Το DMZ είναι συντομογραφία για την έκφραση DeMilitarized Zone, η οποία μεταφράζεται ως Demilitarized Zone. Στην ουσία, πρόκειται για ένα εξειδικευμένο τμήμα τοπικού δικτύου που περιλαμβάνει διαθέσιμες στο κοινό υπηρεσίες με πλήρη ανοικτή πρόσβαση στα εσωτερικά και εξωτερικά δίκτυα. Ταυτόχρονα, το οικιακό (ιδιωτικό) δίκτυο παραμένει κλειστό πίσω από τη συσκευή δικτύου και δεν υπάρχουν αλλαγές στη λειτουργία του.
Μετά την ενεργοποίηση αυτής της δυνατότητας, DMZ θα είναι προσβάσιμος με πλήρη έλεγχο της ασφάλειας του. Εννοώ, όλες οι ανοιχτές θύρες που βρίσκονται σε αυτήν τη ζώνη θα είναι προσβάσιμες από το Διαδίκτυο και το τοπικό δίκτυο.
- - - Updated - - -
Κώδικας:/ip firewall filter add action=fasttrack-connection chain=forward connection-state=\ established,related add action=accept chain=forward connection-state=established,related add chain=forward comment="Permit all PPP" in-interface=all-ppp add chain=input comment="Permit PPTP" dst-port=1723 protocol=tcp add chain=input comment="Permit L2TP" dst-port=1701 protocol=udp add chain=input comment="Permit IPSec ports 500 and 4500" port=500,4500 \ protocol=udp add chain=input comment="Permit IPSec protocol ipsec-esp" protocol=ipsec-esp add action=accept chain=input comment="Permit OpenVPN" dst-port=1194 \ protocol=tcp add action=accept chain=input comment="Permit SSTP" dst-port=443 protocol=tcp add action=accept chain=input comment="Permit GRE" protocol=gre add action=accept chain=input comment="Permit IPIP" protocol=ipip add action=accept chain=output content="530 Login incorrect" dst-limit=\ 1/1m,9,dst-address/1m protocol=tcp add action=fasttrack-connection chain=forward comment=FastTrack \ connection-mark=!ipsec connection-state=established,related add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 \ protocol=tcp src-address-list=ftp_blacklist add action=add-dst-to-address-list address-list=ftp_blacklist \ address-list-timeout=3h chain=output content="530 Login incorrect" \ protocol=tcp add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \ protocol=tcp src-address-list=ssh_blacklist add action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \ protocol=tcp src-address-list=ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 \ address-list-timeout=1m chain=input connection-state=new dst-port=22 \ protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 \ address-list-timeout=1m chain=input connection-state=new dst-port=22 \ protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 \ address-list-timeout=1m chain=input connection-state=new dst-port=22 \ protocol=tcp add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \ protocol=tcp src-address-list=ssh_blacklist
Εμφάνιση 1.171-1.185 από 2112
-
02-12-18, 14:14 Απάντηση: Mikrotik IPv4/IPv6 firewall #1171
-
02-12-18, 14:17 Απάντηση: Mikrotik IPv4/IPv6 firewall #1172
ναι την εχω διαβασει την θεωρια στην πραξη τι γινεται ειναι το θεμα.
Επειδη περιμενω inalan πολυ συντομα και το δικο της μηχανημα δεν μπαινει σε bridge mode, υπαρχουν 2 λυσεις για να εχω το δικο μου ρουτερ το 109 δλδ.
Η μια ειναι με το DMZ που το εχουν κανει και αλλοι χρηστες με αλλα ομως ρουτερ απο πισω, και η αλλη ειναι block ips +6 ευρω τον μηνα ομως για να εχει μια δικια του το mikrotik public, αν θελουμε static ακομα +1 ευρω τον μηνα.
Για να γλιτωνω λοιπον τα 7 ευρω τον μηνα προτιμω το DΜΖ. Eτσι για να "εκπαιδευτω" το εκανα απο τωρα με adsl router.
Για να μην επεκταθω σε ασχετα θεματα με το τοπικ μπορεις να δεις εδω αναλυτικα τι εχω κανει https://www.adslgr.com/forum/threads...ik-RB-DMZ-host
και εδω οι λογοι που ασχολουμε με το DMZ https://www.adslgr.com/forum/threads...LAN-FTTH/page3
- - - Updated - - -
μου φαινεται με το DMZ παιζουν καποιος αλλιως οι κανονες, εσυ με τι εισαι με pppoe client ?
-
02-12-18, 14:18 Απάντηση: Mikrotik IPv4/IPv6 firewall #1173
Βάλε DMZ και από πίσω mikrotik με τα rules σου, και θα έχεις ήσυχω το κεφάλι σου.
-
02-12-18, 14:19 Απάντηση: Mikrotik IPv4/IPv6 firewall #1174
Μπορει να δειχνουν οτι ειναι ανοιχτες οι πορτες αμα κανω ενα scan απο ενα προγραμμα android απο το κινητο μου, αλλα δεν μπαινει τιποτα πουθενα, μονο το openvpn που εχει καποιους κανονες προσθετους.
Απλα δεν ξερω πως να το κανω να μην μπορουν να σκαναριστουν οι πορτες.
- - - Updated - - -
αυτο εχω κανει ριξε μια ματια στο θεμα για να μην ειμαστε εδω offtopic, εδω ειναι τα εχω γραψει αναλυτικα https://www.adslgr.com/forum/threads...ik-RB-DMZ-host
-
02-12-18, 14:22 Απάντηση: Mikrotik IPv4/IPv6 firewall #1175
Έχω ZTE σε Bridge Mode και από πίσω το mikrotik μου. Υπάρχουν modem/routers με υποστηρίξει DMZ και με την δυνατότητα ρύθμισης του DMZ. Ψάξε αυτά για τώρα μέρχι θα πας στην inalan. Αλλά δεν βλέπω να υπάρχει λόγος)))
-
02-12-18, 14:26 Απάντηση: Mikrotik IPv4/IPv6 firewall #1176
Δυστυχως δεν ειχα ασχοληθει ποτε πριν με DMZ και δεν πολυκαταλαβαινω πως παιζει με τους κανονες Firewall, NAT κτλ, διαβαζω αλλα παλι δεν καταλαβαινω τα παντα.
Ηξερα μονο οτι αμα θες πχ σε ενα PC να εχεις ανοιχτες ολες τις πορτες για να μην ψαχνεσαι δηλωνες την ip του στο adsl router, δεν το ειχα δοκιμασει ομως ποτε, αυτο μεχρι εκει.
-
02-12-18, 14:26 Απάντηση: Mikrotik IPv4/IPv6 firewall #1177
Εγω παντως με dmz που παιζω δεν εχω τετοιο θεμα. Το fw στα adsl ρουτερ τα εχω ανοιχτα ομως επειδη δε κλεινουν. Στο drop everything else forward σου πιανει πακετα? Δε μιλαω για 1-2 φορες το χρονο αλλα καθημερινα. Αν σου πιανει πακετα τοτε καπου εχεις τρυπα, πιθανον σε input κανονα.
Άλλα Ντάλλα....
-
02-12-18, 19:11 Απάντηση: Mikrotik IPv4/IPv6 firewall #1178
Οσα ADSL routers εχω, που εχω πολλα ολα απο παροχους ΟΛΑ εχουν DMZ.
Επειδη μετα ετσι θα παιζω αναγκαστικα το εκανα απο τωρα για να μαθω.
Τι εννοεις δεν βλεπεις να υπαρχει λογος? για τι πραγμα?
- - - Updated - - -
σε αυτο το ΖΤΕ που εχω πανω μπορει να κλεισει εντελως.
Τι εννοεις οτι δεν μπορει κανεις απεξω να σε σκαναρει?
αυτο θελω να γινεται οπως στο εξοχικο με τo speedport ολα μαμα, οπως ετσι γινοταν και πριν!
οταν εβαλα DMZ δεν γινεται.
Κώδικας:[nikiforos@nikiforos-pc ~]$ nmap exoxiko.cctv.nik Starting Nmap 7.70 ( https://nmap.org ) at 2018-12-02 13:27 EET Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn Nmap done: 1 IP address (0 hosts up) scanned in 3.13 seconds
- - - Updated - - -
τελικα εκεινος ο κανονας ηταν εκεινος που ελεγα οτι δεν φαινεται μεσω winbox αχρηστος ηταν τον πεταξα.
Αλλαξα τις σειρες νομιζω ειναι ποιο καλα ετσι, αλλα τα port scanners δεν τα καταγραφει κατι ποιο πριν τα επιτρεπει μαλλον.
Πιστευω κατι απο εκεινα τα !all-ppp μηπως θελει κατι αλλο για interface?
Κώδικας:/ip firewall filter add action=accept chain=input dst-address=10.X.XXX.0/27 src-address=10.XX.XX.0/24 add action=accept chain=forward dst-address=10.X.XXX.0/27 src-address=10.XX.XX.0/24 add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp add action=accept chain=forward connection-nat-state=dstnat add action=accept chain=input connection-nat-state=dstnat add action=accept chain=forward comment="from openvpn" in-interface=all-ppp src-address=10.X.XXX.248/29 add action=accept chain=input comment="from openvpn" in-interface=all-ppp src-address=10.X.XXX.248/29 add action=accept chain=forward comment=L2TP in-interface=all-ppp src-address=10.X.XXX.128/29 add action=accept chain=input comment=L2TP in-interface=all-ppp src-address=10.X.XXX.128/29 add action=accept chain=input comment="L2TP port traffic" dst-port=1701 log=yes protocol=udp add action=accept chain=input comment="L2tp internet key exchange" dst-port=500 log=yes protocol=udp add action=accept chain=input comment="IPSec Network Address Translation (NAT-T) " dst-port=4500 log=yes protocol=udp add action=accept chain=input log=yes protocol=ipsec-ah add action=accept chain=input log=yes protocol=ipsec-esp add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=ether1-WAN protocol=tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners" add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid add action=drop chain=forward comment="Drop forward everything else" log-prefix=forward-all-others add action=drop chain=input comment="Drop input everything else"
Επισης παλι αλλη ip απο Ινδια μου επεσε το ειδα στα logs λεει απο winbox/dude
- - - Updated - - -
νομιζω το βρηκα το προβλημα!
Κώδικας:add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
τωρα και καταγραφει τα scanners αλλα και οπως φαινεται δεν δειχνει τις πορτες ανοιχτες, μονο 2 που ειναι στο adsl router ομως, και αυτη του openvpn.
- - - Updated - - -Τελευταία επεξεργασία από το μέλος Nikiforos : 02-12-18 στις 19:39.
-
02-12-18, 19:57 Απάντηση: Mikrotik IPv4/IPv6 firewall #1179
Αυτο το !all-ppp ειναι λαθος και λειτουργει μονο σε μια κανονικη συνδεση pppoe. Σε ολες τις αλλες συνδεσεις ειναι μονο τρυπα. Εκει πρεπει να βαλεις ή bridge ή lan αν δε εχεις bridge.
Άλλα Ντάλλα....
-
02-12-18, 20:53 Απάντηση: Mikrotik IPv4/IPv6 firewall #1180
-
03-12-18, 15:58 Απάντηση: Mikrotik IPv4/IPv6 firewall #1181
ρε παιδιά sorry γιατί διάβασα τους κανόνες διαγώνια, αλλα νομίζω οτι το dmz το έχετε πάρει λάθος.
dms είναι ένα ξεχωριστό subnet από το υπόλοιπο (πχ 192,168,1,0 και 192,168,0,0) στο οποίο μπορούμε να το δούμε απο το lan αλλά από το dmz δεν μπορούμε να δούμε καθόλου το Lan.See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)
-
03-12-18, 18:11 Απάντηση: Mikrotik IPv4/IPv6 firewall #1182
καλησπέρα, αν δεν σου κανει κοπο δες το θεμα εδω https://www.adslgr.com/forum/threads...ik-RB-DMZ-host και συνεχιζουμε εκει για να μην ειμαστε εδω offtopic.
Εξηγω και τους λογους που το χρειαζομαι.
Μια χαρα βλεπεις το lan αμα εχεις τους καταλληλους κανονες.
Πχ εγω εχω στο adsl router ανοιχτο το wifi οκ? εχω subnet 192.168.1.0/24 εχω μια ipcamera παιρνει ip απο αυτο την 4 πχ.
Εχω το κινητο μου στο 109 στο wifi του με subnet 10.X.XXX.0/27 (awmn subnet) και εχει παρει την .21.
Πως την βλεπω κανονικα?
και πως απο το pc μου ανοιγω την καμερα απο τον browser στο 192.168.1.4 ενω το pc μου εχει ip 10.X.XXX.6 ?
Ειναι θεμα κανονων firewall-NAT.
Δες και στο αλλο θεμα, ολα παιζουν αψογα δεν εχω τωρα κανενα προβλημα.
Μιας και εγραψα μιλησα πριν με το φιλο που του εδινα l2tp+ipsec και δεν του χρειαζεται πλεον οποτε στο 109 θα ξεβρωμισει ο τοπος, μονο openvpn θα μεινει....
-
03-12-18, 19:54 Απάντηση: Mikrotik IPv4/IPv6 firewall #1183
Το θέμα είναι ότι από DMZ δεν πρέπει να μπορείς να δεις lan. Αν μπορείς τότε δεν είναι dmz
Η λογική είναι αν αποκτήσουν πρόσβαση σε μηχάνημα που είναι στη dmz να μη μπορέσουν να δούνε το λανSee first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)
-
03-12-18, 20:06 Απάντηση: Mikrotik IPv4/IPv6 firewall #1184
δες στο αλλο θεμα τι θελω να κανω εχω εξηγησει εκει.
για να εξηγησω εδω ειναι εντελως offtopic.
Kαι αυτο το θεμα απο εδω φτασαμε στο αλλο https://www.adslgr.com/forum/threads...LAN-FTTH/page3
- - - Updated - - -
θα πω μονο κατι που εχει να κανει με το firewall, αν δεν ειναι DMZ οπως λες τοτε γιατι ΧΩΡΙΣ να εχω ανοιχτες πορτες μπορει και παιζει πχ το openvpn?
και δεν εχω ουτε στο adsl router, ουτε και στο mikrotik στο 109 δλδ.
Mετα εχει αλλαξει η συμπεριφορα σχετικα με τις πορτες δεν θελουν ανοιγμα με τον ιδιο τροπο.
Εχω αλλαξει και διαφορους αλλους κανονες.
Επισης στο ip-firewall-connections βλεπω τις συνδεσεις πως πανε σωστα μου φαινονται.
Τα αλλα σχετικα με το DMZ και τους λογους δες τα 2 θεματα που ειπα να μην ειμαστε εδω offtopic.
Εδω γραφω οτι εχει να κανει με το firewall.
-
03-12-18, 20:07 Απάντηση: Mikrotik IPv4/IPv6 firewall #1185
Παρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks