Mikrotik IPv4/IPv6 firewall

[adiS]

Αυτό όμως δεν λύνει για πάντα το πρόβλημα. Αν για κάποιο λόγο αλλάξει η ip του για διάφορους λόγους πάλι θα συμβεί.
Με τη mac είναι ποιο σίγουρο, αλλά σε περίπτωση αλλαγής hardware πρέπει να το ξαναλλάξει.

πέρασα από την αρχή αυτό που υπήρχε στην προηγούμενη σελίδα(108) από @macro και είναι οκ τώρα.

[macro]

Μια χαρα.

[deniSun]

Μήπως τελικά είναι αυτό που είχα προαναφέρει σε Post μου στη προηγούμενη σελίδα. Αν περάσεις in-interface στους κανόνες του port scanners το pppoe-out, τότε είσαι μια χαρά.

- - - Updated - - -



Deni καλημέρα, σε παρακαλώ μόνο να τους διευκρινίζεις ότι στον κανόνα σου τον τελευταίο add action=drop chain=ppp-in comment="Drop all others" σου κόβει και το ΝΑΤ σου, διότι κάποιοι μπορεί να έχουν κανόνες και εκεί.

Οι κανόνες στο ΝΑΤ είναι:

Κώδικας:

/ip firewall nat
add action=masquerade chain=srcnat comment="NAT for PPPoE Client" \
    out-interface=pppoe-out1 src-address=192.168.5.0/24
add action=masquerade chain=srcnat comment="NAT for Modem" dst-address=\
    10.0.0.1 out-interface=ether1 src-address=192.168.5.0/24
add action=masquerade chain=srcnat comment="NAT for VPN" out-interface=\
    bridge1 src-address=192.168.5.111-192.168.5.115

Το 5.0 είναι το εσωτερικό δίκτυο.
Το 10.0.0.Χ είναι το δίκτυο bridge με το modem.
Το VPN είναι για... τα VPN.
Δεν καταλαβαίνω τι θέλεις να πεις με το "κόβει το ΝΑΤ"

[jkarabas]

Οι κανόνες στο ΝΑΤ είναι:

Κώδικας:

/ip firewall nat
add action=masquerade chain=srcnat comment="NAT for PPPoE Client" \
    out-interface=pppoe-out1 src-address=192.168.5.0/24
add action=masquerade chain=srcnat comment="NAT for Modem" dst-address=\
    10.0.0.1 out-interface=ether1 src-address=192.168.5.0/24
add action=masquerade chain=srcnat comment="NAT for VPN" out-interface=\
    bridge1 src-address=192.168.5.111-192.168.5.115

Το 5.0 είναι το εσωτερικό δίκτυο.
Το 10.0.0.Χ είναι το δίκτυο bridge με το modem.
Το VPN είναι για... τα VPN.
Δεν καταλαβαίνω τι θέλεις να πεις με το "κόβει το ΝΑΤ"

Εννοώ ότι αν δεν βάλεις το connection-nat-state=!dstnat κάποιος που θέλει να ανοίξει πόρτες για κάποιο λόγο στο ΝΑΤ(πχ. κάμερες ) δεν θα δουλέψει.
Ο κανόνας σου θα τα κόβει.
Το έχουμε ξανασυζητήσει αυτό. Δεν λέω ότι είναι λάθος αλλά υπάρχει αρκετός κόσμος που το δουλεύει έτσι.

[deniSun]

Εννοώ ότι αν δεν βάλεις το connection-nat-state=!dstnat κάποιος που θέλει να ανοίξει πόρτες για κάποιο λόγο στο ΝΑΤ(πχ. κάμερες ) δεν θα δουλέψει.
Ο κανόνας σου θα τα κόβει.
Το έχουμε ξανασυζητήσει αυτό. Δεν λέω ότι είναι λάθος αλλά υπάρχει αρκετός κόσμος που το δουλεύει έτσι.

Δεν μπορώ να προβλέψω όλα τα setup.
Δίνω την βάση και από εκεί και πέρα το διαμορφώνει ο κάθε ένας ανάλογα με τις απαιτήσεις του.

[macro]

το !dst.nat ειναι αυτο που προβλεπει τα παντα για να μη γεμιζεις με κανονες το firewall........... τοσο καιρο στο λεμε.

[jkarabas]

Δεν μπορώ να προβλέψω όλα τα setup.
Δίνω την βάση και από εκεί και πέρα το διαμορφώνει ο κάθε ένας ανάλογα με τις απαιτήσεις του.

Το ανέφερα διότι όταν πρωτοξεκινησα και εγω στα αρχικά στάδια να πειράζω το firewall και μέχρι να μάθω, με το δικό σου είχα ασχοληθεί και αυτός ο κανόνας με ταλαιπωρησε μέχρι να βρω τι φταίει.

[deniSun]

Το ανέφερα διότι όταν πρωτοξεκινησα και εγω στα αρχικά στάδια να πειράζω το firewall και μέχρι να μάθω, με το δικό σου είχα ασχοληθεί και αυτός ο κανόνας με ταλαιπωρησε μέχρι να βρω τι φταίει.

Καλά έκανες και το ανέφερες για όσους έχουν το ίδιο setup με εσένα.

[BillyVan]

Εχω σοκαριστεί απ το πρωι...τι κι αν αλλαζω ip ενας χαμός.

Σε 1ωρα 266 επιασε.

[deniSun]

Βάλε log να δεις από που σου έρχονται.

[atux_null]

Καλησπέρα. Έχω τo firewall ρυθμισμένο όπως το #1606 και βλέπω στα Address lists

Πρέπει να κάνω βάλω κάποιον κανόνα για να τους κάνω block ή είμαι ΟΚ με τον παρόν firewall και είναι απλά ενημέρωση αυτό που βλέπω?

[RpMz]

Αρκετές IP είναι από Τούρκικα subnet.

Καλό είναι να βάλετε μία address list και τα τούρκικα subnets να τα κάνετε drop.

Εγώ έχω ησυχάσει.

IP-Firewall-Address-List-Turks.rsc.txt

[jkarabas]

Καλησπέρα. Έχω τo firewall ρυθμισμένο όπως το #1606 και βλέπω στα Address lists

Πρέπει να κάνω βάλω κάποιον κανόνα για να τους κάνω block ή είμαι ΟΚ με τον παρόν firewall και είναι απλά ενημέρωση αυτό που βλέπω?

Είσαι μια χαρά δουλεύει κανονικά ο κανόνας σου, αυτός είναι ο σκοπός να μπαίνουν στην address list.

[deniSun]

Είσαι μια χαρά δουλεύει κανονικά ο κανόνας σου, αυτός είναι ο σκοπός να μπαίνουν στην address list.

Καμία σχέση...
Σκοπός δεν είναι να μπαίνουν διευθύνσεις σε address list ΑΛΛΑ οι διευθύνσεις που μπαίνουν στην address list να γίνονται block.
Αν δεν τις κάνει block, από λάθος, απροσεξία κλπ είναι δώρον άδωρον.
Από μόνο του το address list δεν κόβει.
Εξ άλλου address list χρησιμοποιούμε για πολλούς λόγους.
Όπως πχ να ορίσεις διευθύνσεις από τις οποίες θα θέλεις αποκλειστική πρόσβαση σε μια υπηρεσία κλπ.

[macro]

Πραγματικα βλεπεις οτι δεν εχουν γινει block και κανεις αυτο το σχολιο?