Mikrotik IPv4/IPv6 firewall

[macro]

Για να βαλει καποιος untracked θα πρεπει να τα κανει notrack στο RAW. Αν δεν εχεις δε χρειαζεται ο κανονας. Δεν εχω παρατηρησει κατι με σελιδες και ddos script. Ακομη υπο εξερευνηση βεβαια ειναι. Βασικα δεν εγραφε τπτ και εκανα το τεστ για να δω οτι οντως δουλευει.

Αν δε κανω λαθος σε αυτες τις περιπτωσεις οπως τη δικια σου διορθωνεται με το να ανεβασεις το dst-limit που ηδη ειναι ανεβασμενο. Το default της ΜΤ νομιζω δινει 32,32. Εχω δει αλλους που βαζουν 400,100 και τετοια. Για ψαξτο λιγο και δωσε feedback.


Αααααα τωρα θυμηθηκα, παλιοτερα που το ειχα ξαναβαλει ειχα θεματα αλλα δε θυμαμαι τι. Νομιζω και εγω με σελιδες. Τωρα δεν εχω ομως. Τουλαχιστον ακομη..........

[jkarabas]

Για να βαλει καποιος untracked θα πρεπει να τα κανει notrack στο RAW. Αν δεν εχεις δε χρειαζεται ο κανονας. Δεν εχω παρατηρησει κατι με σελιδες και ddos script. Ακομη υπο εξερευνηση βεβαια ειναι. Βασικα δεν εγραφε τπτ και εκανα το τεστ για να δω οτι οντως δουλευει.

Αν δε κανω λαθος σε αυτες τις περιπτωσεις οπως τη δικια σου διορθωνεται με το να ανεβασεις το dst-limit που ηδη ειναι ανεβασμενο. Το default της ΜΤ νομιζω δινει 32,32. Εχω δει αλλους που βαζουν 400,100 και τετοια. Για ψαξτο λιγο και δωσε feedback.


Αααααα τωρα θυμηθηκα, παλιοτερα που το ειχα ξαναβαλει ειχα θεματα αλλα δε θυμαμαι τι. Νομιζω και εγω με σελιδες. Τωρα δεν εχω ομως. Τουλαχιστον ακομη..........

Καταρχάς έχουμε πανομοιότυπο firewall απλά εγώ ανοίγω και ovpn και άλλες 2 πόρτες για 2 app που έχω στο κινητό, για το mikrotik app και για το micro win pro.
Οπότε δεν υπάρχει και λόγος να το ανεβάσω.
Πράγματι συμφωνώ μαζί σου για προτεινόμενο default 1000%.
Μόνο και μόνο για το τελευταίο κανόνα σου (περάσαμε πολλά για να το εμπεδώσουμε connection-nat-state=!dstnat...χαχα)

Κώδικας:

add action=drop chain=forward comment="Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat

Τώρα τους κανόνες για το DDos τους ξαναπέρασα ακριβώς σαν τους δικούς σου με 2ο το drop και σε συγκεκριμένη σελίδα που είχα θέμα τώρα δεν έχω.
Το παρακολουθούμε και ενημερώνουμε.

Από εκεί που είχαμε γεμάτο το filter με κανόνες τώρα είναι το Raw...

[macro]

Ναι αυτος ο κανονας ειναι για να μην ανοιγεις ξανα τις πορτες που εχεις ανοιξει στο NAT. Δουλευουν ολα κανονικα.

[jkarabas]

Ναι αυτος ο κανονας ειναι για να μην ανοιγεις ξανα τις πορτες που εχεις ανοιξει στο NAT. Δουλευουν ολα κανονικα.

Απλά το αναφέρω ξανά για να μην ταλαιπωρηθούν κάποιοι που θα πρωτοασχοληθούν με τους κανόνες.
Όλα καλά δουλεύουν μέχρι τώρα!!

Μια παρατήρηση ακόμη.
Εάν κάνεις disable από τα services την 21,69,2200 κλπ. εφόσον δεν τα χρησιμοποιείς είναι περιττό νομίζω το drop για τις συγκεκριμένες πόρτες.

[macro]

Ναι ειναι περιττο. Αν και απο εκει κανεις μονο τις 21,22,23 καθως και 2-3 αλλες που εχει αυτο ενσωματωμενο. Οχι 69 και 2200 εννοω.

[puntomania]

τελικά καταλήξαμε?

ποιο είναι το τελικό firewall...να το δοκιμάσουμε και εμείς!!!

[deniSun]

τελικά καταλήξαμε?

ποιο είναι το τελικό firewall...να το δοκιμάσουμε και εμείς!!!

Δεν υπάρχει.
Μην βάλεις το δικό μου γιατί μπορεί να μην έχεις την ίδια χρήση με εμένα.
Μην βάλεις του Χ για τον ίδιο λόγο.
Πάρε κάποιο που καταλαβαίνεις καλύτερα και τροποποίησέ το.
Εγώ γι αυτό έβαλα και το "σκεπτικό" για να μπορεί να καταλάβει και κάποιος που δεν είναι εξοικειωμένος.

[macro]

Στο tools>profile παντως βλεπω σημαντικη μειωση της cpu απο το firewall, τωρα που τα μετεφερα ολα στο RAW.

[jkarabas]

τελικά καταλήξαμε?

ποιο είναι το τελικό firewall...να το δοκιμάσουμε και εμείς!!!

Εννοείται ότι καταλήξαμε.
Για μένα του macro είναι μια χαρά. Το ίδιο σχεδόν έχω και εγώ. Είναι ποιο κατανοητό τουλάχιστον σε μένα.
Και του deniSun σωστό είναι, απλά με άλλες δηλώσεις στα βασικά που κάνουν το ίδια πράγματα.
Όπως είπε και ο Deni θα χρειαστεί ίσως τροποποίηση στα δικά σου γούστα.
Εάν χρειαστείς εξτρα πόρτες για άνοιγμα, ο κανόνας είναι γνωστός.

- - - Updated - - -

Στο tools>profile παντως βλεπω σημαντικη μειωση της cpu απο το firewall, τωρα που τα μετεφερα ολα στο RAW.

Όντως!!

[teodor_ch]

Στο tools>profile παντως βλεπω σημαντικη μειωση της cpu απο το firewall, τωρα που τα μετεφερα ολα στο RAW.

Σε τί μηχανάκι/περιβάλλον/χρήση?
Και πόσο ήταν το πρίν και το μετά?

Ακόμα και σε 2 pppoe-clients με queue trees και ~50 users με περίπλοκο firewall για διαχωρισμό customers-lan/private-lan δεν έχω δεί παραπάνω απο 20% στο RB951G-2HnD

[kostasandr]

Το περασα, με το drop κανονα δευτερο. Εσυ? Port scanners εχει και online για να μη κατεβαζετε ασκοπα.

Και εδω εχω και το δικο μου firewall........

Κώδικας:

/ip firewall filter
add action=accept chain=input comment="Accept Input Established Related" connection-state=established,related
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid
add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge
add action=drop chain=input comment="Drop everything else Input"
add action=accept chain=forward comment="Accept forward Established Related" connection-state=established,related
add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge
add action=drop chain=forward comment="Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat

Κώδικας:

/ip firewall raw
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______Add Port scanners to list" protocol=tcp psd=21,3s,3,1 time=0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______NMAP NULL scan" protocol=tcp psd=21,3s,3,1 tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=prerouting comment="______Drop Port scanners from list" src-address-list="Port Scanners"
add action=jump chain=prerouting comment=______ddos_Protection jump-target=block-ddos protocol=tcp tcp-flags=syn
add action=drop chain=prerouting dst-address-list=ddosed src-address-list=ddoser
add action=return chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m chain=block-ddos
add action=add-src-to-address-list address-list=ddoser address-list-timeout=10m chain=block-ddos
add action=jump chain=prerouting comment="______Make jumps to ICMP chains" jump-target=icmp protocol=icmp
add action=accept chain=icmp comment="______Echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="______Net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="______Host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="______Host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="______Allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="______Allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="______Allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="______Allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="______Deny all other ICMP types"
add action=drop chain=prerouting comment="______Blocked Ports TCP" port=0,20,21,22,23,67-69,161-162,135-139,444-445,1080,1900 protocol=tcp
add action=drop chain=prerouting comment="______Blocked Ports UDP" port=0,20,21,22,23,67-69,161-162,135-139,444-445,1080,1900 protocol=udp

To firewall ειναι γενικο και μπορει να το βαλει οποιοσδηποτε, θελει μονο μια προσοχη στους 2 τελευταιους κανονες στο RAW που εκτος απο καποια security malware ports κλεινω και ολες τις υπηρεσιες, οποτε οποιος χρησιμοποιει καποιο απο τα ftp, telnet, ssh καλο ειναι να βγαλει τη πορτα απο τη λιστα.

Καλησπερα.
Στην υλοποιηση σου επιτρεπει την απομακρυσμενη συνδεση μεσω cloud-winbox, η θελει να προσθεσεις κανονα;

[zark]

Καλησπερα.
Στην υλοποιηση σου επιτρεπει την απομακρυσμενη συνδεση μεσω cloud-winbox, η θελει να προσθεσεις κανονα;

To συγκεκριμένο το παράδειγμα το κόβει.
Φυσικά εδώ καλό είναι να αναφέρουμε πόσο λάθος είναι να βγαζεις το router στο internet με αυτό το τρόπο. Έχουν βγει διάφορα exploits στο παρελθόν που χτυπούσαν είτε το winbox connection ή το web interface!

[kostasandr]

συμφωνω, αλλα ποιος αλλος τροπος υπαρχει περα απο αυτο και vpn που δεν θελω να μπλεξω

[deniSun]

Στο tools>profile παντως βλεπω σημαντικη μειωση της cpu απο το firewall, τωρα που τα μετεφερα ολα στο RAW.

Ανάλογα με το μηχάνημα.
Στο 4011 είχα max cpu 3% και τώρα έχω 1%.
Και max memory 7.7% και τώρα 7.5%.

[puntomania]

συμφωνω, αλλα ποιος αλλος τροπος υπαρχει περα απο αυτο και vpn που δεν θελω να μπλεξω

βάλε άλλη πόρτα...μεγαλύτερη...μη συνηθισμένη....

- - - Updated - - -

Δεν υπάρχει.
Μην βάλεις το δικό μου γιατί μπορεί να μην έχεις την ίδια χρήση με εμένα.
Μην βάλεις του Χ για τον ίδιο λόγο.
Πάρε κάποιο που καταλαβαίνεις καλύτερα και τροποποίησέ το.
Εγώ γι αυτό έβαλα και το "σκεπτικό" για να μπορεί να καταλάβει και κάποιος που δεν είναι εξοικειωμένος.

να το πω διαφορετικά... η πλειοψηφία έχει ένα απλό ρουτερ...με το όποιο firewall το συνοδεύει...

μήπως είναι λίγο υπερβολικά όλα αυτά...που ανακατεύουμε....!!!