Mikrotik IPv4/IPv6 firewall

**teodor_ch** · 04-10-17, 16:41

Αφού θέλουμε μόνο 1-2 site να βλέπουν, εγώ θα έβαζα

forward allow address-list με τα allowed domains
και forward drop all others

το layer7 με το https δουλεύει?

**macro** · 04-10-17, 18:55

Βασικα δουλευει γιατι πιανει την πρωτο ack που απανταει απο http και οχι s. Για αυτο και δουλευει. Αν βαλεις ομως στο browser την ip και οχι το url του https site που θες να μπεις............... μπαινει κανονικα.

**Cuore Sportivo** · 09-10-17, 17:40

Καλησπέρα,

Έχω ενεργοποιήσει το Allow Remote Requests στο DNS, καθώς έχω βάλει ορισμένα static entries. Οι κανόνες του deniSun στο post #117 με καλύπτουν ώστε να μην έχω θέματα με τα remote requests;

**teodor_ch** · 09-10-17, 18:55

Αρχικό μήνυμα από Cuore Sportivo

Καλησπέρα,

Έχω ενεργοποιήσει το Allow Remote Requests στο DNS, καθώς έχω βάλει ορισμένα static entries. Οι κανόνες του deniSun στο post #117 με καλύπτουν ώστε να μην έχω θέματα με τα remote requests;

Σε καλύπτουν λόγο αυτού

Κώδικας:

add chain=input action=drop comment="Drop input everything else"

**Cuore Sportivo** · 09-10-17, 20:16

Καλά το είχα καταλάβει, ευχαριστώ teodor_ch!

**Nikiforos** · 09-11-17, 08:02

καλημερα! γνωριζει κανεις αν μπορω να επιτρεψω στο ipv4 fw κινησεις που ερχονται απο ενα συγκεκριμενο ονομα που ανηκει σε Mikrotik ip cloud? δλδ να κοβει ολες τις εισερχομενες ips απο ιντερνετ εκτος απο αυτο, αλλα θελω με το ονομα να δηλωθει γιατι δεν εχει static ip φυσικα!

θελω να το κανω για openvpn στο 951 κινητης, δλδ να αφηνει να συνδεεται σε αυτο το 109 μονο, και το αντιθετο παλι με Openvpn απο το 109 προς το 951 κινητης.
Τωρα αφηνω ανοιχτη την πορτα του openvpn προς το ιντερνετ. Δεν λεω μονο για το port forwarding, αλλα και με κανονες.
Αλλα θεωρω οτι θα εχει παραπανω ασφαλεια αν γινει ετσι, εφοσον μπορει να γινει.
Επισης εννοειτε οτι αφηνω συγκεκριμενα μονο subnets να περνανε απο το fw πχ αυτα που περνουν τα συγκεκριμενα openvpns.
Exω κοψει και το port scanning και η πορτα των Openvpn's δεν ειναι η default.

**teodor_ch** · 09-11-17, 09:36

Address list το όνομα και το κάνει resolve

**Nikiforos** · 09-11-17, 13:10

Αρχικό μήνυμα από teodor_ch

Address list το όνομα και το κάνει resolve

ευχαριστω, θα το δω, καλα πως και δεν το ειχα σκεφτει ετσι?
μαλλον κατι εκανα λαθος και δεν πετυχαινε!

**deniSun** · 09-11-17, 22:18

Αρχικό μήνυμα από Nikiforos

καλημερα! γνωριζει κανεις αν μπορω να επιτρεψω στο ipv4 fw κινησεις που ερχονται απο ενα συγκεκριμενο ονομα που ανηκει σε Mikrotik ip cloud? δλδ να κοβει ολες τις εισερχομενες ips απο ιντερνετ εκτος απο αυτο, αλλα θελω με το ονομα να δηλωθει γιατι δεν εχει static ip φυσικα!

θελω να το κανω για openvpn στο 951 κινητης, δλδ να αφηνει να συνδεεται σε αυτο το 109 μονο, και το αντιθετο παλι με Openvpn απο το 109 προς το 951 κινητης.
Τωρα αφηνω ανοιχτη την πορτα του openvpn προς το ιντερνετ. Δεν λεω μονο για το port forwarding, αλλα και με κανονες.
Αλλα θεωρω οτι θα εχει παραπανω ασφαλεια αν γινει ετσι, εφοσον μπορει να γινει.
Επισης εννοειτε οτι αφηνω συγκεκριμενα μονο subnets να περνανε απο το fw πχ αυτα που περνουν τα συγκεκριμενα openvpns.
Exω κοψει και το port scanning και η πορτα των Openvpn's δεν ειναι η default.

Ωραία σκέψη.

**Nikiforos** · 10-11-17, 07:27

Αρχικό μήνυμα από deniSun

Ωραία σκέψη.

καλημερα, ευχαριστω Deni!

ειχα pptp πριν αντι για αυτα τα ovpn που εχουν σχεση με το 951 Κινητης και μου την πεσανε!!! χυμα κωδικους, ιδια pass με user κτλ.
Ε μετα τα εκανα ovpn's και με οσο γινεται μεγαλυτερη ασφαλεια, το ποιο σημαντικο σε ενα firewall ειναι να κοπει το port scanning ωστε να μην μπορουν να δουν τι πορτες εχουμε ανοιχτες γιατι αλλιως θα καταλαβουν τις υπηρεσιες.
Μετα σε οσες υπηρεσιες μπορουμε αλλαζουμε τις by default ports οπως στο openvpn δλδ.
Και επιτρεπουμε συγκεκριμενες κινησεις, απο συγκεκριμενα subnets αυτο το εχω κανει, αλλα δεν ειχα βρει πως το κανω για ιντερνετικη εισερχομενη κινηση βαση του ddns .

**macro** · 01-12-17, 12:29

Σε συνεχεια της συζητησης σκεφτομαι στο drop everything να μη δηλωσω in interface με σκοπο να ριχνει ολη τη κινηση απο παντου. Αυτο σε συνδυασμο οτι απο πριν αφηνεις αυτα που θες.

Στο σπιτι που το εκανα δε καταλαβα κατι να μη λειτουργει. Επειδη δε το εχω ψαξει δε το εβαλα αλλου μεχρι να βεβαιωθω.

Τι συνεπειες μπορει να εχει αυτη η κινηση?

**Nikiforos** · 01-12-17, 13:25

Καλημερα, νομιζω οτι ετσι το εχω κανει στο rb 951 με την κινητη γιατι με ειχαν σκισει....
εφοσον πριν υπαρχουν ολοι οι σχετικοι κανονες τι να επιτρεπεις δεν δημιουργει προβλημα θεωρω ενας τετοιος κανονας.
Προσωπικα πεδευτηκα παρα πολυ με τα vpns γιατι επρεπε να δηλωσω και τα subnets που να επιτρεπονται πριν κτλ.
Αλλα οσο καλυτερο το κανεις τοσο ποιο ασφαλες δικτυο εχεις!

Τωρα σχετικα με τα ransomeware η καλυτερη προληψη ειναι λειτουργικο που να μην το πιανουν, προσωπικα αυτο κανω εδω και χρονια.
Μην παει αλλου το θεμα απλα το αναφερω οτι αυτο ειναι η καλυτερη προληψη, οχι οτι εκει δεν εχει τπτ αλλα εχει κατα πολυυυυυ λιγοτερα πραγματα και σε αλλες κατηγοριες οχι ακριβως ιων δλδ.

Τωρα αν εχουμε στο Mikrotik μας αλλα πραγματα στημενα δλδ καποιοι συνδεονται με hotspot και web proxy, υπαρχουν και αλλοι τροποι εκτος του firewall.
δεν ξερω για hotspots δεν εχω ασχοληθει γιατι δεν μου χρειαστηκε ποτε, αλλα με web proxy ειχα κανει για το AWMN και ειχα πετυχει πολλες απαγορευσεις.
Πχ τι σελιδες θα ανοιγουν, τι δεν θα ανοιγει, τι αρχεια ΔΕΝ θα κατεβαινουν οποτε ετσι ειναι ποιο ασφαλες και δεν εχει να κανει με firewall.
Αλλα ειναι ΜΟΝΟ για web proxy.

**teodor_ch** · 01-12-17, 13:42

Αρχικό μήνυμα από macro

Σε συνεχεια της συζητησης σκεφτομαι στο drop everything να μη δηλωσω in interface με σκοπο να ριχνει ολη τη κινηση απο παντου. Αυτο σε συνδυασμο οτι απο πριν αφηνεις αυτα που θες.

Στο σπιτι που το εκανα δε καταλαβα κατι να μη λειτουργει. Επειδη δε το εχω ψαξει δε το εβαλα αλλου μεχρι να βεβαιωθω.

Τι συνεπειες μπορει να εχει αυτη η κινηση?

στο drop all others δεν βάζεις interface αφού είναι all others!

έχεις ήδη αφήσει όλα απο το λαν σου
(allow from lan) οπότε δεν υπάρχει κάποιο πρόβλημα

αυτά και για input/forward chains

**macro** · 01-12-17, 15:28

ναι το εχω δοκιμασει ετσι οπως λες και παιζει ακριβως ετσι. Κοβει ομως τις dst ports 137-139, 445 που συζηταγαμε στο αλλο ποστ? Οι και αλλες πορτες?

Εμενα ας πουμε το hamachi και το radmin ετσι στα γρηγορα που δεν τους εχω βαλει κανενα rule, παιζουν μια χαρα. Αυτα βγαινουν απο διαφορες πορτες.