Δε ξέρω το περιβάλλον σου αλλά το να μπορεί να εγγυηθεί κάποιος για όλες τις συσκευές στο δίκτυο του είναι οποιαδήποτε στιγμή είναι για μένα απίθανο.
Παρόλα αυτά αφού έτσι τα έχεις καταφέρει όντως δε χρειάζεσαι έλεγχο στο forward.
Πιστεύεις ότι είναι σωστό να αντιγράφουν νέοι χρήστες αυτό το firewall?
Πάντως σε επαγγελματικό χώρο με 45 συσκευές πελατών και άλλες 20-30 της επιχείρησης,
με το default firewall συν έξτρα κανόνες για τους πελάτες και με mangle+queue tree στις ~1000συνδέσεις ο επεξεργαστής είναι κάτω απο το 20%
Δηλαδή δε βρίσκω το λόγο να μπώ στον κόπο να κάνω βόλτες filter+raw για να κερδίσω τί?
Ούτε η επιχείρηση θα δεί διαφορά και εμένα η ζωή μου θα γίνει πιο δύσκολη.
- - - Updated - - -
Αυτό σημαίνει ότι η επίθεση έχει ήδη παρακάμψει το firewall και έχει φτάσει στον υπολογιστή.
Η αλήθεια είναι ότι και εμένα τα drops στο forward είναι ελάχιστα και αυτά απο κάποια dockers που βγαίνουν με ips του docker subnet
Εμφάνιση 1.681-1.695 από 2112
-
24-09-20, 18:23 Απάντηση: Mikrotik IPv4/IPv6 firewall #1681
-
24-09-20, 19:11 Απάντηση: Mikrotik IPv4/IPv6 firewall #1682
Σωστά.
Από τι κινδυνεύω λοιπόν;
Από την σελίδα που ζήτησα και μπορεί να με βλάψει με κάποιον τρόπο (σσ δεν μπαίνω σε τέτοιες σελίδες).
Πώς θα το κάνει αυτό;
Με κάποια πόρτα που είναι ανοιχτή στο ρούτερ; Είναι προστατευμένο είπαμε με τους υπάρχοντες κανόνες.
Με κάποια πόρτα ανοιχτή στον ΗΥ μου; Δεν κάνω port forward στους ΗΥ.
Να με αφήσει κάποιο μαμούνι που θα ζητάει συνέχεια πράγματα από έξω; Αφού λέω ότι δεν τίθεται τέτοιο θέμα στους ΗΥ.
Φυσικά... ποτέ μην λες ποτέ.
Αλλά προσωπικά δεν τρέχω ούτε av στους ΗΥ μου γιατί τους ελέγχο μόνος μου.
- - - Updated - - -
Ποτέ δεν είπα κάτι τέτοιο.
Με την ίδια λογική ο νέος χρήστης δεν θα πρέπει να δοκιμάσει τίποτε αφού ως νέος δεν θα ξέρει τι κάνει το κάθε τι.
Αν παρατηρήσεις τα config μου τα συνοδεύω πάντα από κάτω με το σκεπτικό.
Το έχω τονίσει 1000άδες φορές.
Μιλάμε για οικιακή χρήση.
Δεν ξέρω τι θα κερδίσεις.
Μπορώ να σου πω μόνο τι κέρδισα εγώ από τα προηγούμενα σεταρίσματα που είχα.
Αν αφήσουμε όμως το θέμα της απόδοσης που μπορεί να είναι μικρό σε δυνατά μηχανήματα,
τότε αυτό που μένει είναι η ευχρηστία.
Εδώ ο κάθε ένας χρησιμοποιεί ότι θέλει.
Έχω αλλάξει πολλές φορές το config μου χωρίς να κερδίσω στην πράξη τίποτε από θέμα απόδοσης, μόνο και μόνο για να το κάνω (εκείνη την στιγμή) περισσότερο "λογικό" και ευανάγνωστο/εύχρηστο σε εμένα.
Το αναλύω παραπάνω.
Κάπως έτσι θεώρησα ότι δεν χρειάζεται να ελέγχω τίποτε στο forward.
Ένας λόγος που θεωρώ ότι τα μηχανήματά μου είναι καθαρά και δεν κινδυνεύουν.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
24-09-20, 19:25 Απάντηση: Mikrotik IPv4/IPv6 firewall #1683
Σε ένα αποστειρωμένο περιβάλλον οκ.
Απλά επειδή δεν κοστίζει τίποτα και δεν έχω την όρεξη να χωρίσω το δίκτυο που μοιράζω στους καλεσμένους μου τα έχω αφήσει όπως προτείνει και η ΜΚ.
Για τον επαγγελματικό χώρο αναφέρθηκα στο ότι το RB951 είναι ΥΠΕΡ-αρκετό απο άποψη επεξεργαστή χωρίς καν τη χρήση του RAW.
Πόσο μάλλον για οικιακή χρήση.
Προφανώς το κάνεις γιατί έχεις το χρόνο και την όρεξη. Κανένα πρόβλημα.
-
24-09-20, 19:34 Απάντηση: Mikrotik IPv4/IPv6 firewall #1684
-
25-09-20, 10:15 Απάντηση: Mikrotik IPv4/IPv6 firewall #1685
Εγω δε θεωρω οτι εχεις firewall παντως. Τωρα εκφρασεις τους ειδους προσεχω κ.λ.π. δε μπορω να μπω στη διαδικασια να τις κατανοησω μιας και ειναι θεμα χρονου να την πατησεις οσο και αν προσεχεις.
Firewall μπορει να ονομαστει μονο ενα............ αυτο που τα εχεις ολα κλειστα και περνανε μονο αυτα που χρειαζεσαι και οχι καποιο setup τυπου λουνα παρκ με τη προυποθεση οτι ο end user πρεπει να ειναι προσεκτικος. Στο ειχα πει και τη πρωτη πρωτη φορα οταν το πρωτοποσταρες και για τα related που δε περνας αλλα επειδη παρεξηγησε σχετικως ευκολα δεν εδωσα προεκταση.
Δεν εισαι ο κανονας αλλα η εξαιρεση και καλα θα κανουν καποια καινουργια παιδια που φτιαχνουν firewall να μη χρησιμοποιησουν το δικο σου διοτι εχει θεματα.
Χωρις παραξηγηση ολα αυτα.Άλλα Ντάλλα....
-
25-09-20, 17:40 Απάντηση: Mikrotik IPv4/IPv6 firewall #1686
Ναι αλλά και εσύ δεν μου λες μια περίπτωση που θα μπορούσα να την πατήσω με την χρήση που κάνω.
Είναι σαν να σου λέω ότι δεν χρησιμοποιώ flashάκια, δεν έχω Internet και εσύ μου λες ότι θα πρέπει να έχω av.
Πες μου με ποιον τρόπο μπορεί κάποιος να βλάψει έναν ΗΥ του δικτύου μου.
- - - Updated - - -
Παρατηρώντας το fw σου βλέπω τα εξής:
1. Σχετικά με το raw ελέγχεις τους ίδιους κανόνες και για εισερχόμενη κίνηση και για εξερχόμενη.
Αυτό το θέμα το έχουμε λύσει.
Εγώ σου λέω ότι σε home/business users δεν έχεις να φοβηθείς αν θα δεχθεί επίθεση το ρούτερ σου.
Εσύ μου λες ότι "άσ το και ας υπάρχει".
οκ... το δικό σου είναι περισσότερο global.
Εγώ θεωρώ περιττό να ελέγχο τον ΗΥ μου για το αν θα κάνει DoS στο ρούτερ μου.
2α. Σχετικά με το filter... στο Input συμφωνούμε εν μέρη.
Προσωπικά θεωρώ ότι θα πρέπει να μπει πρώτα τα drop invalid και μετά τα accept.
Από δοκιμές που είχα κάνει δεν έχει διαφορά.
Το προτίμησα γιατί έτσι μου ήρθε περισσότερο λογικό ως προς την απόδοση.
2β. Στο accept έχεις και related.
Όσες μα όσες φορές τον έχω προσθέσει χώρια αυτόν τον κανόνα (απ ότι είδα η επιλογή δύο παραμέτρων εκλαμβάνονται ως or και όχι and) δεν μάζεψε ούτε ένα πακέτο, όσο χρονικό διάστημα και να το άφησα.
3α. Πάμε στο filter forward που έχουμε και τις περισσότερες διαφωνίες.
Αυτό που κάνεις εσύ είναι να αφήνεις να περάσει η κίνηση του lan από το input για να την ελέγξεις ξανά στο forward.
3β. Στο forward του λες να αφήνει όλην την κίνηση του lan να περνάει και να κόβει ότι δεν είναι nat.
Άρα στο προηγούμενο ερώτημα που σου έθεσα η απάντηση που βρίσκω για την περίπτωσή μου είναι
ότι θα μπορούσε να βλάψει έναν ΗΥ του δικτύου μου κάτι που θα περάσει από έξω από το raw,
θα περάσει και από το Input
και δεν ενώ δεν έχει γίνει nat θα περάσει προς τον ΗΥ μου.
Προσωπικά δεν μπορώ να φανταστώ πώς θα μπορούσε να υλοποιηθεί κάτι τέτοιο.
Αν κάποιος έχει περισσότερες γνώσεις σε hacking ας μας απαντήσει πόσο εύκολο/πιθανόν/δυνατόν είναι κάτι τέτοιο.
ΥΓ
Και στο filter ελέγχεις όλη την κίνηση εισερχόμενη και εξερχόμενη.
Ισχύει ότι επισήμανα στο (1).| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
25-09-20, 19:26 Απάντηση: Mikrotik IPv4/IPv6 firewall #1687
Μπορει ευκολα καποιος να την πατησει απο μολυσμενο site που τρεχει καποιο zero day exploit και οχι μονο αυτο. Απο οποιοδηποτε μολυσμενο site με οτιδηποτε.......... απλα τον πινεις. Τοσο απλο ειναι. Trojan, ransomware κ.λ.π. ειναι μερικα ακομη που καθονται σε sites και περιμενουν.
Tωρα οσων αφορα τα related ειναι απαραιτητα δευτεροντα πρωτοκολλα που ακολοθουν το πρωτο ack rcp connection. Μπορει να ειναι icmp, udp, quic, η οποιοδηποτε αλλο συνεδευετε με τη πρωτη πληροφορια και ειναι απαραιτητο να περναει.Τελευταία επεξεργασία από το μέλος macro : 25-09-20 στις 19:46.
Άλλα Ντάλλα....
-
25-09-20, 19:52 Απάντηση: Mikrotik IPv4/IPv6 firewall #1688
Θα περάσει δηλαδή από το input και δεν θα γίνει ΝΑΤ και θα διοχετευτεί στον στο εσωτερικό δίκτυο;
Γιατί εσύ αυτές τις περιπτώσεις κόβεις.
Ότι δεν έχει γίνει ΝΑΤ.
Δηλαδή αν βάλεις χώρια τον κανόνα για related βλέπεις να μαζεύεις πακέτα;
Γιατί όπως σου είπα εγώ δεν είδα ποτέ ο κανόνας αυτός να έχει μαζέψει κάτι.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
25-09-20, 20:07 Απάντηση: Mikrotik IPv4/IPv6 firewall #1689
1) Εχει ηδη περασει το ΝΑΤ αφου η συνδεση σου ειναι established και ο κανονας input δε παιζει καμια σημασια στους clients. Τα πακετα προς τους clients ειναι forward. Τα ειπαμε αυτα πιο πανω.
2) Ναι πιανει οταν υπαρχει κατι να πιασει. π.χ online games. Εκει θα εβλεπες οτι πιανει μιας και πολλα παιχνιδια ζητανε δευτερευουσες πληροφοριες, π.χ. ping ή σε udp πληροφοριες του μηχανηματος σου ή γενικως της συνδεσης σου. Αυτος ειναι ο ρολος των related και ειναι σημαντικος.Τελευταία επεξεργασία από το μέλος macro : 25-09-20 στις 20:14.
Άλλα Ντάλλα....
-
25-09-20, 20:22 Απάντηση: Mikrotik IPv4/IPv6 firewall #1690
-
25-09-20, 20:42 Απάντηση: Mikrotik IPv4/IPv6 firewall #1691
Η κίνηση απο το LAN προς το WAN ΔΕΝ περνάει απο το input. Οπότε δεν την ελέγχει ξανά.
Το αν χρειάζεται είναι άλλο θέμα.
Σε επαγγελματικό χώρο σε 1 μέρα με 90GB κίνησης οι forward κανόνες μου δεν έχουν κόψει κάτι (πέρα απο δικά μου restrictions).
Δεν είναι κάτι σύνηθες δηλαδή να υπάρχει προβληματική κίνηση στο forward.
Το βάζει και η ΜΚ οπότε δεν έχω ΚΑΝΕΝΑ λόγο να το αφαιρέσω!
Με την ίδια λογική αφού δεν ανοίγεις καμία πόρτα γιατί έχεις port scanner?
-
25-09-20, 20:50 Απάντηση: Mikrotik IPv4/IPv6 firewall #1692
Από το forward περνάει και δεν χρειάζεται κατά την άποψή μου.
Αυτό λέει και στον κανόνα στο forward ότι αφήνει να περάσει όλη η κίνηση από το LAN
και κόβει μόνο ότι δεν έχει γίνει dst-nat.
Τους κανόνες για το forward τους έχω μόνο στο ν6.
Και αυτό γιατί εκεί έχει νόημα για εμένα αφού δεν υπάρχει ΝΑΤ.
Πρόσθεσα και στο ν4 τους ίδιους κανόνες με το ν4, αν και πραγματικά πιστεύω ότι είναι εντελώς άχρηστοι λόγο ΝΑΤ:
Κώδικας:add action=jump chain=forward comment="Check all PPP" in-interface=pppoe-out1 \ jump-target=ppp-frw add action=drop chain=ppp-frw comment="Drop invalid connections" \ connection-state=invalid add action=accept chain=ppp-in comment="Accept established, related connections" \ connection-state=established,related add action=drop chain=ppp-frw comment="Drop all others"
Πόσο μάλλον να το κάνω αυτό μόνο και μόνο για να του λέω "σε αφήνω να περάσεις".
Στο ν6 το drop all others στο forward μαζεύει αρκετό πράγμα.
Στο ν4 δεν νομίζω ότι θα δω κάτι.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
26-09-20, 10:56 Απάντηση: Mikrotik IPv4/IPv6 firewall #1693
Λογω ελλειψης χρονου δε σου απαντησα για τη σειρα των drop και allow που με ρωτησες προηγουμενα.
Καθαρα για λογους performance πρεπει να βαζουμε τα allow πρωτα. Αν εχεις τα drop πρωτα, το ρουτερ χανει χρονο σε αυτα πριν δουλεψει τα allow.Άλλα Ντάλλα....
-
26-09-20, 16:53 Απάντηση: Mikrotik IPv4/IPv6 firewall #1694
Λοιπόν... κοίταξα καλύτερα το config του @macro και το Link που έδωσε ο @teodor
και έχω κάνει τις εξής αλλαγές και παρατηρήσεις.
1. Ξεκινώντας με το raw του ν4 έχω προσθέσει στην κορυφή drop δηλώσεις για διευθύνσεις που δεν θα πρέπει να δρομολογούνται μέσω του ρούτερ.
Spoiler:
Και παρατήρησα ότι κόβει αρκετό πράγμα από κίνηση από το εσωτερικό δίκτυο προς το ρούτερ.
Spoiler:
Για το θέμα αυτό θα αναφερθώ και παρακάτω...
Δεν έχω προσθέσει In-interface γιατί (α) θέλω να ελέγχει κίνηση και από το εσωτερικό δίκτυο (β) απ ότι βλέπω όλη η κίνηση είναι στις δηλώσεις με dst-address, δηλαδή από μέσα προς τα έξω πράγμα που σημαίνει ότι κάποιος ρούτερ από έξω κόβει αυτή την κίνηση προς το ΜΤ. (γ) Λογικά λοιπόν θα μπορούσαν να παραληφθούν οι δηλώσεις που έχουν να κάνουν με την κίνηση από το έξω προς τα μέσα αλλά τις αφήνω μιας και το src-address μπορεί να ενεργοποιηθεί και από το εσωτερικό δίκτυο πχ να καρφώσει κάποιος έναν ΗΥ με τέτοια ΙΡ (προσωπικά το έχω αποκλύσει αυτό το ενδεχόμενο αλλά το αφήνω μόνο και μόνο μήπως οι ρούτερ που έγραψα παραπάνω σταματήσουν να κόβουν αυτά τα πακέτα).
2. Οι υπόλοιπες δηλώσεις στο raw που έχουν να κάνουν με το έλεγχο επίθεσης τις έχω αφήσει όπως τις είχα με in-interface.
Τον λόγο τον έγραψα πολλές φορές.
Σε home/business περιβάλλον δεν θεωρώ ότι κινδυνεύει ο ρούτερ από κάποια τέτοια επίθεση.
Επίσης δεν θα ήθελα να μπει μια ΙΡ από το lan σε block και να ψάχνομαι γιατί δεν έχει δίκτυο.
Φυσικά και σε μη ελεγχόμενα περιβάλλοντα πχ internet cafe ελέγχουμε όλη την κίνηση.
3. Στο filter του ν4 θεώρησα σωστό και εδώ να αφαιρέσω το in-interface από το input.
Και αυτό γιατί καλό είναι να απαλλάξουμε το ΜΤ από κίνηση τύπου invalid κλπ.
Έβαλα πρώτα το accept και μετά το drop όπως πρότεινε ο @macro αν και νομίζω ότι το είχα ελέγξει και είδα ότι ήταν προτιμότερο το αντίθετο.
Παρ όλα αυτά το είδα και σε άλλους οπότε... οκ.
4. Τα accept στο Input που έχουν να κάνουν με υπηρεσίες που τρέχουν στο ΜΤ πχ vpn λογικά θα έπρεπε να συνοδεύονται με in-interface.
Και αυτό γιατί δεν νομίζω ότι κάποιος από το εσωτερικό δίκτυο θα έπρεπε να συνδεθεί με vpn στο ΜΤ για να πάρει πρόσβαση προς τα έξω.
Παρ όλα αυτά αφαίρεσα την συγκεκριμένη παράμετρο γιατί προσθέτει έναν ακόμα έλεγχο χωρίς λόγο
και η περίπτωση που θα συμβεί το παραπάνω είναι σχεδόν μηδαμινή.
Οπότε αν θέλει κάποιος από μέσα να συνδεθεί με vpn για να βγει από το ΜΤ... οκ.
5. Οι δηλώσεις για allow all from lan και αμέσως μετά drop all others θα μπορούσαν να συνοψιστούν σε μία:
Κώδικας:add action=drop chain=input comment="Input drop all not from LAN" \ in-interface=pppoe-out1
Δηλαδή τα πακέτα από vpn θα έπεφταν στο drop.
Θα έπρεπε ή να προστεθεί επιπλέον κανόνας allo all from X-vpn ή all-vpn ή !pppoe
Οπότε... τζάμπα φασαρία.
6. Πρόσθεσα τους κανόνες του forward στο filter.
Όχι γιατί έχω πειστεί ότι υπάρχει κάποιος κίνδυνος να πάθει κάτι ένας ΗΥ από έξω,
αλλά για να κόβω invalid connections.
Και εδώ τα έχω αφήσει όλα χωρίς In-interface για τους λόγους που προανέφερα.
7. Στο κανόνα για drop πακέτα στο forward βλέπω ότι πολλοί (και έξω) χρησιμοποιούν το connection-state !dst-nat.
Ίσως για να γλιτώσουν κάτι κατά το port forward.
Προσωπικά προτίμησα να γραφεί ο κανόνας όπως ανέφερα και στο input για τους ίδιους λόγους:
Κώδικας:add action=drop chain=forward comment="Forward drop all not from LAN" \ in-interface=pppoe-out1
Στο ν7 λοιπόν επειδή δεν έχουμε ΝΑΤ πάμε με την λογική ότι ανοίγουμε πόρτες στο forward και δεχόμαστε τα πάντα από lan κάνοντας drop όλα τα υπόλοιπα.
8. Αντίστοιχα έχω κάνει της ίδιες αλλαγές και για το ν6.
Παραθέτω τις αλλαγές στην λίστα και στο raw.
Τα υπόλοιπα γίνονται κατά αντιστοιχία.
Spoiler:
Spoiler:
Παρατηρήσεις:
Α. Ξεκινώντας με το θέμα των ΙΡ στις λίστες είδα ότι χωρίς τους κανόνες μπλοκαρίσματος
τα πακέτα δρομολογούνται κανονικά έξω από το ρούτερ.
Δηλαδή αν δώσει κάποιος traceroute 192.168.10.10 θα δει να φεύγουν κανονικά
έως ένα σημείο που κάποιος ρούτερ θα τα κόψει.
Θεωρώ ότι τέτοια πακέτα θα έπρεπε να μην βγαίνουν προς τα έξω.
Οπότε περιμένω παρατηρήσεις/διορθώσεις για τις διευθύνσεις στις λίστες.
Β. Δεν έχω βρει ακόμα (εύκολο) τρόπο για να κόβει το 192.168.0.0/16 πλην του range που χρησιμοποιούμε στο lan.
Δηλαδή αν πχ παίζουμε με 5.Χ και δώσουμε 6.1 σε traceroute το πακέτο θα βγει κανονικά όπως είπα στο (Α).
Έναν κανόνα δηλαδή στο raw:
add action=drop chain=prerouting dst-address-list=LocalIP
όπου:
add address=192.168.0.0/16 list=LocalIP
Όπου το 192.168.0.0/16 δεν θα περιλαμβάνει το 192.168.5.0/24
Γ. Σχετικά με τις λίστες ΙΡ θέλει προσοχή γιατί δεν ξέρω αν περιλαμβάνουν κάποιο range από αυτά που χρησιμοποιούν οι πάροχοι για να βάζουν τους χρήστες πίσω από ΝΑΤ.
Οπότε αν κάποιος είναι σε μια τέτοια περίπτωση ας μας πει.
Δ. Καλό είναι που ανοίξαμε ξανά το θέμα του fw και κάναμε κάποιες διορθώσεις
αλλά πιστεύω ότι θα έπρεπε να μας ενδιαφέρει πολύ περισσότερο το fw σε ν6.
Όπου εκεί λόγω μη ύπαρξης ΝΑΤ και λόγω real ip
η οποιαδήποτε συσκευή με ν6 είναι τελείως ευάλωτη χωρίς σωστό fw.
+ ότι έχουν γραφεί πολύ λίγα πράγματα για ν6 fw.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
27-09-20, 10:29 Απάντηση: Mikrotik IPv4/IPv6 firewall #1695
Καλημέρα
Τώρα διαβάζω το link που έστειλε ο teodor πολύ ενδιαφέρον.
Μελετώ και τις δικές σου προτάσεις deni και το βλέπουμε.CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
Παρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks