Όχι δεν βγαίνουν στο Internet. Εντός του δικτύου είναι και πρέπει να ανοίξω την πόρτα ώστε να ακούει το router.
Εμφάνιση 586-600 από 2110
-
20-07-17, 11:10 Απάντηση: Mikrotik IPv4/IPv6 firewall #586
-
20-07-17, 17:34 Απάντηση: Mikrotik IPv4/IPv6 firewall #587
-
25-07-17, 18:02 Απάντηση: Mikrotik IPv4/IPv6 firewall #588
Έχω μια λίστα που ανανεώνεται με ελληνικές IP, όνομα GR. Θέλω ουσιαστικά οι ports του winbox να είναι ανοιχτές μόνο για τις IP που έχει αυτή η λίστα. Το έχω έτσι στο fw:
Κώδικας:add action=accept chain=tcp comment="WINBOX ACCESS GR" dst-port=8291 \ protocol=tcp src-address-list=GR add action=accept chain=tcp dst-port=8728 protocol=tcp src-address-list=GR
Κώδικας:add action=drop chain=input comment="Drop input everything else" \ in-interface=pppoe-out1
Ταυτόχρονα, αν αμέσως μετα βάλω και:
Κώδικας:add action=drop chain=forward comment="Drop forward everything else"
Κάτι κάνω λάθος. Επίσης έχω σκάσει απο τη ζέστη.
-
25-07-17, 18:09 Απάντηση: Mikrotik IPv4/IPv6 firewall #589
καλησπέρα, καταρχην να ρωτησω τι ειναι αυτη η λιστα που αναφερεις? δλδ δεν καταλαβαινω για ποιο λογο να ειναι ανοιχτο το winbox για αυτες τις ips.
Μπορει να μην θες να το αναφερεις οκ δεν πειραζει αν ειναι ετσι, κατανοητο.
Προσωπικα για λόγους μεγιστης ασφαλειας δεν βγαζω ΠΟΤΕ winbox στο ιντερνετ μπαινω μεσω openvpn μονο.
Σχετικα με τους κανονες για να περασεις τον απαγορευτικο γιατι το επαθα και εγω με VPN , η μονη λυση ειναι να αφησεις την πορτα ανοιχτη προς το ιντερνετ για ολους....
και μετα απο το ip-services winbox να δηλωσεις ποιες ips, ή ευρος τους θα εχει προσβαση.
Επισης μπορεις να κανεις κανονες για brute force ωστε να μπαναρει και να καταγραφει ips που προσπαθουν να κανουν επιθεσεις.
Σε λιγο θα σου δωσω παραδειγματα με αυτα που εχω κανει, για αλλες υπηρεσιες αλλα αλλαζεις μονο την πορτα και τα σχετικα.
Για την ζεστη βαζεις κλιματιστικο, αν δεν εχεις βαζεις νερο στην μπανιερα και μενεις μεσα, ή πας σε παραλια και πεφτεις στην θαλασσα....
-
25-07-17, 18:18 Απάντηση: Mikrotik IPv4/IPv6 firewall #590
Είναι ελληνικά subnets. Έχει αναφερθεί απο άλλο μέλος και βόλεψε πολύ. Δεν ξαναέψαξε κανείς τίποτα έτσι.
Για κάποιο λόγο όμως δεν μου λειτουργεί σωστά με το drop input everything else.
-
25-07-17, 18:24 Απάντηση: Mikrotik IPv4/IPv6 firewall #591
-
25-07-17, 18:25 Απάντηση: Mikrotik IPv4/IPv6 firewall #592
λογικο ειναι να μην λειτουργει με αυτον τον κανονα, οτι δεν εχει επιτρεπει συγκεκριμενα πριν απο αυτον τοτε κοβεται, αυτη ειναι η δουλεια του.
Τα ιδια προβληματα ειχα και εγω με οτι VPN και αν δοκιμασα. Δεν περνουσαν με τπτ.
Εκανα κανονες να επιτρεψουν συγκεκριμενα subnets και συγκεκριμενες πορτες για τα VPN αυτα.
Σχετικα με τα brute force εκανα αυτα και σωθηκα http://linux-sys-adm.com/how-to-conf...l-on-mikrotik/
αυτο με το winbox δεν μου παιζει, κατι βγαζει λαθος αλλα οπως ειπα δεν το βγαζω ετσι κι αλλιως στο ιντερνετ.
Για να επιτρεπω πχ το openvpn εχω αυτο πριν τον drop all others : add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp
και αυτα σχετικα με subnets κτλ στην αρχη
Κώδικας:add action=accept chain=input dst-address=10.ΧΧ.ΧΧ.0/24 src-address=10.Χ.ΧΧΧ.0/27 add action=accept chain=forward dst-address=10.ΧΧ.ΧΧ.0/24 src-address=10.Χ.ΧΧ.0/27 add action=accept chain=forward comment="apodoxi openvpn server ips" dst-address=10.χχ.χχ.0/24 src-address=10.χχ.χχ.248/29 add action=accept chain=input comment="from openvpn" in-interface=all-ppp src-address=10.χχ.χχ.248/29 add action=accept chain=forward comment="from openvpn" in-interface=all-ppp src-address=10.χ.χχχ.248/29
επισης οπως ειπαμε στο ip services winbox δηλωνεις ευρος ip που θα εχουν προσβαση και οχι οπως ειναι γιατι εχουν προσβαση οι παντες, ουτε και 0.0.0.0/0 γιατι εχει προσβαση ολο το ιντερνετ (εφοσον δεν υπαρχει κανονες αλλοι στο ip-firewall-filter που να τους κοβουν φυσικα).
Τα παραπανω τα δειχνω για παραδειγμα, γιατι δεν εχω κατι σε winbox να δεις, απλα θα κανεις τους δικους σου οπως σου χρειαζονται.
Αν δεις προηγουμενα ποστς μου σε ενα 951 με ιντερνετ κινητης μου εσκισαν τα δεδομενα, χωρις να χρεωνομαι ομως, επειδη δεχτηκα επιθεσεις σε DNS και σε telnet!
δεν ειχα τοτε προστασια απο brute force! ειχα ομως ολα τα αλλα και δεν μπορεσαν φυσικα να συνδεθουν! και ουτε καν φυσικα ειχαν τετοια επιλογη.
Απλα το μηχανημα απαντουσε και καταναλωνε δεδομενα!Τελευταία επεξεργασία από το μέλος Nikiforos : 25-07-17 στις 18:37.
-
25-07-17, 18:28 Απάντηση: Mikrotik IPv4/IPv6 firewall #593
Έβαλα ένα απο δίκο σου post πλέον και δουλεύει το drop forward everything else. Μένει μόνο το accept απο την λίστα και μόνο.
Κώδικας:/ip firewall filter add action=accept chain=input comment=\ "Accept input established, related connections" connection-state=\ established,related add action=drop chain=input comment="______Drop input invalid connections" \ connection-state=invalid add action=accept chain=forward comment=\ "Allow forward forward established, related connections" \ connection-state=established,related add action=drop chain=forward comment=\ "______Drop forward invalid connections" connection-state=invalid add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="Add port scanners to list" \ in-interface=all-ppp protocol=tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \ protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="______SYN/FIN scan" \ protocol=tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="______SYN/RST scan" \ protocol=tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \ protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="______ALL/ALL scan" \ protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=2w chain=input comment="______NMAP NULL scan" \ protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=drop chain=input comment="______Drop port scanners from list" \ src-address-list="port scanners" add action=accept chain=input comment="Allow OpenVPN" disabled=yes dst-port=\ 1194 in-interface=all-ppp protocol=tcp add action=accept chain=forward disabled=yes in-interface=all-ppp \ src-address=!192.168.5.0/24 add action=accept chain=input comment="Allow all input from LAN" \ in-interface=!all-ppp add action=accept chain=forward comment="Allow all forward from LAN" \ in-interface=!all-ppp add action=accept chain=tcp comment="WINBOX ACCESS GR" dst-port=\ 8291 in-interface=pppoe-out1 protocol=tcp src-address-list=GR add action=accept chain=tcp disabled=yes dst-port=8728 protocol=tcp \ src-address-list=GR add action=accept chain=input comment="CAPsMAN Ports" disabled=yes dst-port=\ 5246 protocol=udp src-address-list=GR add action=accept chain=input disabled=yes dst-port=5247 protocol=udp \ src-address-list=GR add action=drop chain=input comment="Drop input everything else" add action=drop chain=forward comment="Drop forward everything else"
-
25-07-17, 18:38 Απάντηση: Mikrotik IPv4/IPv6 firewall #594
για πες τι εβαλες γιατι εχεις πολλα και θελει ψαξιμο η λιστα τωρα.
-
25-07-17, 18:41 Απάντηση: Mikrotik IPv4/IPv6 firewall #595
Τις 4 δηλώσεις που έχεις θα τις βάλεις έτσι στο σημείο που τα έχω όπως παρακάτω:
Κώδικας:add action=accept chain=input comment="Allow OpenVPN" disabled=yes dst-port=\ 1194 in-interface=all-ppp protocol=tcp add action=accept chain=input comment="WINBOX ACCESS GR" dst-port=\ 8291 in-interface=pppoe-out1 protocol=tcp src-address-list=GR add action=accept chain=input disabled=yes dst-port=8728 protocol=tcp \ src-address-list=GR add action=accept chain=forward disabled=yes in-interface=all-ppp \ src-address=!192.168.5.0/24 add action=accept chain=input comment="Allow all input from LAN" \ in-interface=!all-ppp add action=accept chain=forward comment="Allow all forward from LAN" \ in-interface=!all-ppp add action=drop chain=input comment="Drop input everything else" add action=drop chain=forward comment="Drop forward everything else"
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
25-07-17, 19:26 Απάντηση: Mikrotik IPv4/IPv6 firewall #596
Τέλεια. Δουλεύει όπως πρέπει τώρα. Ευχαριστώ.
-
25-07-17, 19:53 Απάντηση: Mikrotik IPv4/IPv6 firewall #597
-
25-07-17, 23:13 Απάντηση: Mikrotik IPv4/IPv6 firewall #598
-
26-07-17, 21:46 Απάντηση: Mikrotik IPv4/IPv6 firewall #599
-
26-07-17, 22:13 Απάντηση: Mikrotik IPv4/IPv6 firewall #600
Τις κάνεις capture με κάποιο mangle;
Ή δεν τις πιάνεις καθόλου και το βλέπεις μόνο στα logs.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
Παρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks