Mikrotik IPv4/IPv6 firewall

[macro]

Εγω δε λεω οτι ειναι λαθος οι κανονες, αλλα λαθος η σειρα τους. Τεσπα αν βολευεστε ετσι μια χαρα.

[teodor_ch]

Εγω δε λεω οτι ειναι λαθος οι κανονες, αλλα λαθος η σειρα τους. Τεσπα αν βολευεστε ετσι μια χαρα.

δεν υπάρχει καμία λογική να μπεί το all others πάνω απο τα others!!!!

μα καμία λογική!

επίσης αυτή τη σειρά δίνει και η MK γιατί αυτή είναι η μόνη σωστή και λογική!

Είμαι σίγουρος ότι κάτι έχεις καταλάβει λάθος. Δεν γίνεται αυτός ο κανόνας να μπεί κάπου αλλού!

Αν δε το θυμάσαι τα πακέτα περνάνε έναν έναν κανόνα με τη σειρά. Αν κοπούν κάπου δεν περνάνε στον επόμενο.

[xhaos]

τα πακέτα περνάνε έναν έναν κανόνα με τη σειρά. Αν κοπούν κάπου δεν περνάνε στον επόμενο.

Περίπου, ξεκινάνε τους κανόνες με τη σειρά και όποιος τα πιάσει πρώτα. Αν κάνουν match κάπου δε κοιτάζει αλλα rules

[teodor_ch]

Περίπου, ξεκινάνε τους κανόνες με τη σειρά και όποιος τα πιάσει πρώτα. Αν κάνουν match κάπου δε κοιτάζει αλλα rules

Το ίδιο είπαμε
Αν δεν κοπούν κάπου περνάνε στον επόμενο

[deniSun]

Σχετικά με τον έλεγχο της εσωτερικής κίνησης...
Φυσικά και υπάρχει το θέμα με το εάν κολλήσεις κάποιο μαμούνι και αρχίσει να στέλνει αβέρτα κίνηση προς τα έξω.
Αλλά όπως είπα δεν με ενδιαφέρει αυτή η περίπτωση.
Προσωπικά θεωρώ ανούσιο να γεμίσω κανόνες που το μόνο που θα κάνουν είναι να αυξήσουν την πολυπλοκότητα/συντήρηση/ελέγχους χωρίς στην πραγματικότητα να έχω πετύχει σε ικανοποιητικό βαθμό το μπλοκάρισμα της ανεπιθύμητης κίνησης.

[macro]

Παιδες κολλησαμε κακως στο drop others forward ενω δεν ηταν αυτο το θεμα και δε το εθεσα μαλλον σωστα.

Οταν φτιαχνεις το firewall βαζεις πρωτα ολα τα input και το τελειωνεις με το drop. Μετα ξεκινας τα forward το οποιο επισης τελειωνεις με το drop all others. To drop all others input, επρεπε να ειναι εκει που τελειωνουν οι input rules και ΟΧΙ προτελευταιο μιας και ετσι δε κανει drop μερικα πακετα που γινονται allow απο το allow forward πιο πανω, μιας και ο κανονας ειναι μετα απο αυτους των allow forward (Που δε θα επρεπε). Αρα περνανε πακετα (Μερικα και ισως, οχι παντα) επειδη ακριβως δεν υπαρχει ο κανονας drop all others input αμεσως μετα το τελος των input. Ειναι τρυπα αυτο.

Το ειπα και πριν, αν κολλησει αυτο το πισι ransomware spread, τον ηπιες σε ολο το δικτυο.

Δλδ αν περασει στο input, περναει αυτοματα επειδη δε το κανεις εσυ drop και στο forward και απλα τον πινεις.

Κώδικας:

/ip firewall filter
add action=accept chain=input comment="Accept Input Established Related Untracked" connection-state=established,related,untracked
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid

add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______Add Port scanners to list" protocol=tcp psd=21,3s,3,1 time=0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp psd=21,3s,3,1 tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop Port scanners from list" src-address-list="Port Scanners"

add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge
add action=drop chain=input comment="Drop everything else Input"

add action=drop chain=forward comment=Ransomware_Protection_Ports dst-port=67-69,111,135-139,445,3389,2049,3133,12345-12346,20034 protocol=tcp
add action=drop chain=forward dst-port=69,111,135-139,445,2049,3133,3389 protocol=udp
add action=jump chain=forward comment="Make jumps to ICMP chains" jump-target=icmp protocol=icmp
add action=accept chain=forward comment="Accept forward Established Related Untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge
add action=drop chain=forward comment="Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat

Αυτο εχω φτιαξει σα γενικο......

[teodor_ch]

input και forward είναι τελείως διαφορετικά chains
δεν γίνεται να περάσει απο το ένα στο άλλο

στη συγκεκριμένη περίπτωση δεν αλλάζει κάτι πέρα απο το τί βολεύει τον κανένα
και τα δύο το ίδιο αποτέλεσμα έχουν όταν το drop all others είναι τελευταίος κανόνας στο εκάστοτε chain

[macro]

Αφου μετα το routing decision παει στο forward, θα περασει αναγκαστικα και πρεπει να το κοψεις οταν πρεπει και οχι οταν τυχει.

[teodor_ch]

Να το πώ αλλιώς.
Μπορείς να βάλεις πρώτα είτε τους input είτε τους forward κανόνες. Δεν θα αλλάξει κάτι στην πράξη.

Prerouting - input - τέλος
prerouting - forward - postrouting - τέλος

ή input ή forward

Αν το πακέτο προορίζεται για το ΜΚ το ίδιο δεν πάει απο forward αλλά μόνο απο Input

[macro]

Αυτο που λες ..... και η ΜΤ να το εγραφε ή να μου το ορκιζοταν οτι γινεται ετσι............... θα πηγαινα τοιχο τοιχο. δλδ μετα το input τι γινονται τα data? εξαφανιζοντε?

[xhaos]

Αυτο που λες ..... και η ΜΤ να το εγραφε ή να μου το ορκιζοταν οτι γινεται ετσι............... θα πηγαινα τοιχο τοιχο. δλδ μετα το input τι γινονται τα data? εξαφανιζοντε?

Τα data στο input chain καταναλώνονται από το ίδιο το router. Στο forward chain προωθούνται στο lan.

[teodor_ch]

Αυτο που λες ..... και η ΜΤ να το εγραφε ή να μου το ορκιζοταν οτι γινεται ετσι............... θα πηγαινα τοιχο τοιχο. δλδ μετα το input τι γινονται τα data? εξαφανιζοντε?

Ρε συ για να πάνε στο input σημαίνει ότι προορίζονται για το ίδιο το ΜΚ (πχ System-Packages-Update!)
Ή απο τον DNS server του ΜΚ αν τον χρησιμοποιείς.

Στο forward απλά περνάνε μέσα απο το ΜΚ και προωθούνται σε άλλες ΙΡ

[macro]

Και πως περναει στο client τοτε? Παιδια για αυτο το θεμα εχει πεσει απειρη συζητηση για το πως συμβαινει να ξερετε? Εγω ειμαι σιγουρος με αυτο το τροπο παντως.

[ios46]

Υπάρχει documentation και γενικότερα πληροφορία στο internet που εξηγεί τα traffic flows σε σχέση με τα tables/chains (μιας και βασίζεται σε Linux iptables):


-- https://wiki.mikrotik.com/wiki/Manua...irewall/Filter
-- https://wiki.mikrotik.com/wiki/Manual:Packet_Flow

-- https://rlworkman.net/howtos/iptable...html/c962.html
-- http://pld.cs.luc.edu/courses/netmgm.../iptables.html
-- https://wiki.archlinux.org/index.php/iptables
-- https://codefarm.me/2018/04/20/firew...lter-iptables/
-- https://www.youtube.com/watch?v=yE82upHCxfU

[kostas2911]

Τα πράγμα είναι αρκετά απλά σε πρώτο επίπεδο.

Input -> κίνηση που έχει dst το ίδιο το router
Forward -> κίνηση που περνάει μέσα από το router
Output -> κίνηση που έχει γίνει originate από το ίδιο το router