Mikrotik IPv4/IPv6 firewall

**macro** · 01-05-20, 21:50

Ζητησες μια γνωμη και σου την ειπα, εμενα μου φαινεται ελλειπες. Και τιποτα να μην εχεις στο firewall παλι καλα θα δουλευεις. Αμα εσενα σε ικανοποιει οκ ομως.

**deniSun** · 01-05-20, 22:29

Πλέον στο τελευταίο drop πηγαίνουν μόνο μετρημένα ξέμπαρκα udp από άσχετες διευθύνσεις
και τα udp από την πόρτα του torrent που έχω κλειστή.

**macro** · 02-05-20, 09:35

Πιο πολλες και καλες απαντησεις θα παρεις απο το ΜΤ forum παντως. Εγω στη θεση σου θα το εριχνα και εκει με ολες τις επεξηγησεις που κανεις να δω τι θα μου λεγανε.

Κώδικας:

/ip firewall raw
add action=drop chain=prerouting comment="______Drop Port scanners from list" src-address-list="Port Scanners"

και αυτο ειναι για να μεταφερεις στο RAW ta Drop scanners........... και σβηνεiς και το τελευταιο κανονα απο το filter.

**deniSun** · 02-05-20, 11:15

Αρχικό μήνυμα από macro

Πιο πολλες και καλες απαντησεις θα παρεις απο το ΜΤ forum παντως. Εγω στη θεση σου θα το εριχνα και εκει με ολες τις επεξηγησεις που κανεις να δω τι θα μου λεγανε.

Κώδικας:

/ip firewall raw
add action=drop chain=prerouting comment="______Drop Port scanners from list" src-address-list="Port Scanners"

και αυτο ειναι για να μεταφερεις στο RAW ta Drop scanners........... και σβηνεiς και το τελευταιο κανονα απο το filter.

Το έχω φτιάξει το raw.
Το έχω ανεβάσει στο παραπάνω conf.
Εκεί επεξηγώ γιατί χρειάζεται το τελευταίο drop.

**jkarabas** · 02-05-20, 18:18

Αρχικό μήνυμα από macro

Πιο πολλες και καλες απαντησεις θα παρεις απο το ΜΤ forum παντως. Εγω στη θεση σου θα το εριχνα και εκει με ολες τις επεξηγησεις που κανεις να δω τι θα μου λεγανε.

Κώδικας:

/ip firewall raw
add action=drop chain=prerouting comment="______Drop Port scanners from list" src-address-list="Port Scanners"

και αυτο ειναι για να μεταφερεις στο RAW ta Drop scanners........... και σβηνεiς και το τελευταιο κανονα απο το filter.

Δηλ. σβήνουμε το παρακάτω:

Κώδικας:

 add action=drop chain=input comment="Drop port scanners from list" src-address-list="port scanners"

και βάζουμε στο ip firewall raw αυτό που προανέφερες?

Τι ακριβώς κερδίζουμε με αυτό?

Sorty macro είδα την εξήγησή σου για το raw εδώ

Εδώ υπάρχει και ένα testing μεταξύ Filter Rule and RAW

Ποιον τελευταίο κανόνα εννοείς? Τον "Drop all others"?

Επίσης με την ευκαιρία ψάχνω τους κανόνες για Ddos attacks και για το RAW.
Μπορεί κάποιος να βοηθήσει;

**macro** · 02-05-20, 19:08

Τα εξηγησα ολα πιο πισω κερδιζεις σε performance.

**jkarabas** · 02-05-20, 20:08

Αρχικό μήνυμα από macro

Τα εξηγησα ολα πιο πισω κερδιζεις σε performance.

Ναι το είδα αμέσως μετά που ποστάρισα.

- - - Updated - - -

Για DDos attack έχω δει στο wiki το παρακάτω:
https://wiki.mikrotik.com/wiki/DDoS_...n_and_Blocking
Απο τους παραπάνω κανόνες ποιον βάζουμε στη RAW?

**macro** · 02-05-20, 21:01

Παντα τον drop βαζεις, το τελευταιο με chain prerouting. Εκτος απο αυτα, μπορεις να βαλεις πορτες και ip's, ειτε με address lists, ειτε οχι. Στο RAW μονο drop βαζεις και με prerouting ή οutpout καθως και notrack αν θες να τα περασεις fasttrack αφου τσεκαρεις στο firewall filter στο connection state μαζι με τα established related και τα untracked.

**jkarabas** · 02-05-20, 22:01

Αρχικό μήνυμα από macro

Παντα τον drop βαζεις, το τελευταιο με chain prerouting. Εκτος απο αυτα, μπορεις να βαλεις πορτες και ip's, ειτε με address lists, ειτε οχι. Στο RAW μονο drop βαζεις και με prerouting ή οutpout καθως και notrack αν θες να τα περασεις fasttrack αφου τσεκαρεις στο firewall filter στο connection state μαζι με τα established related και τα untracked.

To connection-state=new στη τελευταία εντολή δεν υπάρχει στο RAW οπότε το παρέλειψα.

**macro** · 03-05-20, 09:57

Επειδη ddos protection δεν εχω βαλει, για κανε ενα κοπο και δοκιμασε το με το HyenaeFE

http://gregsowell.com/?p=5286

**jkarabas** · 03-05-20, 10:30

Αρχικό μήνυμα από macro

Επειδη ddos protection δεν εχω βαλει, για κανε ενα κοπο και δοκιμασε το με το HyenaeFE

http://gregsowell.com/?p=5286

Καλημέρα!!
Αυτό είναι το λινκ που είχα ποστάρει παραπάνω.
Μόλις βρω λίγο χρόνο θα το δοκιμάσω.
Πάντως ότι drop prerouting έχω δηλώσει στο RAW δουλεύουν κανονικά.

**macro** · 03-05-20, 11:34

Καλημερα και σε σενα,

Απο οσο ειδα παντως μπορεις να βαλεις ολο το ddos protection στο RAW και οχι μονο τον drop κανονα. Αν το ψαξεις και το καταφερεις ποσταρε το εδω.

**jkarabas** · 03-05-20, 14:11

Αρχικό μήνυμα από macro

Καλημερα και σε σενα,

Απο οσο ειδα παντως μπορεις να βαλεις ολο το ddos protection στο RAW και οχι μονο τον drop κανονα. Αν το ψαξεις και το καταφερεις ποσταρε το εδω.

Λίγο που το έψαξα δοκίμασα τα παρακάτω:

DDOs attack protect

Κώδικας:

/ip firewall raw
add chain=prerouting action=jump jump-target=block-ddos
add chain=prerouting src-address-list=ddoser dst-address-list=ddosed action=drop
add chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s action=return
add chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m
add chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m

Μάλιστα άμεσα τσίμπησα ips στα address lists ddoser.

**macro** · 03-05-20, 14:42

Τον drop κανονα γιατι δε τον εχεις τελευταιο?

**jkarabas** · 03-05-20, 14:56

Αρχικό μήνυμα από macro

Τον drop κανονα γιατι δε τον εχεις τελευταιο?

Απόρησα και εγώ πουθενά δεν το είδα τελευταίο.

Επίσης άλλαξα την 1η εντολή με το παρακάτω:

Κώδικας:

add chain=prerouting  action=jump  jump-target=block-ddos protocol=tcp tcp-flags=syn

Αντικαθιστά το connection-state=new ορίζοντας TCP και filter over syn flag.
Σε δοκιμή να βρισκόμαστε.

- - - Updated - - -

Όταν βάζω στο τέλος το drop δεν πιάνει τίποτα.
Μόλις το βάλω 2ο τότε δουλεύει.

Θέμα: Mikrotik IPv4/IPv6 firewall

Παρόμοια Θέματα

Mikrotik IPv6 σε PPPoE client με modem σε bridge mode

Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ

Mikrotik 2011 DHCP lease failed without success Point to Multipoint

IPV6 + IPV4 SPEED TEST

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές