοκίμασε ένα κανόνα forward accept from 192.168.3.10-192.168.3.13 το ether2
και απο κάτω drop from ether1 to ether2
κάτι τέτοιο
-
03-04-17, 22:59 Απάντηση: Mikrotik IPv4/IPv6 firewall #450
Παρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks