Mikrotik IPv4/IPv6 firewall

[atux_null]

in-interface=!bridge1...... σκετο, οχι list και αναφερεσαι στο port knocking και οχι στο ddos που συζηταμε, στο οποιο θα κανεις το ιδιο αν σου χρυπαει και αυτο.

@Macro, διόρθωσα το icmp ρίχνοντας το

Κώδικας:

 add action=add-src-to-address-list address-list="Port Scanners"     address-list-timeout=1d chain=prerouting comment=    "______Add Port scanners to list" in-interface=!bridge protocol=tcp     psd=21,3s,3,1 time=0s-1d,sun,mon,tue,wed,thu,fri,sat

μπορείς να μου πεις, σε παρακαλώ το full command για το ddos γιατί το έχασα μέσα στο config.

[macro]

@Macro, διόρθωσα το icmp ρίχνοντας το

Κώδικας:

 add action=add-src-to-address-list address-list="Port Scanners"     address-list-timeout=1d chain=prerouting comment=    "______Add Port scanners to list" in-interface=!bridge protocol=tcp     psd=21,3s,3,1 time=0s-1d,sun,mon,tue,wed,thu,fri,sat

μπορείς να μου πεις, σε παρακαλώ το full command για το ddos γιατί το έχασα μέσα στο config.

Σε αυτο που σου κοκκινισα θα βαλεις !bridge1 και οχι σκετο !bridge μιας και πριν στα interfaces βλεπω οτι το εχεις bridge1 γραμμενο.

Οσων αφορα το ddos θα βαλεις στην αντιστοιχη γραμμη του script που σου χτυπαει, το in-interface=!bridge1 και αυτο ειναι ολο.

Αν δε το καταφερεις στο επομενο block δωσε ενα screenshot απο το win box.

[atux_null]

Σε αυτο που σου κοκκινισα θα βαλεις !bridge1 και οχι σκετο !bridge μιας και πριν στα interfaces βλεπω οτι το εχεις bridge1 γραμμενο.

Οσων αφορα το ddos θα βαλεις στην αντιστοιχη γραμμη του script που σου χτυπαει, το in-interface=!bridge1 και αυτο ειναι ολο.

.

Το ddos έχασα ποιό είναι το κομμάτι που θέλει αλλαγή. αυτό αν είναι εύκολο να μου στείλεις σε παρακαλώ

[macro]

Δωσε screenshot την επομενη φορα που θα σου χτυπησει και θα σου πω που θα το δηλωσεις.

[alefgr]

Έχω δύο ερωτήσεις για ένα setup που περιλαμβάνει τουλάχιστον δύο διαφορετικά subnets όπου ενώνονται με routers mikrotik. Έστω ότι έχουμε το LAN1 και το LAN2. Και τα δύο LANs έχουν δικό τους gateway με ρύθμιση στο routing αν πέσει το τοπικό να γυρίζουν στο άλλο.

1 περίπτωση: Στο LAN1 έχουμε κανόνες στο NAT one-to-one, όπου 2 τοπικοί servers αντιστοιχούν σε συγκεκριμένες εξωτερικές static ips. Ερώτηση, αν πέσει το GW1 υπάρχει περίπτωση να κάνει το router ανακατεύθυνση στο GW2, και αν ναι πως το αποφεύγουμε;

2 περίπτωση: Στο LAN1 έχουμε μία συσκευή όπου με έναν κανόνα στο routing το βγάζουμε προς τα έξω πάντα από το GW2. Αν στην περίπτωση αυτή πέσει το GW2 υπάρχει περίπτωση να το στείλει στο GW1, και αν ναι πως το αποφεύγουμε;

Με λίγα λόγια θέλουμε κάποιες συγκεκριμένες συσκευές να βγαίνουν προς το internet ΜΟΝΟ από το επιλεχθέν gateway.

[macro]

Aν δεν εχεις κανει recursive failover και απλα εχεις ορισει default routing, θα τα αποφευγεις ολα αυτα.

[sdikr]

Έχω δύο ερωτήσεις για ένα setup που περιλαμβάνει τουλάχιστον δύο διαφορετικά subnets όπου ενώνονται με routers mikrotik. Έστω ότι έχουμε το LAN1 και το LAN2. Και τα δύο LANs έχουν δικό τους gateway με ρύθμιση στο routing αν πέσει το τοπικό να γυρίζουν στο άλλο.

1 περίπτωση: Στο LAN1 έχουμε κανόνες στο NAT one-to-one, όπου 2 τοπικοί servers αντιστοιχούν σε συγκεκριμένες εξωτερικές static ips. Ερώτηση, αν πέσει το GW1 υπάρχει περίπτωση να κάνει το router ανακατεύθυνση στο GW2, και αν ναι πως το αποφεύγουμε;

2 περίπτωση: Στο LAN1 έχουμε μία συσκευή όπου με έναν κανόνα στο routing το βγάζουμε προς τα έξω πάντα από το GW2. Αν στην περίπτωση αυτή πέσει το GW2 υπάρχει περίπτωση να το στείλει στο GW1, και αν ναι πως το αποφεύγουμε;

Με λίγα λόγια θέλουμε κάποιες συγκεκριμένες συσκευές να βγαίνουν προς το internet ΜΟΝΟ από το επιλεχθέν gateway.

Γιατί δεν βάζεις απλά κάνονα να κάνει drop την κίνηση απο αυτες τις Ip για ότι πάει στο wan Που δεν θέλεις;

[alefgr]

Aν δεν εχεις κανει recursive failover και απλα εχεις ορισει default routing, θα τα αποφευγεις ολα αυτα.

Μα αυτό ακριβώς θέλω να κάνω, recursive failover με το ping έλεγχο στις γνωστές ips 8.8.4.4, 1.0.0.1, κλπ... Όσο για το default routing δεν έχω ορίσει. Προς το παρόν υπάρχει μόνο ένα static route στο pppoe με distant 10, μιας και τα απομακρυσμένα gateways έχουν πολύ υψηλότερη ταχύτητα από την δικιά μου που θα είναι στο μέλον σε υψηλότερη κατάταξη. Φυσικά υπάρχουν και οι κανόνες για one-to-one και one-to-many και μέχρι στιγμής μιας που είναι ένα το gateway, δουλεύουν σωστά.

Γιατί δεν βάζεις απλά κάνονα να κάνει drop την κίνηση απο αυτες τις Ip για ότι πάει στο wan Που δεν θέλεις;

Μέχρι τώρα αυτό πάντα έκανα αλλά πίστευα πως ήταν μπακαλίστικη λύση.

Το κακό είναι ότι ακόμα δεν μπορώ να κάνω δοκιμές στο νέο μου router, μιας που συνυπάρχουν οι παλιές ρυθμίσεις με το ενιαίο subnet και με τις νέες ρυθμίσεις με τα ξεχωριστά subnets, και προς το παρόν η κατάσταση γίνεται μπάχαλο και στα 3 routers.

[macro]

Ερώτηση, αν πέσει το GW1 υπάρχει περίπτωση να κάνει το router ανακατεύθυνση στο GW2, και αν ναι πως το αποφεύγουμε;

Στο LAN1 έχουμε μία συσκευή όπου με έναν κανόνα στο routing το βγάζουμε προς τα έξω πάντα από το GW2. Αν στην περίπτωση αυτή πέσει το GW2 υπάρχει περίπτωση να το στείλει στο GW1, και αν ναι πως το αποφεύγουμε;

Εσυ εδω γραφεις οτι θες να το αποφυγεις αν πεσει η μια γραμμη να κανει redirect ατην αλλη.

Συγχωρεσε με αλλα δεν εχω καταλαβει τι θες ακριβως.

[alefgr]

Ο γενικός κανόνας είναι όταν πέφτει το πρώτο gateway να συνδέονται οι συσκευές στο δεύτερο, μετά στον τρίτο, κλπ. Υπάρχει όμως η εξαίρεση με κάποιες συσκευές, που πρέπει να παραμένουν στο συγκεκριμένο gateway ασχέτως αν είναι down ή up. Κάποιες από αυτές τις συσκευές είναι servers που καταλήγουν σε εξωτερικές static ips.

Μια άλλη ερώτηση. Για να μην χάσω την επαφή με τα remote routers αν κάτι πάει λάθος τώρα στις δοκιμές, υπάρχει τρόπος η πόρτα του Winbox να παραμείνει η default από το εσωτερικό δίκτυο και να είναι διαφορετική από το internet; Δοκίμασα με το συνηθισμένο forward port αλλά δεν δουλεύει.

[alefgr]

Σήμερα έγινε η πρώτη προσπάθεια για την σύνδεση των δύο πρώτων δικτύων. Το πιο σημαντικό πρόβλημα μέχρι στιγμής, έχει να κάνει με το voip. Στο LAN1 υπάρχει ένα asterisk όπου συνδέονται τα gigaset phones και από τα δύο δίκτυα. Όλα καλά και όλα ωραία με το register στον asterisk και στην κλήση μεταξύ τους, αλλά δυστυχώς κόβεται η σύνδεση μετά από 30 με 40 δευτερόλεπτα. Αυτό το πρόβλημα θυμίζει πρόβλημα nat αλλά στην δική μας περίπτωση δεν παρεμβάλετε το nat στην δρομολόγηση μεταξύ μας.

Το βασικό setup και στα δύο LAN είναι το ακόλουθο. Υπάρχει κάτι περίεργο που πρέπει να διορθωθεί;

Κώδικας:

LAN1
----
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether2 ] name=ether2-LAN
set [ find default-name=ether4 ] name=ether4-274501
/interface list
add name=WAN
add name=LAN
/interface list member
add interface=LAN-Bridge list=LAN
add interface=ether4-274501 list=LAN
add interface=ether1-WAN list=WAN
add interface=pppoe-isp list=WAN
/ip address
add address=192.168.240.1/24 interface=ether1-WAN network=\
    192.168.240.0
add address=10.120.0.1/24 interface=LAN-Bridge network=\
    10.120.0.0
add address=10.255.255.9/29 interface=ether4-274501 \
    network=10.255.255.8
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=\
    out,none out-interface=pppoe-isp
/ip route
add distance=10 gateway=pppoe-isp
add distance=1 dst-address=10.122.0.0/24 gateway=\
    10.255.255.10

LAN2
----
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether2 ] name=ether2-LAN
set [ find default-name=ether3 ] name=ether3-274501
/interface list
add name=WAN
add name=LAN
/interface list member
add interface=LAN-Bridge list=LAN
add interface=ether3-274501 list=LAN
add interface=ether1-WAN list=WAN
/ip address
add address=192.168.201.2/24 interface=ether1-WAN network=\
    192.168.201.0
add address=10.122.0.1/24 interface=LAN-Bridge network=\
    10.122.0.0
add address=10.255.255.10/29 interface=ether3-274501 \
    network=10.255.255.8
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=\
    out,none out-interface-list=WAN
/ip route
add distance=1 gateway=192.168.201.1
add distance=1 dst-address=10.120.0.0/24 gateway=\
    10.255.255.9

Ένα άλλο περίεργο αλλά πολύ μικρότερης σημασίας είναι από το LAN2 ένα pc με windows10 κάνει ping σε διάφορες συσκευές του LAN1 αλλά παίρνει timeout όταν κάνει ping σε οποιαδήποτε από τις διευθύνσεις του router στο LAN1. Στο αντίστροφο, το router του LAN2 απαντάει κανονικά από όλες τις συσκευές του LAN1.

Κάθε βοήθεια ευπρόσδεκτη.

[deniSun]

Ο κανόνας για port scanner με χαρακτηριστικά στο raw:
add-src-to-address-list
chain=prerouting
protocol=tcp psd=21,3s,3,1
δημιουργεί, για μια ακόμα φορά πρόβλημα (όπως και οι υπόλοιποι για tcp block fin, syn κλπ).

Σε κάποιες στιγμές μου περνούσε το pbx και τον dns server στα block, όπως και τον προσωπικό ΗΥ, και ψαχνόμουν.
Εχθές προσπαθώντας να πάρω 40 αρχεία από ftp.auth (και να στείλω) με filezilla, μου μπλόκαρε την ΙΡ του προσωπικού μου ΗΥ για port scanner.
Ούτε ο ΗΥ μου, αλλά ούτε και ο server του auth προφανώς, είχαν κάποιο θέμα για port scanner.
Έπαιξα με τις ρυθμίσεις του κανόνα αλλά χωρίς αποτέλεσμα.
Τελικά αποφάσισα να βάλω όλους αυτούς τους κανόνες για tcp syn, fin, port scanner να ελέγχουν μόνο την εισερχόμενη κίνηση, και ησύχασα.

ΥΓ
Όχι δεν φοβάμαι μήπως ο ΗΥ μου εξαπολύσει port scanner κλπ στο ΜΤ.

[macro]

Δλδ εβαλες να σου τσεκαρει το in interface? Σωστο ειναι αυτο. 'Η το !LAN? Πως το δηλωσες? Εγω εχω μονο το πρωτο κανονα (add port scanners to list) με !LAN στο in interface και δεν εχω θεμα. Τα αλλα τα εχω χυμα και χωρις δηλωσεις για in interface.

[deniSun]

Πριν δεν είχα τίποτε και έλεγχε όλη την κίνηση από όλες τις μεριές.
Τώρα το έχω με in-interface το pppoe για να τσεκάρει μόνο την εισερχόμενη.
Το !LAN αν θυμάμαι καλά θα πάρει και τα vpn.

[macro]

Οπως σε βολευει και με καρφωτο in interface μια χαρα παιζει.