Mikrotik IPv4/IPv6 firewall

[jkarabas]

1) Αυτο το LAN που εχω βαλει εγω ειναι interface list με bridge1, bridge2, bridge3 κ.λ.π. επειδη εχω 3 subnets. Αντιστοιχως εχω και WAN list επειδη δεν εχω μονο ενα WAN.

2) Aν βαλεις μονο το pppoeout που λες εσυ το συγκεκριμενοποιεις, ενω εγω θελω να γινεται οπουδηποτε εκτος LAN.

3) Στις αλλες δηλωσεις του port scanner δεν εχω δηλωσει in.interface επειδη δεν εχω δει να μου πιανει καποιο pc απο το LAN μου μεχρι στιγμης. Αν μου τυχει ποτε θα βαλω και εκει.

Γενικως αυτο που κανω ειναι να εχω οσο το δυνατον πιο λιγες τρυπες, για αυτο και δε δηλωνω interfaces οπου μπορω και αν θυμασαι σε εκεινο το τεστ απο το site που ειχα ποσταρει παραπισω δε μου περναγε τπτ και ειχα Α΄ security. Οχι πως λεει και κατι αυτο, αλλα..... κατι λεει.

Ειμαι απολυτα ευχαριστημενος με αυτο το firewall setup.

Με τα interfaces τα δικά σου σωστά το έχεις έτσι.
Εγώ το συγκεκριμενοποιώ διότι έχω μόνο ένα out interface στο internet.
Δεν θυμάμαι για ποιο site αναφέρεσαι;

[adiS]

Το περασα, με το drop κανονα δευτερο. Εσυ? Port scanners εχει και online για να μη κατεβαζετε ασκοπα.

Και εδω εχω και το δικο μου firewall........

Κώδικας:

/ip firewall filter
add action=accept chain=input comment="Accept Input Established Related" connection-state=established,related
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid
add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge
add action=drop chain=input comment="Drop everything else Input"
add action=accept chain=forward comment="Accept forward Established Related" connection-state=established,related
add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge
add action=drop chain=forward comment="Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat

Κώδικας:

/ip firewall raw
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______Add Port scanners to list" protocol=tcp psd=21,3s,3,1 time=0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=prerouting comment="______NMAP NULL scan" protocol=tcp psd=21,3s,3,1 tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=prerouting comment="______Drop Port scanners from list" src-address-list="Port Scanners"
add action=jump chain=prerouting comment=______ddos_Protection jump-target=block-ddos protocol=tcp tcp-flags=syn
add action=drop chain=prerouting dst-address-list=ddosed src-address-list=ddoser
add action=return chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m chain=block-ddos
add action=add-src-to-address-list address-list=ddoser address-list-timeout=10m chain=block-ddos
add action=jump chain=prerouting comment="______Make jumps to ICMP chains" jump-target=icmp protocol=icmp
add action=accept chain=icmp comment="______Echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="______Net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="______Host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="______Host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="______Allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="______Allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="______Allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="______Allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="______Deny all other ICMP types"
add action=drop chain=prerouting comment="______Blocked Ports TCP" port=0,20,21,22,23,67-69,161-162,135-139,444-445,1080,1900 protocol=tcp
add action=drop chain=prerouting comment="______Blocked Ports UDP" port=0,20,21,22,23,161-162,135-139,444-445,1080,1900 protocol=udp

To firewall ειναι γενικο και μπορει να το βαλει οποιοσδηποτε, θελει μονο μια προσοχη στους 2 τελευταιους κανονες στο RAW που εκτος απο καποια security malware ports κλεινω και ολες τις υπηρεσιες, οποτε οποιος χρησιμοποιει καποιο απο τα ftp, telnet, ssh καλο ειναι να βγαλει τη πορτα απο τη λιστα.

έχω ένα πρόβλημα ως τελείως άσχετος που είμαι έκανα copy paste το firewall σου. Έχω το εξής θέμα όμως, το δεύτερο μου pc το έχω για τορρεντς. Μόλις ανοίγω το μτορρεντ βάζει την ip του pc σε address list με την αιτιολογία port scan.
Το αποτέλεσμα φυσικά είναι ότι δεν έχει καθόλου internet το pc.

Τι μπορώ να κάνω?

[deniSun]

έχω ένα πρόβλημα ως τελείως άσχετος που είμαι έκανα copy paste το firewall σου. Έχω το εξής θέμα όμως, το δεύτερο μου pc το έχω για τορρεντς. Μόλις ανοίγω το μτορρεντ βάζει την ip του pc σε address list με την αιτιολογία port scan.
Το αποτέλεσμα φυσικά είναι ότι δεν έχει καθόλου internet το pc.

Τι μπορώ να κάνω?

Πολύ λογικό να σου συμβεί κάποια στιγμή.
Το συγκεκριμένο fw θέλει προσοχή, αφού ελέγχει όλη την κίνηση (εισερχόμενη και εξερχόμενη).
Προσωπικά θεωρώ ότι ένα home/office δίκτυο ΔΕΝ χρειάζεται έλεγχο της εισερχόμενης κίνησης.
Θεωρείς ότι όλα σου τα μηχανήματα είναι οκ και ότι το παιδί σου, η γκόμενα ή ο προϊστάμενος δεν προβούν σε κάποια επίθεση στο ΜΤ.
Αντιθέτως είναι χρήσιμο σε ένα ξένο περιβάλλον πχ καφετέρια όπου δεν ξέρεις ποιος θα κουμπώσει πάνω του και τι θα κάνει.

[macro]

έχω ένα πρόβλημα ως τελείως άσχετος που είμαι έκανα copy paste το firewall σου. Έχω το εξής θέμα όμως, το δεύτερο μου pc το έχω για τορρεντς. Μόλις ανοίγω το μτορρεντ βάζει την ip του pc σε address list με την αιτιολογία port scan.
Το αποτέλεσμα φυσικά είναι ότι δεν έχει καθόλου internet το pc.

Τι μπορώ να κάνω?

Φιλε ποσταρα στη προηγουμενη σελιδα ολο το firewall που δουλευει κανονικα.

[deniSun]

Φιλε ποσταρα στη προηγουμενη σελιδα ολο το firewall που δουλευει κανονικα.

Δεν είπε ότι δεν δουλεύει.
Είπε ότι του πέταξε εσωτερική ΙΡ στην block list.

[adiS]

Πολύ λογικό να σου συμβεί κάποια στιγμή.
Το συγκεκριμένο fw θέλει προσοχή, αφού ελέγχει όλη την κίνηση (εισερχόμενη και εξερχόμενη).
Προσωπικά θεωρώ ότι ένα home/office δίκτυο ΔΕΝ χρειάζεται έλεγχο της εισερχόμενης κίνησης.
Θεωρείς ότι όλα σου τα μηχανήματα είναι οκ και ότι το παιδί σου, η γκόμενα ή ο προϊστάμενος δεν προβούν σε κάποια επίθεση στο ΜΤ.
Αντιθέτως είναι χρήσιμο σε ένα ξένο περιβάλλον πχ καφετέρια όπου δεν ξέρεις ποιος θα κουμπώσει πάνω του και τι θα κάνει.

συμφωνώ μαζί σου ότι στο σπίτι δεν υπάρχει λόγος να γίνεται έλεγχος εσωτερικά. Έχω ετοιμάσει και το δικό σου που αν θυμάμαι καλά δεν έχει έλεγχο, μόνο και μόνο για να καταλάβω τι παίζει με τα fw και το routeros.

Φιλε ποσταρα στη προηγουμενη σελιδα ολο το firewall που δουλευει κανονικα.

οκ τώρα θα το δοκιμάσω.

Ευχαριστώ και τους δύο που μοιράζεστε μαζί μας το τι έχετε φτιάξει για εμάς τους άσχετους.

[deniSun]

συμφωνώ μαζί σου ότι στο σπίτι δεν υπάρχει λόγος να γίνεται έλεγχος εσωτερικά. Έχω ετοιμάσει και το δικό σου που αν θυμάμαι καλά δεν έχει έλεγχο, μόνο και μόνο για να καταλάβω τι παίζει με τα fw και το routeros.



οκ τώρα θα το δοκιμάσω.

Ευχαριστώ και τους δύο που μοιράζεστε μαζί μας το τι έχετε φτιάξει για εμάς τους άσχετους.

Έχω κάνει διορθώσεις/βελτιώσεις στο δικό μου.

[BillyVan]

Τώρα θα πεταχτώ σαν την π0ρδή αχαχα και θα πω κατι ασχετο σχετικό.....

Γιατι δεν βάζετε στην υπογραφή ένα λινκ στο ποστ του τελευταίου firewall με τις διορθώσεις που του κάνετε?

Θα μας γλιτώσετε απ το πάνε ελα στις σελίδες.

Και το λέω σεβόμενος τον χρόνο που τρώει κάποιος να ανεβάσει εδω κάτι για να βοηθησει τους υπολοιπους.

Αλλά θα βοηθούσε και πολλούς μεταξυ των οποίων κι εμενα οταν θέλουμε να βρούμε κάτι στα γρήγορα.

Ευχαριστώ.

[adiS]

Έχω κάνει διορθώσεις/βελτιώσεις στο δικό μου.

θα ήθελες να το ανεβάσεις? Ο λαός το ζητάει

[deniSun]

θα ήθελες να το ανεβάσεις? Ο λαός το ζητάει

Spoiler:

Κώδικας:

/ip firewall filter
add action=jump chain=input comment="Check all PPP" in-interface=pppoe-out1 \
    jump-target=ppp-in
add action=drop chain=ppp-in comment="Drop invalid connections" \
    connection-state=invalid
add action=accept chain=ppp-in comment="Accept established connections" \
    connection-state=established
add action=accept chain=ppp-in comment="Accept raw ICMP" protocol=icmp
add action=accept chain=ppp-in comment="Accept VPN" dst-port=1194 protocol=\
    tcp
add action=accept chain=ppp-in dst-port=500,1701,4500 protocol=udp
add action=drop chain=ppp-in comment="Drop all others"

/ip firewall raw
add action=jump chain=prerouting comment="Check all PPP" in-interface=\
    pppoe-out1 jump-target=ppp-in src-address-list=!BlockedAddress
add action=jump chain=ppp-in comment="Check ICMP" jump-target=icmp limit=\
    1k,100:packet protocol=icmp
add action=accept chain=icmp comment="______Accept  echo reply (no code)" \
    icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment=\
    "______Accept  destination (net) unreachable" icmp-options=3:0 protocol=\
    icmp
add action=accept chain=icmp comment=\
    "______Accept  destination (host) unreachable" icmp-options=3:1 protocol=\
    icmp
add action=accept chain=icmp comment=\
    "______Accept  destination (fragmentation required) unreachable " \
    icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="______Accept  source quench (no code)" \
    icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="______Accept  echo request" \
    icmp-options=8:0-255 protocol=icmp
add action=accept chain=icmp comment="______Accept  time (limit) exceed" \
    icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment=\
    "______Accept  parameter (header) problem" icmp-options=12:0 protocol=\
    icmp
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=icmp comment="______Block all others icmp" \
    log=yes
add action=jump chain=ppp-in comment="Check TCP" jump-target=tcp protocol=tcp
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block port scan" log=yes \
    protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment=\
    "______Block NMAP FIN Stealth scan" log=yes protocol=tcp tcp-flags=\
    fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block SYN/FIN scan" log=\
    yes protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block SYN/RST scan" log=\
    yes protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block FIN/PSH/URG scan" \
    log=yes protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block ALL/ALL scan" log=\
    yes protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block NMAP NULL scan" \
    log=yes protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=prerouting comment="Drop BlockedAddress" in-interface=\
    pppoe-out1 src-address-list=BlockedAddress

Οι δύο δηλώσεις για VPN (Openvpn, L2TP) μπορούν είτε να παραληφθούν είτε να προσαρμοστούν ανάλογα με τα port forward (εάν χρησιμοποιείτε τέτοια)

[adiS]

Spoiler:

Κώδικας:

/ip firewall filter
add action=jump chain=input comment="Check all PPP" in-interface=pppoe-out1 \
    jump-target=ppp-in
add action=drop chain=ppp-in comment="Drop invalid connections" \
    connection-state=invalid
add action=accept chain=ppp-in comment="Accept established connections" \
    connection-state=established
add action=accept chain=ppp-in comment="Accept raw ICMP" protocol=icmp
add action=accept chain=ppp-in comment="Accept VPN" dst-port=1194 protocol=\
    tcp
add action=accept chain=ppp-in dst-port=500,1701,4500 protocol=udp
add action=drop chain=ppp-in comment="Drop all others"

/ip firewall raw
add action=jump chain=prerouting comment="Check all PPP" in-interface=\
    pppoe-out1 jump-target=ppp-in src-address-list=!BlockedAddress
add action=jump chain=ppp-in comment="Check ICMP" jump-target=icmp limit=\
    1k,100:packet protocol=icmp
add action=accept chain=icmp comment="______Accept  echo reply (no code)" \
    icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment=\
    "______Accept  destination (net) unreachable" icmp-options=3:0 protocol=\
    icmp
add action=accept chain=icmp comment=\
    "______Accept  destination (host) unreachable" icmp-options=3:1 protocol=\
    icmp
add action=accept chain=icmp comment=\
    "______Accept  destination (fragmentation required) unreachable " \
    icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="______Accept  source quench (no code)" \
    icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="______Accept  echo request" \
    icmp-options=8:0-255 protocol=icmp
add action=accept chain=icmp comment="______Accept  time (limit) exceed" \
    icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment=\
    "______Accept  parameter (header) problem" icmp-options=12:0 protocol=\
    icmp
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=icmp comment="______Block all others icmp" \
    log=yes
add action=jump chain=ppp-in comment="Check TCP" jump-target=tcp protocol=tcp
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block port scan" log=yes \
    protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment=\
    "______Block NMAP FIN Stealth scan" log=yes protocol=tcp tcp-flags=\
    fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block SYN/FIN scan" log=\
    yes protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block SYN/RST scan" log=\
    yes protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block FIN/PSH/URG scan" \
    log=yes protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block ALL/ALL scan" log=\
    yes protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block NMAP NULL scan" \
    log=yes protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=prerouting comment="Drop BlockedAddress" in-interface=\
    pppoe-out1 src-address-list=BlockedAddress

Οι δύο δηλώσεις για VPN (Openvpn, L2TP) μπορούν είτε να παραληφθούν είτε να προσαρμοστούν ανάλογα με τα port forward (εάν χρησιμοποιείτε τέτοια)

ευχαριστούμε

[deniSun]

ευχαριστούμε

Δεν κάνει τίποτε.

[jkarabas]

έχω ένα πρόβλημα ως τελείως άσχετος που είμαι έκανα copy paste το firewall σου. Έχω το εξής θέμα όμως, το δεύτερο μου pc το έχω για τορρεντς. Μόλις ανοίγω το μτορρεντ βάζει την ip του pc σε address list με την αιτιολογία port scan.
Το αποτέλεσμα φυσικά είναι ότι δεν έχει καθόλου internet το pc.

Τι μπορώ να κάνω?

Μήπως τελικά είναι αυτό που είχα προαναφέρει σε Post μου στη προηγούμενη σελίδα. Αν περάσεις in-interface στους κανόνες του port scanners το pppoe-out, τότε είσαι μια χαρά.

- - - Updated - - -

Spoiler:

Κώδικας:

/ip firewall filter
add action=jump chain=input comment="Check all PPP" in-interface=pppoe-out1 \
    jump-target=ppp-in
add action=drop chain=ppp-in comment="Drop invalid connections" \
    connection-state=invalid
add action=accept chain=ppp-in comment="Accept established connections" \
    connection-state=established
add action=accept chain=ppp-in comment="Accept raw ICMP" protocol=icmp
add action=accept chain=ppp-in comment="Accept VPN" dst-port=1194 protocol=\
    tcp
add action=accept chain=ppp-in dst-port=500,1701,4500 protocol=udp
add action=drop chain=ppp-in comment="Drop all others"

/ip firewall raw
add action=jump chain=prerouting comment="Check all PPP" in-interface=\
    pppoe-out1 jump-target=ppp-in src-address-list=!BlockedAddress
add action=jump chain=ppp-in comment="Check ICMP" jump-target=icmp limit=\
    1k,100:packet protocol=icmp
add action=accept chain=icmp comment="______Accept  echo reply (no code)" \
    icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment=\
    "______Accept  destination (net) unreachable" icmp-options=3:0 protocol=\
    icmp
add action=accept chain=icmp comment=\
    "______Accept  destination (host) unreachable" icmp-options=3:1 protocol=\
    icmp
add action=accept chain=icmp comment=\
    "______Accept  destination (fragmentation required) unreachable " \
    icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="______Accept  source quench (no code)" \
    icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="______Accept  echo request" \
    icmp-options=8:0-255 protocol=icmp
add action=accept chain=icmp comment="______Accept  time (limit) exceed" \
    icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment=\
    "______Accept  parameter (header) problem" icmp-options=12:0 protocol=\
    icmp
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=icmp comment="______Block all others icmp" \
    log=yes
add action=jump chain=ppp-in comment="Check TCP" jump-target=tcp protocol=tcp
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block port scan" log=yes \
    protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment=\
    "______Block NMAP FIN Stealth scan" log=yes protocol=tcp tcp-flags=\
    fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block SYN/FIN scan" log=\
    yes protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block SYN/RST scan" log=\
    yes protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block FIN/PSH/URG scan" \
    log=yes protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block ALL/ALL scan" log=\
    yes protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=BlockedAddress \
    address-list-timeout=2w chain=tcp comment="______Block NMAP NULL scan" \
    log=yes protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=prerouting comment="Drop BlockedAddress" in-interface=\
    pppoe-out1 src-address-list=BlockedAddress

Οι δύο δηλώσεις για VPN (Openvpn, L2TP) μπορούν είτε να παραληφθούν είτε να προσαρμοστούν ανάλογα με τα port forward (εάν χρησιμοποιείτε τέτοια)

Deni καλημέρα, σε παρακαλώ μόνο να τους διευκρινίζεις ότι στον κανόνα σου τον τελευταίο add action=drop chain=ppp-in comment="Drop all others" σου κόβει και το ΝΑΤ σου, διότι κάποιοι μπορεί να έχουν κανόνες και εκεί.

[RpMz]

@adiS
Στο rule που ξεκινάει το Port scan βάλε την IP του υπολογιστή σου, με ένα θαυμαστικό μπροστά.

[jkarabas]

@adiS
Στο rule που ξεκινάει το Port scan βάλε την IP του υπολογιστή σου, με ένα θαυμαστικό μπροστά.

Αυτό όμως δεν λύνει για πάντα το πρόβλημα. Αν για κάποιο λόγο αλλάξει η ip του για διάφορους λόγους πάλι θα συμβεί.
Με τη mac είναι ποιο σίγουρο, αλλά σε περίπτωση αλλαγής hardware πρέπει να το ξαναλλάξει.