Mikrotik IPv4/IPv6 firewall

[deniSun]

έμ έτσι δουλειά δεν γίνετε... άλλος τρόπος δεν παίζει...?

Όπως είπα... με dns δεν θα βγάλεις άκρη.
Πολύ απλά γιατί κάποια στιγμή μπορεί να βγούνε με ν6 και θα πάψει να δουλεύει.
Αυτό που μπορείς να κάνεις είναι να στείλεις όλο το traffic του πρωτοκόλλου που χρησιμοποιούν εκεί που θέλεις.
Αν δεν κάνω λάθος τα stream παίζουν με rtp.

[xhaos]

έμ έτσι δουλειά δεν γίνετε... άλλος τρόπος δεν παίζει...?

Και όλα τα domain να βάλεις, οι εφαρμογές σχεδόν πάντα έχουν hardcoded ips. Οπότε πχ έχω κομμένο το YouTube στο browser αλλά από το app παίζει κανονικά.

[BillyVan]

Καλημέρα.

Βλέπω στο log αρκετές ip να έρχονται απο Mac Cisco συσκευής και συγκεκριμενα

Jan/14/2020 05:28:20 firewall,info input: in : pppoe-out out : (unknown 0), src-mac 08:96:ad:42:fb:1e, proto UDP, 77.247.110.69:5061->87.202.ΧΧΧ.ΧΧΧ:51340, len 441

Είναι παρα πολλές οι ip με την ιδια mac.

Τις κανει Drop βέβαια ο κανόνας Drop input invalid connections ή ο Drop input everything else αλλα μου κανει εντυπωση και ειπα να σας ρωτησω μηπως εχετε καμια ιδεα.

Ευχαριστώ.

[deniSun]

Σκέψεις για το παρακάτω:

Spoiler:

/ip firewall filter
add action=drop chain=input comment="Drop input invalid connections" \
connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Add port scanners to list" \
in-interface=pppoe-out1 protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
in-interface=pppoe-out1 protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
in-interface=pppoe-out1 protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/RST scan" \
in-interface=pppoe-out1 protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
in-interface=pppoe-out1 protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
in-interface=pppoe-out1 protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
in-interface=pppoe-out1 protocol=tcp tcp-flags=\
!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Drop port scanners from list" \
src-address-list="port scanners"
add action=jump chain=input comment="Check ICMP input" in-interface=\
pppoe-out1 jump-target=icmp limit=5/5s,5acket protocol=icmp
add action=accept chain=icmp comment="______Allow echo request" icmp-options=\
8:0-255 protocol=icmp
add action=drop chain=icmp comment="Drop all other ICMP types"
add action=accept chain=input comment="Accept OpenVPN" dst-port=1194 \
in-interface=pppoe-out1 protocol=tcp
add action=accept chain=input comment=\
"Accept input established, related connections" connection-state=\
established,related
add action=accept chain=input comment="Accept all input from LAN" \
in-interface=!pppoe-out1
add action=drop chain=input comment="Drop input everything else"

Αρχικά να πω ότι η λογική είναι:
1. Χαμηλότερο cpu load σε σχέση με το τελευταίο μου post.
2. Επιτρέπω όλη την εσωτερική κίνηση να βγαίνει προς τα έξω.
3. Μπλοκάρω τα πάντα από έξω προς τα μέσα πλην όσων θέλω να περάσουν (icmp, openvpn).

Εξηγώ το σκεπτικό:
1. Αρχικά κάνω drop όλα τα Invalid απ όπου και αν προέρχονται για να μην με ζαλίζουν.
2. Κάνω accept όλη την κίνηση από το εσωτερικό δίκτυο.
Στην ουσία ο μόνος λόγος που το κάνω είναι για να κρατήσω εκεί όλη την !pppoe ώστε να μην κουβαλάω στους παρακάτω κανόνες το pppoe.
3. Όλη η παρακάτω κίνηση αναφέρεται σε κίνηση από pppoe προς το lan.
4. Ξεκινάω με μπλοκάρισμα σε όλα τα port scanner κλπ για να τα κόψω γρήγορα και να μην απασχολούν τον ρούτερ.
5. Για τον ίδιο λόγο φιλτράρω τα icmp και δέχομαι μόνο τα απαραίτητα.
6. Αφήνω να περάσει η κίνηση για το openvpn αφού πλέον είμαι σίγουρος ότι δεν πρόκειται για port scanner, icmp κλπ.
7. Κάνω accept τα established.
Τα related νομίζω ότι είναι περιττά να τα ελέγξω σε αυτό το σημείο.
8. Οτιδήποτε άλλο πετιέται.

Είναι ελεγμένο και φαίνεται να δουλεύει.
Την άποψή σας...

[RpMz]

Να σε καλά για το μοίρασμα !! Θα το δοκιμάσω και εγώ σε ένα router που σηκώνει cpu.

[puntomania]

Σκέψεις για το παρακάτω:

Αρχικά να πω ότι η λογική είναι:
1. Χαμηλότερο cpu load σε σχέση με το τελευταίο μου post.
2. Επιτρέπω όλη την εσωτερική κίνηση να βγαίνει προς τα έξω.
3. Μπλοκάρω τα πάντα από έξω προς τα μέσα πλην όσων θέλω να περάσουν (icmp, openvpn).

Εξηγώ το σκεπτικό:
1. Αρχικά κάνω drop όλα τα Invalid απ όπου και αν προέρχονται για να μην με ζαλίζουν.
2. Κάνω accept όλη την κίνηση από το εσωτερικό δίκτυο.
Στην ουσία ο μόνος λόγος που το κάνω είναι για να κρατήσω εκεί όλη την !pppoe ώστε να μην κουβαλάω στους παρακάτω κανόνες το pppoe.
3. Όλη η παρακάτω κίνηση αναφέρεται σε κίνηση από pppoe προς το lan.
4. Ξεκινάω με μπλοκάρισμα σε όλα τα port scanner κλπ για να τα κόψω γρήγορα και να μην απασχολούν τον ρούτερ.
5. Για τον ίδιο λόγο φιλτράρω τα icmp και δέχομαι μόνο τα απαραίτητα.
6. Αφήνω να περάσει η κίνηση για το openvpn αφού πλέον είμαι σίγουρος ότι δεν πρόκειται για port scanner, icmp κλπ.
7. Κάνω accept τα established.
Τα related νομίζω ότι είναι περιττά να τα ελέγξω σε αυτό το σημείο.
8. Οτιδήποτε άλλο πετιέται.

Είναι ελεγμένο και φαίνεται να δουλεύει.
Την άποψή σας...

τον κανόνα αυτό add action=accept chain=input comment="Accept OpenVPN" dst-port=1194 in-interface=pppoe-out1 protocol=tcp για να έχεις πρόσβαση στο vpn.... και αν θέλαμε πχ και το winbox θα κάναμε ακόμα ενα με την 8291 σωστά.

οταν έχουμε κανόνες στο ΝΑΤ για pf.... περνάνε χωρίς να βάλουμε κάτι στο filter σωστά?

- - - Updated - - -

το έβαλα έτσι...

WAN= pppoe-1 & pppoe-2 & pppoe-3 & wan4 (speedbooster)


add action=drop chain=forward dst-address-list=PBX-Voip-Providers out-interface-list=Wan-Voip
add action=drop chain=input comment="Drop input invalid connections" connection-state=invalid
add action=accept chain=input comment="Accept all input from LAN" in-interface-list=!WAN
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop Port scanners" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=accept chain=icmp comment="______Accept echo request" icmp-options=8:0-255 protocol=icmp
add action=drop chain=icmp comment="Drop all other ICMP types"
add action=accept chain=input comment="Accept SSTP" dst-port=45548 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Accept OVPN" dst-port=39547 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Accept input established connections" connection-state=established
add action=drop chain=input comment="Drop input everything else"


/ip firewall nat
add action=dst-nat chain=dstnat log=yes port=43752 protocol=udp to-addresses=192.168.0.12 to-ports=15835 comment= ovpn-nas
add action=dst-nat chain=dstnat log=yes port=27135 protocol=tcp to-addresses=192.168.0.10 to-ports=5060 comment= pbx

[deniSun]

τον κανόνα αυτό add action=accept chain=input comment="Accept OpenVPN" dst-port=1194 in-interface=pppoe-out1 protocol=tcp για να έχεις πρόσβαση στο vpn.... και αν θέλαμε πχ και το winbox θα κάναμε ακόμα ενα με την 8291 σωστά.

οταν έχουμε κανόνες στο ΝΑΤ για pf.... περνάνε χωρίς να βάλουμε κάτι στο filter σωστά?

- - - Updated - - -

το έβαλα έτσι...

WAN= pppoe-1 & pppoe-2 & pppoe-3 & wan4 (speedbooster)


add action=drop chain=forward dst-address-list=PBX-Voip-Providers out-interface-list=Wan-Voip
add action=drop chain=input comment="Drop input invalid connections" connection-state=invalid
add action=accept chain=input comment="Accept all input from LAN" in-interface-list=!WAN
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop Port scanners" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Drop NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=accept chain=icmp comment="______Accept echo request" icmp-options=8:0-255 protocol=icmp
add action=drop chain=icmp comment="Drop all other ICMP types"
add action=accept chain=input comment="Accept SSTP" dst-port=45548 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Accept OVPN" dst-port=39547 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Accept input established connections" connection-state=established
add action=drop chain=input comment="Drop input everything else"


/ip firewall nat
add action=dst-nat chain=dstnat log=yes port=43752 protocol=udp to-addresses=192.168.0.12 to-ports=15835 comment= ovpn-nas
add action=dst-nat chain=dstnat log=yes port=27135 protocol=tcp to-addresses=192.168.0.10 to-ports=5060 comment= pbx

Αν θέλεις και άλλα pf τα προσθέτεις στο σημείο που έχω το openvpn.
Το pf θα πρέπει να γίνει αρχικά σε επίπεδο fw.
Εξαρτάται βέβαια και το πώς το έχεις στημένο (τι αφήνεις να περάσει).

Το forward για το pbx... γιατί;
Δε χρειάζεται.

Το accept για το lan αν το βάλεις εκεί επάνω... στο established δεν θα μαζεύεις τίποτε.
Βάλε το κάτω από το established.

[puntomania]

Αν θέλεις και άλλα pf τα προσθέτεις στο σημείο που έχω το openvpn.
Το pf θα πρέπει να γίνει αρχικά σε επίπεδο fw.
Εξαρτάται βέβαια και το πώς το έχεις στημένο (τι αφήνεις να περάσει).

Το forward για το pbx... γιατί;
Δε χρειάζεται.

Το accept για το lan αν το βάλεις εκεί επάνω... στο established δεν θα μαζεύεις τίποτε.
Βάλε το κάτω από το established.

οπότε μετα το drop του icmp

βάζουμε ποιες πόρτες θέλουμε να περνάνε

μετά το established

μετά το accept για το lan

και τέλος το drop

[deniSun]

οπότε μετα το drop του icmp

βάζουμε ποιες πόρτες θέλουμε να περνάνε

μετά το established

μετά το accept για το lan

και τέλος το drop

Έτσι το έχω πλέον.

[puntomania]

οπότε έτσι θα πρέπει να ειναι οκ...

/ip firewall filter
add action=drop chain=input comment="Drop input invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface-list=WAN protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" in-interface-list=WAN protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" in-interface-list=WAN protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" in-interface-list=WAN protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" in-interface-list=WAN protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" in-interface-list=WAN protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Drop port scanners from list" src-address-list="port scanners"
add action=accept chain=icmp comment="______Allow echo request" icmp-options=8:0-255 protocol=icmp
add action=drop chain=icmp comment="Drop all other ICMP types"
add action=drop chain=forward dst-address-list=PBX-Voip-Providers out-interface-list=WAN
add action=accept chain=input comment=SSTP dst-port=32619 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related
add action=accept chain=input comment="Accept all input from LAN" in-interface-list=!WAN
add action=drop chain=input



για το pf δεν θέλει κανόνα στο filter...περνά η κίνηση!!!

/ip firewall nat
add action=dst-nat chain=dstnat log=yes port=43752 protocol=udp to-addresses=192.168.0.12 to-ports=15835 comment= ovpn-nas
add action=dst-nat chain=dstnat log=yes port=27135 protocol=tcp to-addresses=192.168.0.10 to-ports=5060 comment= pbx

[deniSun]

οκ... κατάλαβα τι λες.

Το SSTP το χρησιμοποιείς μόνο για να έχεις πρόσβαση στο εσωτερικό σου δίκτυο ή και για να βγαίνεις από έξω με την wan του ΜΤ;

Επίσης δεν μου είπες τι το χρειάζεσαι το forward για το pbx.

[puntomania]

οκ... κατάλαβα τι λες.

Το SSTP το χρησιμοποιείς μόνο για να έχεις πρόσβαση στο εσωτερικό σου δίκτυο ή και για να βγαίνεις από έξω με την wan του ΜΤ;

Επίσης δεν μου είπες τι το χρειάζεσαι το forward για το pbx.

έχω μερικά απομακρυσμένα μικροτικ που συνδέονται σε μένα.

το forward το θέλω Α για μερικά voip-extension που εχω και Β για τον ovpn server που έχω στο NAS μου.

για να σε προλάβω...το fail2ban στο pbx (ucm6202) που το δοκίμασα με λάθος κωδικούς...δρα και μπλοκάρει άμεσα.

[teodor_ch]

delete me

[macro]

Deni στο φορουμ της ΜΤ το εριξες να σου πουν τη γνωμη τους?

Καποιες γνωμες να πω.......

1) Δε συγκεκριμενοποιεις το allow lan, κανονικα θα επρεπε να του οριζεις τη θυρα του LAN (π.χ. bridge) και οχι να του λες καντε οτι θελετε εκτος απο το pppoe.

2) To drop port scanners, οπως ειπωθηκε απο καποιο μελος σε αλλο thread καλο ειναι για λογους performance μιας και παιρνει μερος πριν το connection tracking, να το περασεις απο το raw καθως και αλλα drops αν εχουμε οπως ports, ddos attack κ.λ.π.

3) Οσο για το established related που δεν εχεις καν στο forward νομιζω οτι ειναι τελειως λαθος και θα επρεπε να μπει και πανω απο το icmp check αλλιως εχεις πολλα πεταμενα πακετα. Δες ενα αρθρο.........

Κώδικας:

ESTABLISHED and RELATED are features of "stateful" packet filtering, where filtering does not just depend on a static rule set but also on the context, within which packets are considered. You need ESTABLISHED in order to allow connections to work, and you need RELATED for relevant ICMP messages. Stateful filtering allows to filter more precisely compared to static "stateless" rules.

Let's look at ESTABLISHED first. For instance, consider TCP on port 22. The initiator (client) sends a SYN to serverIPaddr:22. The server returns SYN+ACK to the client. Now it's the client's turn to send an ACK. How should the filtering rule on the server look like, such that only the "matching" ACK is accepted? A general stateless rule would look like

-A INPUT --proto tcp --port 22 -j ACCEPT
which is more liberal than the according stateful rule. The stateless rule allows arbitrary TCP segments, e.g. ACK or FIN without having established a connection first. Port scanners can exploit this kind of behavior for OS fingerprinting.

Now let's have a look at RELATED. This is used for ICMP messages, mostly error messages. For instance, if a packet from the server to the client is dropped, then an error message is sent to the server. This error message is "related" to the previously established connection. Without the RELATED rule one would either need to allow incoming error messages in general (without context), or, as is custom for many sites, drop ICMP altogether and wait for timeouts on the transport layer. (Note that this is a bad idea for IPv6; ICMPv6 plays a more important role for IPv6 than ICMP for IP legacy.)

[deniSun]

Deni στο φορουμ της ΜΤ το εριξες να σου πουν τη γνωμη τους?

Καποιες γνωμες να πω.......

1) Δε συγκεκριμενοποιεις το allow lan, κανονικα θα επρεπε να του οριζεις τη θυρα του LAN (π.χ. bridge) και οχι να του λες καντε οτι θελετε εκτος απο το pppoe.

2) To drop port scanners, οπως ειπωθηκε απο καποιο μελος σε αλλο thread καλο ειναι για λογους performance μιας και παιρνει μερος πριν το connection tracking, να το περασεις απο το raw καθως και αλλα drops αν εχουμε οπως ports, ddos attack κ.λ.π.

3) Οσο για το established related που δεν εχεις καν στο forward νομιζω οτι ειναι τελειως λαθος και θα επρεπε να μπει και πανω απο το icmp check αλλιως εχεις πολλα πεταμενα πακετα. Δες ενα αρθρο.........

Κώδικας:

ESTABLISHED and RELATED are features of "stateful" packet filtering, where filtering does not just depend on a static rule set but also on the context, within which packets are considered. You need ESTABLISHED in order to allow connections to work, and you need RELATED for relevant ICMP messages. Stateful filtering allows to filter more precisely compared to static "stateless" rules.

Let's look at ESTABLISHED first. For instance, consider TCP on port 22. The initiator (client) sends a SYN to serverIPaddr:22. The server returns SYN+ACK to the client. Now it's the client's turn to send an ACK. How should the filtering rule on the server look like, such that only the "matching" ACK is accepted? A general stateless rule would look like

-A INPUT --proto tcp --port 22 -j ACCEPT
which is more liberal than the according stateful rule. The stateless rule allows arbitrary TCP segments, e.g. ACK or FIN without having established a connection first. Port scanners can exploit this kind of behavior for OS fingerprinting.

Now let's have a look at RELATED. This is used for ICMP messages, mostly error messages. For instance, if a packet from the server to the client is dropped, then an error message is sent to the server. This error message is "related" to the previously established connection. Without the RELATED rule one would either need to allow incoming error messages in general (without context), or, as is custom for many sites, drop ICMP altogether and wait for timeouts on the transport layer. (Note that this is a bad idea for IPv6; ICMPv6 plays a more important role for IPv6 than ICMP for IP legacy.)

1. Στο accept all input from lan έχω
add action=accept chain=input comment="Accept all input from LAN" \
in-interface=!pppoe-out1
Οπότε μαζεύει οτιδήποτε από το LAN και όχι από pppoe.

2. Δεν έχω βρει τρόπο να τα περνάω στο raw.
Το ψάχνω...

3. Το forward δεν με ενδιαφέρει.
Το είχα παλιότερα αλλά πλέον δεν με ενδιαφέρει να το ελέγχω.
Στην ουσία ήταν για την εσωτερική κίνηση προς τα έξω.
Θεωρώ ότι έχω έμπιστες συσκευές οπότε δεν με ενδιαφέρουν να ελέγχω τις κινήσεις τους.

Το related στο input χρησιμεύει κυρίως για υπηρεσίες που τυχόν έχεις στο lan (ftp server κλπ).
Εγώ, όπως φαίνεται στο conf που ανέβασα, δεν έχω.
Δοκιμασμένο και αυτό για λόγους σιγουριάς... δεν μαζεύει απολύτως τίποτε (κάτω από το established το είχα).


Πλέον το Accept all input from LAN το έχω σαν δεύτερο κανόνα κάτω από το drop invalid.
Έτσι όλοι οι υπόλοιποι κανόνες δεν χρειάζονται τον έλεγχο το in-interface.

- - - Updated - - -

Κάνοντας δοκιμή με raw:

Spoiler:

/ip firewall filter
add action=drop chain=input comment="Drop invalid connections" \
connection-state=invalid
add action=accept chain=input comment="Accept all from LAN" in-interface=\
!pppoe-out1
add action=jump chain=input comment="Check ICMP" jump-target=icmp limit=\
5/5s,5acket protocol=icmp
add action=accept chain=icmp comment="______Accept echo request" \
icmp-options=8:0-255 protocol=icmp
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=2w chain=icmp comment="______Block all others icmp"
add action=jump chain=input comment="Check TCP" jump-target=tcp protocol=tcp
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=2w chain=tcp comment="______Block port scan" \
protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=2w chain=tcp comment=\
"______Block NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=2w chain=tcp comment="______Block SYN/FIN scan" \
protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=2w chain=tcp comment="______Block SYN/RST scan" \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=2w chain=tcp comment="______Block FIN/PSH/URG scan" \
protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=2w chain=tcp comment="______Block ALL/ALL scan" \
protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=2w chain=tcp comment="______Block NMAP NULL scan" \
protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=jump chain=input comment="Check all rest" jump-target=rest \
src-address-list=!BlockedAddress
add action=accept chain=rest comment="______Accept OpenVPN" dst-port=1194 \
protocol=tcp
add action=accept chain=rest comment="______Accept established connections" \
connection-state=established
add action=drop chain=input comment="Drop all others"
/ip firewall raw
add action=drop chain=prerouting src-address-list=BlockedAddress

Ακολουθώ την εξής λογική:
Δέχομαι τα πάντα από μέσα προς τα έξω.
Κόβω τα πάντα από έξω προς τα μέσα πλην όσων θέλω να περάσου (openvpn)

Συγκεκριμένα:
1. Κάνω drop όλα τα invalid
2. Δέχομαι τα πάντα από το LAN (όπως είπα το έχω μόνο και μόνο για να αποφύγω να σέρνω στο in-interface το pppoe.
Όλα τα υπόλοιπα λοιπόν αφορούν κίνηση pppoe.
3. Ελέγχω icmp.
3.1. Δέχομαι αυτά που θέλω.
3.2. Βάζω σε block list όλα τα υπόλοιπα icmp.
6. Ελέγχω tcp.
6.1. Βάζω σε block list όλα όσα θέλω να κόψω.
7. Εφόσον η src διεύθυνση δεν είναι στην block list από τα παραπάνω... συνεχίζω στο rest, όπου όλη η κίνηση είναι ¨"καθαρή".
7.1. Αφήνω να περάσει το openvpn.
7.2. Αφήνω όλα τα established.
8. Κάνω drop όλα τα υπόλοιπα.

- Στο raw κάνω drop όλες τις διευθύνσεις που ανήκουν στην block list.
- Τα jmp υπάρχουν γιατί μετά το add-src-to-address-list συνεχίζει να ελέγχει και τους παρακάτω κανόνες.
Δεν είναι όπως το drop όπου σταματάει σε εκείνο το σημείο.
- Για τον παραπάνω λόγο υπάρχει και το τελευταίο drop ώστε το πρώτο πακέτο που θα μπει στην block list από κάποιον κανόνα να πεταχτεί.
Αυτό θα γίνει την πρώτη μόνο φορά.
Μετά θα κόβεται στο raw.
- To τελευταίο drop μαζεύει και οτιδήποτε άλλο δεν θέλουμε να προχωρήσει παρακάτω αλλά ταυτόχρονα δεν θέλουμε να γίνει και block η ΙΡ.