Mikrotik IPv4/IPv6 firewall

[macro]

Εγω δε το κανω διοτι αυτους εχω και μπαναρει κανονικα.


Νικηφορε δε σου χρειαζονται τα redirect και drop. Αν εχεις κανονα drop everything ειναι το ιδιο.

[jkarabas]

Εγω δε το κανω διοτι αυτους εχω και μπαναρει κανονικα.


Νικηφορε δε σου χρειαζονται τα redirect και drop. Αν εχεις κανονα drop everything ειναι το ιδιο.

Ποιά ROS έχεις;

[Nikiforos]

Εγω δε το κανω διοτι αυτους εχω και μπαναρει κανονικα.


Νικηφορε δε σου χρειαζονται τα redirect και drop. Αν εχεις κανονα drop everything ειναι το ιδιο.

καλημέρα, μάκρε…. θα τα δω αναλυτικα όταν κανω τις αλλαγες.
Ευχαριστω

- - - Updated - - -

Ποιά ROS έχεις;

καλημέρα, ΠΑΝΤΑ ΜΟΝΟ stable δλδ τελευταια εκδοση.

[teodor_ch]

Καλημέρα σε όλους.
Παρακαλώ κάποιον που έχει τη διάθεση και το χρόνο να κάνει import το forewall filter που έχω ποστάρει εδώ στον δικό του ρουτερ γιατί στο τέλος θα χάσω και τον ύπνο μου. Δεν ξέρω τι άλλο να δοκιμάσω.
Να τεστάρει με ένα πρόγραμμα ή online port scan εάν μπανάρει την ip στα address lists.

Κανε disable αυτούς τους δύο και πές μου.


add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge-LAN
add action=drop chain=input comment="Drop input everything else"

[jkarabas]

Κανε disable αυτούς τους δύο και πές μου.


add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge-LAN
add action=drop chain=input comment="Drop input everything else"

Θόδωρε τίποτα μια από τα ίδια. Αφού να φανταστείς απενεργοποίησα όλους τους κανόνες και άφησα τα Port scan και τους τελευταίος.
Είναι σαν μην τους διαβάζει καθόλου. Επίσης και ένα άλλο κουφό που έγινε στον υπολογιστή. Μου βγάζει ένα Χ στο εικονίδιο του network, αυτό μπορεί να είναι και άσχετο απλά το αναφέρω.

[teodor_ch]

Παραιτούμε!
Αν δεν έχεις αλλάξει πολλά πράγματα θα έκανα ένα restore defaults και πέρασμα την τελευταία έκδοση ξανά.

Και στο default firewall προσθέτεις ότι θέλεις.
Το υπάρχον σου δεν είναι σωστό πάντως με το drop input everything else σαν 3ο κανόνα!

[jkarabas]

Παραιτούμε!
Αν δεν έχεις αλλάξει πολλά πράγματα θα έκανα ένα restore defaults και πέρασμα την τελευταία έκδοση ξανά.

Και στο default firewall προσθέτεις ότι θέλεις.
Το υπάρχον σου δεν είναι σωστό πάντως με το drop input everything else σαν 3ο κανόνα!

Δίκιο έχεις αυτό σκέφτομαι, όμως για να μην τα κάνω μπάχαλο. Τι εννοείς restore defaults? Όλο το configuration (reset configuration)?? Όλα από την αρχή?? Αυτό που με κουράζει είναι τα certificates για το ovpn.
O 4ος κανόνας είναι drop input everything else αλλά γιατί δεν είναι σωστός?
Πες μου να κάνω σωστά τα βήματα.

[Nikiforos]

Στο 951 με την κινητη βλεπω αυτη την στιγμη επιθεσεις μεσω telnet....
σε μερικες ips δεν εβγαλα πορτες στην τελευταια βουαλα....

Κώδικας:

[nikiforos@nikiforos-pc ~]$ nmap 188.255.229.123
Starting Nmap 7.70 ( https://nmap.org ) at 2018-12-14 21:48 EET
Nmap scan report for free-229-123.mediaworksit.net (188.255.229.123)
Host is up (0.27s latency).
Not shown: 988 closed ports
PORT      STATE    SERVICE
22/tcp    open     ssh
53/tcp    filtered domain
80/tcp    open     http
135/tcp   filtered msrpc
443/tcp   open     https
2000/tcp  filtered cisco-sccp
5060/tcp  filtered sip
8443/tcp  filtered https-alt
32771/tcp open     sometimes-rpc5
34572/tcp open     unknown
44442/tcp open     coldfusion-auth
49153/tcp open     unknown

παιζει κατι σε mikrotik ωστε οποιος καταγραφει να μου βγαζει αυτοματα τι πορτες εχει ανοιχτες αν εχει? ξερει καποιος?

- - - Updated - - -

Στο 109 τωρα αυτη η ip καταγραφηκε αλλα μπλοκαρει το port scanning

Κώδικας:

[nikiforos@nikiforos-pc ~]$ nmap 2.87.246.153
Starting Nmap 7.70 ( https://nmap.org ) at 2018-12-14 21:54 EET
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.05 seconds

και ειναι απο Ελλαδα μαλιστα https://www.iplocation.net/

γελαμε?.....

Κώδικας:

[nikiforos@nikiforos-pc ~]$ nmap 60.251.56.108
Starting Nmap 7.70 ( https://nmap.org ) at 2018-12-14 22:27 EET
Nmap scan report for 60-251-56-108.hinet-ip.hinet.net (60.251.56.108)
Host is up (0.36s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
23/tcp open  telnet

[macro]

jkarabas........

Αν δε παιζει μονο του το port scan με ολους τους αλλους κανονες κλειστους, θα εκανα και εγω restore defaults. Θα κοιταζα ακομη μηπως δε φτανω καν στο ΜΤ για να με κοψει, αν στο μοντεμ ρουτερ μπροστα δεν ειχα bridge και ειχα το δικο του firewall=on.

[jkarabas]

jkarabas........

Αν δε παιζει μονο του το port scan με ολους τους αλλους κανονες κλειστους, θα εκανα και εγω restore defaults. Θα κοιταζα ακομη μηπως δε φτανω καν στο ΜΤ για να με κοψει, αν στο μοντεμ ρουτερ μπροστα δεν ειχα bridge και ειχα το δικο του firewall=on.

Σε bridge mode ειναι το modem με κλειστό το firewall του, πιστεύω ότι έχει φάει κόλλημα. Όταν λέτε restore defaults τι εννοείται με αυτό?
System->Reset configuration??
Φτάνω στο mikrotik όταν πχ θέλω να ανοίξω μια πόρτα του ovpn τότε ανταποκρίνεται δουλεύει το firewall.
Πριν 1 μήνα περίπου είχε μπαναρει μια ip από Αυστραλία μεριά τότε δούλευε κανονικά.

To bridge mode του Zyxel modem


firewall Disable


- - - Updated - - -

Επίσης έχω βρει ένα default firewall απλό που καλύπτει τα βασικά και ενδιάμεσα πρόσθεσα τα Port scan.
Πείτε μου τη γνώμη σας. Στη πορεία φυσικά το φέρνω στα μέτρα μου (όπως άνοιγμα πορτων).

Κώδικας:

/ip firewall filter
add action=accept chain=input connection-state=established,related,untracked comment="DEFAULT: Accept established, related, and untracked traffic."
add action=drop chain=input connection-state=invalid comment="DEFAULT: Drop invalid traffic."
add action=accept chain=input protocol=icmp comment="DEFAULT: Accept ICMP traffic."
add action=drop chain=input in-interface-list=!LAN comment="DEFAULT: Drop all other traffic not coming from LAN."

add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="Port Scanners"


add action=accept chain=forward ipsec-policy=in,ipsec comment="DEFAULT: Accept In IPsec policy."
add action=accept chain=forward ipsec-policy=out,ipsec comment="DEFAULT: Accept Out IPsec policy."
add action=accept chain=forward connection-state=established,related,untracked comment="DEFAULT: Accept established, related, and untracked traffic."
add action=drop chain=forward connection-state=invalid comment="DEFAULT: Drop invalid traffic."
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=WAN comment="DEFAULT: Drop all other traffic from WAN that is not DSTNATed."

[teodor_ch]

Αν βλέπεις τον παρακάτω κανόνα ΠΡΙΝ απο άλλους κανόνες στο input προσπέρνα. Είναι απο άσχετο.
Βάλε το DEFAULT firewall και επάνω του άλλαξε ότι θες.

Κώδικας:

add action=drop chain=input in-interface-list=!LAN comment="DEFAULT: Drop all other traffic not coming from LAN."

[macro]

Μονο στο τελος μπαινει αυτος ο κανονας.

[jkarabas]

Αν βλέπεις τον παρακάτω κανόνα ΠΡΙΝ από άλλους κανόνες στο input προσπέρνα. Είναι από άσχετο.
Βάλε το DEFAULT firewall και επάνω του άλλαξε ότι θες.

Κώδικας:

add action=drop chain=input in-interface-list=!LAN comment="DEFAULT: Drop all other traffic not coming from LAN."

Δεν το κατάλαβα τι εννοείς προσπέρνα. Έτσι όπως το θέτεις τα παραπάνω είναι σωστά.
Δεν μου απάντησες στα ερώτημά μου που ποστάρισα. Τι εννοείς restore default? Reset Configuration? Ποια είναι η σωστότερη διαδικασία να ακολουθήσω?
Εάν δεν έχεις πρόβλημα πόσταρε το δικό σου firewall εδώ για να το συγκρίνω.
Μια ακόμη ερώτηση τα certificaion keys μπορώ να τα κάνω export και μετά από reset να τα ξανακάνω import και να δουλέψουν ή πρέπει να τα ξαναδημιουργήσω απο την αρχή>

[teodor_ch]

Δεν το κατάλαβα τι εννοείς προσπέρνα. Έτσι όπως το θέτεις τα παραπάνω είναι σωστά.
Δεν μου απάντησες στα ερώτημά μου που ποστάρισα. Τι εννοείς restore default? Reset Configuration? Ποια είναι η σωστότερη διαδικασία να ακολουθήσω?
Εάν δεν έχεις πρόβλημα πόσταρε το δικό σου firewall εδώ για να το συγκρίνω.
Μια ακόμη ερώτηση τα certificaion keys μπορώ να τα κάνω export και μετά από reset να τα ξανακάνω import και να δουλέψουν ή πρέπει να τα ξαναδημιουργήσω απο την αρχή>

https://wiki.mikrotik.com/wiki/Manual:Reset

σβήσε τα πάντα και ξεκίνα απο την αρχή

προσπέρνα = το firewall είναι λάθος, κοίτα αλλού

τα certs τα κάνεις export και μετά Import
δεν φτιάχνεις καινούργια

[jkarabas]

https://wiki.mikrotik.com/wiki/Manual:Reset

σβήσε τα πάντα και ξεκίνα απο την αρχή

προσπέρνα = το firewall είναι λάθος, κοίτα αλλού

τα certs τα κάνεις export και μετά Import
δεν φτιάχνεις καινούργια

Έχεις δίκιο (θα εξοπλιστώ με υπομονή) μετά το reset θα αφήσω το δικό του firewall και θα χτίσω πάνω του. Σε κάθε απορία μιλάμε.
Γνωρίζω για το reset με το κουμπί μήπως καλύτερα να το κάνω και με το netinstall?