Mikrotik IPv4/IPv6 firewall

[dalex]

Δεν γλυτωνει τιποτε, αφου ολα τα μη-new θα εγκρινονται παραπανω...

Αλλα ειθισται (παλιο καταλοιπο απο την εποχη που η RAM ηταν ακριβη και δυσευρετη) να μην βαζουμε new και να τα περναμε ολα. Αυτο γιατι αν εχει γεμισει το state machine δεν θελουμε να κοψουμε την συνδεση που θα προσπερασει τον κανονα established, και πρεπει μετα να ξανα-αρχικοποιηθει με νεα συνδεση (new).

Σημειωση: Θα πνιγεις με ολα αυτα τα logs! Για τη φαση του debug, καλυτερα να προσθεσεις ενα κανονα log πριν το drop (ειδωλό του), με Extra - Limit 1/min, Burst = 2 . Τον απενεργοποιεις οταν ολα πανε καλα, τον ενεργοποιεις ξανα οταν χρειαστει. Εγω σε καθε αλυσιδα εχω εναν τετοιο με τα σχολιά του πριν το drop.

[unemployed_ghost]

Σας ευχαριστώ για τις απαντήσεις σας.

Ουσιαστικά αυτό που ήθελα να πετύχω είναι όλα τα vlan να μην επικοινωνούν μεταξύ τους, αλλά να έχουν πρόσβαση στο internet.

Για τα log έχετε δίκιο, τα έβαλα καθαρά μέχρι να δω αν δουλεύουν όλα καλά (δια debug) μετά θα τα αφαιρέσω. Έτσι κι αλλιώς δεν με ενδιαφέρει να καταγράφω εσωτερικό traffic.

To log που σκέφτομαι να αφήσω είναι μόνο στο drop everything else στο τέλος.

EDIT: τώρα είδα αυτό με log κανόνα. Πολύ ωραίο μου ακούγεται.
Δηλαδή θα το βάλω πρίν το τελευταίο μου drop everything else???

[dalex]

Σας ευχαριστώ για τις απαντήσεις σας.

Ουσιαστικά αυτό που ήθελα να πετύχω είναι όλα τα vlan να μην επικοινωνούν μεταξύ τους, αλλά να έχουν πρόσβαση στο internet.

Για τα log έχετε δίκιο, τα έβαλα καθαρά μέχρι να δω αν δουλεύουν όλα καλά (δια debug) μετά θα τα αφαιρέσω. Έτσι κι αλλιώς δεν με ενδιαφέρει να καταγράφω εσωτερικό traffic.

To log που σκέφτομαι να αφήσω είναι μόνο στο drop everything else στο τέλος.

EDIT: τώρα είδα αυτό με log κανόνα. Πολύ ωραίο μου ακούγεται.
Δηλαδή θα το βάλω πρίν το τελευταίο μου drop everything else???

Ακριβως, θα κανεις copy οποιο(α) drop θελεις, και αντι για drop θα βαλεις action log, με τη παραμετρο limit για να μην εχεις πλημμυρα. Μετα το ανεβαζεις ακριβως πανω απο το drop. Οποτε το βαρεθεις θα το απενεργοποιησεις (γκριζο).

Το ιδιο μπορεις να κανεις σε οποιοδηποτε κανονα, accept, nat, mangle, κλπ. Και μπορεις να προσθετεις και εξειδικευμενα σχολια.

[unemployed_ghost]

Αφού τελείωσα προς το παρόν με τις Forward και Input Chains, άρχισα να κοιτάζω την output chain για firewall rules.
υπάρχει κάποιο template να ξεκινήσω απο εκεί;

Για αρχή έβαλα DNS, NTP, Mikrotik Cloud κίνηση σε allow και drop everything else, αλλά με το που έκανα enable το drop everything else κόπηκε το δίκτυο απο όλες τις συσκευές που είναι συνδεδεμένες πάνω του(εσωτερικό και εξωτερικό) και μπήκα στο router μόνο με την MAC address για δεν μπορούσα αλλιώς.
Τί κάνω λάθος;

Υ.Γ. Η ιδέα αυτή μου ήρθε κοιτώντας το demo ROS και βλέποντας μέσω terminal τα rules του. Έχει κάποια ωραία rules π.χ. για ιούς που εφάρμοσα και στο δικό μου.

- - - Updated - - -

Το έλυσα μόνος μου, είχα ξεχάσει να βάλω κανόνα για τα established , related.

Ωστόσο επειδή κάνω debug βλέπω κίνηση στην (output) udp 1900 απο την IP μου (τυχαία πόρτα) προς την 239.255.255.250:1900 κάθε λίγη ώρα
Upnp έχω κλειστό. τί μπορεί να είναι αυτό;

[dalex]

Αφού τελείωσα προς το παρόν με τις Forward και Input Chains, άρχισα να κοιτάζω την output chain για firewall rules.
υπάρχει κάποιο template να ξεκινήσω απο εκεί;

Για αρχή έβαλα DNS, NTP, Mikrotik Cloud κίνηση σε allow και drop everything else, αλλά με το που έκανα enable το drop everything else κόπηκε το δίκτυο απο όλες τις συσκευές που είναι συνδεδεμένες πάνω του(εσωτερικό και εξωτερικό) και μπήκα στο router μόνο με την MAC address για δεν μπορούσα αλλιώς.
Τί κάνω λάθος;

Υ.Γ. Η ιδέα αυτή μου ήρθε κοιτώντας το demo ROS και βλέποντας μέσω terminal τα rules του. Έχει κάποια ωραία rules π.χ. για ιούς που εφάρμοσα και στο δικό μου.

- - - Updated - - -

Το έλυσα μόνος μου, είχα ξεχάσει να βάλω κανόνα accept established , related.

Ωστόσο επειδή κάνω debug βλέπω κίνηση στην (output) udp 1900 απο την IP μου (τυχαία πόρτα) προς την 239.255.255.250:1900 κάθε λίγη ώρα
Upnp έχω κλειστό. τί μπορεί να είναι αυτό;

ΔΕΝ κοβουμε την Output! Μια - δυο εξαιρεσεις (που κοβω εγω):

1- Κοβω οτι φευγει για WANs, και εχει σαν destination address τα 192.168.0.0/16 και 10.0.0.0/8 (αυτονοητο).

2- Κοβω οτι φευγει για WANs, στα πρωτοκολλα της samba (udp 135-139, tcp 445) .

[atux_null]

καλημέρα κ καλή εβδομάδα. έχω το https://www.adslgr.com/forum/threads...94#post6888194 και έχω παρατηρήσει ότι έχω θέμα με youtube & viber.
Στο youtube μετά από κανένα τεταρτο χρήσης, αρχίζει κ ψιλοκολλάει.
στο viber όταν πάω να στείλω μια εικόνα (ακόμη και 100ΚΒ) κάνει κανένα 10 λεπτο που φορτώνει μέχρι να πάει. συχνά δεν μου τα στέλνει κι όλα. εκείνη τη στιγμή, αν συνδεθώ σε άλλο wifi που έχει πχ μόνο router Cosmote, ή μπω στο 4G όλα δουλεύουν ρολόι.

έχει κανείς καμιά ιδέα τι μπορεί να συμβαίνει?

[macro]

Σα προβλημα γραμμης, driver ή κατι αλλο ακουγεται αυτο. Το firewall ή θα σε κοψει απο την αρχη ή θα σε αφησει απο την αρχη και θα παιζεις κανονικα μετα. Εσενα τι σε παραπεμπει οτι ειναι firewall και ποσταρες εδω το προβλημα σου?

[atux_null]

κατεβάζοντας το firewall, παίζει μια χαρά.

[macro]

E βγαλτο τοτε και βαλε το default της ΜΤ.

[romankonis]

Πως μπορώ να έχω πρόσβαση απο Mikrotik (Router Mode + pppoe) στο Speedport (Cosmote - Modem - Bridge mode) ? Συνδεσμολογία: Mikrotik ether1 (wan) 192.168.1.0/24 -> Speedport ether2 192.168.2.0/24 (DHCP off). Κάποτε, το είχα κάνει, αλλά δεν θυμαμαι πως το έκανα))

[deniSun]

Νομίζω ότι πλέον από την ίδια θύρα που συνδέεις speed <> MT δεν γίνεται.
Πρέπει να κάνεις δεύτερη σύνδεση με routing, nat

[dalex]

Πως μπορώ να έχω πρόσβαση απο Mikrotik (Router Mode + pppoe) στο Speedport (Cosmote - Modem - Bridge mode) ? Συνδεσμολογία: Mikrotik ether1 (wan) 192.168.1.0/24 -> Speedport ether2 192.168.2.0/24 (DHCP off). Κάποτε, το είχα κάνει, αλλά δεν θυμαμαι πως το έκανα))

Simple NAT (masqurade to ETH1).

[BillyVan]

Με το Plus οσο και να το παλεψα δεν τα καταφερα (απ την ιδια πορτα)

Με το εντρυ επαιζε μια χαρα.

Με το Zte 1600 επισης δεν τα καταφερα.

Εβαλα 2 καλωδιο και τελειωσα.

[RpMz]

Αυτό που είπε ο dalex.

Παίζει με οποιοδήποτε router.

[dalex]

Αυτό που είπε ο dalex.

Παίζει με οποιοδήποτε router.

Ναι αλλα εξαρταται απο το λειτουργικο που το προσπελαυνεις με καποιο περιεργο τροπο που δεν εχω καταλαβει! Ας πουμε στο σπιτι μου πισω απο το speedport ειχα ενα Pfsense, και ΠΟΤΕ δεν τα καταφερα. To Pfsense το εβλεπε κανονικα (ping) αλλα απο πισω τιποτα! Χρησιμοποιουσα ενα tablet στο wifi του modem για να το δω. Με ΜΤ απο πισω ολα καλα.