Mikrotik IPv4/IPv6 firewall

[gkal66]

Αν δεν πάθεις δε θα μάθεις. Κατάφερα να κλειδωθώ απ'εξω με κατά λάθος drag and drop ενός κανόνα (drop all).

Του έκανα reboot πατώντας το πλαϊνό κουμπί μέχρι που άκουσα το πρώτο μπιπ και ως δια μαγείας με άφησε να συνδεθώ. Κάποιοι κανόνες ήταν σαν απενεργοποιημένοι, οπότε τα τακτοποίησα όλα και γλύτωσα τα βάσανα.

Είναι κάποια λειτουργία ή στάθηκα τυχερός;

[Nikiforos]

Σωστά αυτά που λες.
Αλλά αφορούν μόνο όσους έχουν ανοικτές τις ανάλογες υπηρεσίες προς τα έξω.
Γενικά... οτιδήποτε αφήνεις ανοικτό από έξω θα πρέπει να το προστατεύεις (ssh, telent, winbox κλπ).

Ακριβως αυτο ειπα και εγω, εχω γραψει τι αφορουν, οπως ειχα γραψει και σε προηγουμενο ποστ οτι καλο ειναι να εχουμε καλο και αξιοπιστο VPN και να κανουμε ετσι την δουλεια μας, και οχι να ανοιγουμε ολες τις υπηρεσιες προς το ιντερνετ.
Εγω ακομα και τον αστερισκ δεν τον βγαζω στο ιντερνετ απο τα openvpn περναω.
και αυτοι ειναι και μερικοι απο τους λογους πως το καθε firewall δεν κανει σε ολους, εκτος ισως απο μερικους γενικους κανονες και παλι αναλογα το setup του καθενος.
Κατι που εχουμε πει οτι ισχυει και για το QoS αν και ασχετο επι του παροντος θεματος, απλα εχουν αυτο το κοινο γνωρισμα. Οτι δεν ειναι τα ιδια για ολους δλδ!

Αν δεν πάθεις δε θα μάθεις. Κατάφερα να κλειδωθώ απ'εξω με κατά λάθος drag and drop ενός κανόνα (drop all).
Του έκανα reboot πατώντας το πλαϊνό κουμπί μέχρι που άκουσα το πρώτο μπιπ και ως δια μαγείας με άφησε να συνδεθώ. Κάποιοι κανόνες ήταν σαν απενεργοποιημένοι, οπότε τα τακτοποίησα όλα και γλύτωσα τα βάσανα.
Είναι κάποια λειτουργία ή στάθηκα τυχερός;

Δεν ησουνα τοπικα? δλδ στο ιδιο μερος με το μηχανημα?

[gkal66]

Ναι ήμουν τοπικά, λες για αυτό με άφησε επειδή έγινε μέσω mac η επικοινωνία;

[Nikiforos]

Ναι ήμουν τοπικά, λες για αυτό με άφησε επειδή έγινε μέσω mac η επικοινωνία;

εφοσον εισαι τοπικα οτι και να γινει μπορεις να μπεις με mac, εκτος αν εχει κολλησει πολυ ασχημα το μηχανημα, το εχω παθει....και να θελει ιστοριες με netinstall μετα κτλ.
μπορεις να μπεις με mac απο winbox χωρις να κανεις καν καποιο reset.

[gkal66]

Έτσι κατάλαβα και εγώ ότι τη γλύτωσα.

[deniSun]

Γι αυτό καλό είναι πάντα να κάνετε login από winbox με mac.

[kostas2911]

Επίσης μια καλή επιλογή είναι το safe mode ειδικά όταν δεν είμαστε απολύτως σίγουροι για την αλλαγή που κάνουμε.
Κατά την άποψή μου επιβάλλετε η χρήση του όταν δουλεύουμε απομακρυσμένα.

[Nikiforos]

Επίσης μια καλή επιλογή είναι το safe mode ειδικά όταν δεν είμαστε απολύτως σίγουροι για την αλλαγή που κάνουμε.
Κατά την άποψή μου επιβάλλετε η χρήση του όταν δουλεύουμε απομακρυσμένα.

καλημερα, εχεις δικιο και εγω δεν το χρησιμοποιω συνηθως και κανω καμια βλακεια πχ σε κανονες ΝΑΤ και ειμαι απομακρυσμενα και μετα πρεπει να παω εκει!
γιαυτο λεω οτι αμα δεν ειμαι εκει αλλαγες δεν κανω τετοιες καλυτερα και ουτε καν αναβαθμισεις, γιατι και αυτο το επαθα και ηθελε netinstall μετα!

[gkal66]

Το σωστό είναι να υπάρχει και ένα backdoor, πχ port knock.

[Nikiforos]

Το σωστό είναι να υπάρχει και ένα backdoor, πχ port knock.

καλησπέρα, τι εννοεις με αυτο? για εξηγησε το δεν σε καταλαβα.

[eliasbats]

καλησπέρα, τι εννοεις με αυτο? για εξηγησε το δεν σε καταλαβα.

https://wiki.mikrotik.com/wiki/Port_Knocking

[macro]

υπερβολικο αυτο, ακομη και για εταιρειες.

[Nikiforos]

Καλημερα, δεν εχω ασχοληθει με αυτο αλλα οπως το βλεπω και εγω, θα συμφωνησω με τον φιλο macro απο πανω, σιγουρα υπερβολικο και ειδικα για ιδιωτικη-οικιακη χρηση.
Αμα κανουμε οτι ειπαμε ειμαστε οχι 100% καλυμμενοι αλλα 1000%.
Ειδικα αν αντι να βγαζεις καθε υπηρεσια του ιδιου του μηχανηματος στο ιντερνετ, δουλευεις απλα με ενα καλο και ασφαλες vpn (openvpn, sstp αντε και l2tp με ipsec ομως).
Τωρα οπως βολευεται ο καθενας φυσικα!

[RyDeR]

Καλησπέρα,

προσπαθώ να κάνω port forward (dst-nat) όμως έχοντας στους κανόνες του fw "drop forward everything else" τότε συνεχίζει να κόβει την πόρτα. Πως θα το ξεπεράσω το κόλλημα;

- - - Updated - - -

Πρόσθεσα στο firwall ενα rule πριν το drop forward anything else και δουλεύει. Συγκεκριμένα action=accept, chain=forward, dst port την εσωτερική πόρτα που ανοίγω (εξωτερική έχω άλλη), και in-interface τα ppp.

Άλλη ερώτηση...:

Για το port forward έχω την διεύθυνση του cloud επειδή συνήθως κοιτάω απο έξω. Όμως μέσα στο δίκτυο όταν είμαι δεν μπορώ να δώ με αυτή τη διεύθυνση και έχω την εσωτερική του. Γίνεται να διορθωθεί και να βλέπω συνέχεια με την διεύθυνση του cloud;

[kostas2911]

Άλλη ερώτηση...:

Για το port forward έχω την διεύθυνση του cloud επειδή συνήθως κοιτάω απο έξω. Όμως μέσα στο δίκτυο όταν είμαι δεν μπορώ να δώ με αυτή τη διεύθυνση και έχω την εσωτερική του. Γίνεται να διορθωθεί και να βλέπω συνέχεια με την διεύθυνση του cloud;

Ναι γίνετε. Ψάξε για hairpin nat