Μετά από εξαντλητικό troubleshooting:
Αν τρέξεις το sudo -sS -sU -Pn -p 53 <IP> τότε δείχνει την πόρτα ανοιχτή και σε tcp και σε udp.
Αν τρέξεις το sudo -sS -sU -Pn <IP> οπότε κάνεις scan σε 1000 πόρτες TCP και 1000 udp τότε όλα καλά, ολες είναι filtered όπως πρέπει.
Τώρα αφού έφαγα τα μυαλά μου να δω τι φταίει με τον firewall, έβαλα ένα κανόνα drop no 1 στο filter.
στην πρώτη περίπτωση το log τίποτα, στην δεύτερη έκοβε τα πακέτα.
Πάω να κάνω packet sniffing να δω τι παίζει.
Στην πρώτη δεν φτάνουν καν τα πακέτα στην ether1 (wan), άρα δεν είναι πρόβλημα firewall.
Στην δεύτερη φτάνουν κανονικά και τα κόβει ως οφειλει.
Γιατί δεν φτάνουν τα πακέτα? ή φτάνουν σε stealth mode που ούτε το torch or packet sniffer μπορεί να δει?
Η ουσία είναι ότι τα πακέτα δεν φαίνονται, και το dns port είναι open. βέβαια υπηρεσία dns δεν δουλεύει αλλά αυτό δεν λέει και τίποτα, αν κάποιος θέλει να κάνει exploitation και είναι όντως ανοιχτή η πόρτα.
Εμφάνιση 1.786-1.800 από 2112
-
03-04-21, 13:13 Απάντηση: Mikrotik IPv4/IPv6 firewall #1786
-
06-04-21, 03:48 Απάντηση: Mikrotik IPv4/IPv6 firewall #1787
Με ποιο τρόπο μπορούμε να βεβαιωθούμε ότι ο provider δεν μας μπλοκάρει κάποια πόρτα;
Μου παρουσιάζεται ένα περίεργο πρόβλημα που έχει σχέση με την udp πόρτα του DNS. Έχω για provider την Wind που μου έχει παραχωρήσει μια 8άρα static. Οι δύο από αυτές τις public διευθύνσεις μέσω αντίστοιχων κανόνων one-to-one στο nat του mikrotik, καταλήγουν σε δύο servers που συν της άλλης εξυπηρετούν και DNS service σε ένα δικό μου domain. Το περίεργο είναι ότι δεν μπορώ με τίποτε να περάσει σε αυτούς τους servers πακέτο udp στην πόρτα 53. Φυσικά υπάρχει κανόνας σχετικός στο firewall και για tcp και για udp. Δοκίμασα να κάνω scan με κάποια online υπηρεσία που κάνει scan και σε udp πρωτόκολλο και ενώ την tcp πόρτα την βγάζει σαν open στην udp βγάζει open-filtered. Πάντως στον αντίστοιχο κανόνα του firewall για το udp και την πόρτα 53, δεν καταγράφει κανένα πακέτο. Όμως στον ίδιο κανόνα έχω και την πόρτα του wireguard που είναι και αυτή udp. Σε αντίστοιχο scan που κάνω και μάλιστα στην public ip που από πίσω σε αυτόν τον server δεν έχω στημένο wireguard, σε αυτή την περίπτωση υπάρχει καταγραφή των πακέτων.
Καμία ιδέα για το πώς να βεβαιωθώ ότι είναι πράγματι πρόβλημα του provider;
-
06-04-21, 13:12 Απάντηση: Mikrotik IPv4/IPv6 firewall #1788
-
07-04-21, 00:15 Απάντηση: Mikrotik IPv4/IPv6 firewall #1789
Δοκίμασα να κάνω στο mikrotik capture στα udp πακέτα που ερχόντουσαν από το pppoe interface. Στην πόρτα 53 δεν κατέγραφε κανένα πακέτο, ενώ στη πόρτα του wireguard κατέγραφε και τα εισερχόμενα και τα εξερχόμενα πακέτα. Υπάρχει περίπτωση να περνάει udp πακέτο από το router προς τον server και να μην το καταγράφει;
Για σιγουριά θα δοκιμάσω να κάνω capture και στον server. Αυτό που δεν έχω καταλάβει είναι πως γίνεται να ξέρει ο client όταν στέλνει udp πακέτα που δεν παίρνουν απάντηση, αν η πόρτα είναι κλειστή ή filtered. Μέσω απάντησης με icmp πακέτο από το router ότι η πόρτα είναι κλειστή;
Τρέχοντας dig από εξωτερικό server σε μία από τις public ips, φυσικά παίρνει timeout.
- - - Updated - - -
Έκανα capture σε πακέτα udp και port53 με το tcpdump. Ενώ έγινε κάποια καταγραφή σε πακέτα που αντάλλαξε με το 1.1.1.1, δεν κατέγραψε κανένα πακέτο από τον remote server που του έκανα κλήση dig. Φυσικά στον server αυτόν τρέχει το bind. Επίσης καλώντας nslookup από το εσωτερικό δίκτυο ο server απαντάει στις κλήσεις. Στο firewall του server υπάρχουν αυτοί οι κανόνες:
Κώδικας:-A ufw-user-input -p tcp -m tcp --dport 53 -j ACCEPT -A ufw-user-input -p udp -m udp --dport 53 -j ACCEPT
-
26-04-21, 00:25 Απάντηση: Mikrotik IPv4/IPv6 firewall #1790
Καλησπέρα σε όλους.
Διεθέτω ένα mikrotik 2011UiAS-2HnD και έχω μια adsl wind 24 καθώς και backup γραμμή με τον αδερφό μου στον επάνω όροφο. Αυτή δημιουργήθηκε πριν κάποιο καιρό όταν αντιμετώπισα πρόβλημα με την wind και έπαιξε όσο χρειάστηκε. Έκτοτε έμεινε εκεί ως backup.
H adsl λειτουργεί μέσω ενός bridge στην ether1 με το modem της wind
H backup λειτουργεί στον ether10
Οι πόρτες ether2-ether9 μαζί με το wlan είναι στο briidge1
Στο δίκτυο μου δεν έχω ιδιαίτερες απαιτήσεις πέρα από ένα sip ata, το wifi στο οποίο συνδέονται τα κινητά της οικογένειας, ένα laptop και μερικές έξυπνες συσκευές. Το pc μου συνδέεται ενσύρματα.
Ψάχνοντας στο νήμα είδα μερικά firewall configurations που ποστάρατε και κατέληξα να χρησιμοποιήσω το config του macro https://www.adslgr.com/forum/threads...89#post6889489 καθώς και τις διορθώσεις αυτού https://www.adslgr.com/forum/threads...33#post6960833
Το τροποποίησα όσο μπόρεσα σύμφωνα με το δικό μου δίκτυο και μπορώ να πω πως λειτουργεί καλά.
Μπορείτε να μου κάνετε παρατηρήσεις για το αν είναι σωστό στην περίπτωση μου, αν έχω κάνει τις προσθήκες των διορθώσεων του macro στην σωστή σειρά, αλλά και γενικότερα αν χρειάζεται κάτι άλλο ένα δίκτυο σαν το δικό μου;
Παραθέτω τον κώδικα
Κώδικας:/ip firewall filter add action=accept chain=input comment="Accept Input Established Related" \ connection-state=established,related add action=drop chain=input comment="Drop Invalid connections" \ connection-state=invalid add action=accept chain=input comment="Accept ICMP after RAW" protocol=icmp add action=accept chain=input comment="Allow all input from LAN" \ in-interface=bridge1 add action=drop chain=input comment="Drop everything else Input" add action=accept chain=forward comment="Accept forward Established Related" \ connection-state=established,related add action=drop chain=forward comment="Drop Invalid connections" \ connection-state=invalid add action=accept chain=forward comment="Allow all forward from LAN" \ in-interface=bridge1 add action=drop chain=forward comment=\ "Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat
Κώδικας:/ip firewall raw add action=drop chain=prerouting comment="Blocked Ports TCP" log-prefix=\ "Block TCP" port=0,20,21,22,23,67-69,161-162,135-139,444-445,1080,1900 \ protocol=tcp add action=drop chain=prerouting comment="Blocked Ports UDP" log-prefix=\ "Block UDP" port=0,20,21,22,23,161-162,135-139,444-445,1080,1900 \ protocol=udp add action=add-src-to-address-list address-list="Port Scanners" \ address-list-timeout=1d chain=prerouting comment=\ "Add Port scanners to list" in-interface=!bridge1 protocol=tcp psd=\ 21,3s,3,1 time=0s-1d,sun,mon,tue,wed,thu,fri,sat add action=add-src-to-address-list address-list="Port Scanners" \ address-list-timeout=1d chain=prerouting comment="NMAP FIN Stealth scan" \ protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list="Port Scanners" \ address-list-timeout=1d chain=prerouting comment="SYN/FIN scan" protocol=\ tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list="Port Scanners" \ address-list-timeout=1d chain=prerouting comment="SYN/RST scan" protocol=\ tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list="Port Scanners" \ address-list-timeout=1d chain=prerouting comment="FIN/PSH/URG scan" \ protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list="Port Scanners" \ address-list-timeout=1d chain=prerouting comment="ALL/ALL scan" protocol=\ tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list="Port Scanners" \ address-list-timeout=1d chain=prerouting comment="NMAP NULL scan" \ protocol=tcp psd=21,3s,3,1 tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=drop chain=prerouting comment="Drop Port scanners from list" \ src-address-list="Port Scanners" add action=jump chain=prerouting comment=ddos_Protection jump-target=\ block-ddos protocol=tcp tcp-flags=syn add action=drop chain=prerouting dst-address-list=ddosed src-address-list=\ ddoser add action=return chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s add action=add-dst-to-address-list address-list=ddosed address-list-timeout=\ 1d chain=block-ddos add action=add-src-to-address-list address-list=ddoser address-list-timeout=\ 1d chain=block-ddos add action=jump chain=prerouting comment="Jump to ICMP chain" jump-target=\ icmp4 protocol=icmp add action=accept chain=icmp4 comment="echo reply" icmp-options=0:0 limit=\ 5,10:packet protocol=icmp add action=accept chain=icmp4 comment="net unreachable" icmp-options=3:0 \ protocol=icmp add action=accept chain=icmp4 comment="host unreachable" icmp-options=3:1 \ protocol=icmp add action=accept chain=icmp4 comment="protocol unreachable" icmp-options=3:2 \ protocol=icmp add action=accept chain=icmp4 comment="port unreachable" icmp-options=3:3 \ protocol=icmp add action=accept chain=icmp4 comment="fragmentation needed" icmp-options=3:4 \ protocol=icmp add action=accept chain=icmp4 comment=echo icmp-options=8:0 limit=5,10:packet \ protocol=icmp add action=accept chain=icmp4 comment="time exceeded " icmp-options=11:0-255 \ protocol=icmp add action=drop chain=icmp4 comment="drop other icmp" protocol=icmp
Κώδικας:/ip firewall nat add action=masquerade chain=srcnat comment="secontary Connection to brother" \ out-interface=ether10_WAN src-address=10.254.253.0/26 add action=masquerade chain=srcnat comment="Main Connection to Adsl" \ out-interface=pppoe-out1-->Adsl src-address=10.254.253.0/26 add action=masquerade chain=srcnat comment="Bridge to ADSL Modem" \ dst-address=192.168.1.254 out-interface=ether1_WAN2-Adsl
-
26-04-21, 10:24 Απάντηση: Mikrotik IPv4/IPv6 firewall #1791
Σωστο ειναι........ απλα δες αν χρειαζεσαι καμια πορτα απο αυτες που κλεινεις στους 2 πρωτους κανονες στο raw. Aν στο μελλον χρησιμοποιησεις κανα ftp, ssh κ.λ.π. να θυμασαι οτι ειναι κλειστα απο εκει.
Άλλα Ντάλλα....
-
26-04-21, 11:15 Απάντηση: Mikrotik IPv4/IPv6 firewall #1792
Σε ευχαριστώ macro.
Προς το παρόν το μόνο που χρησιμοποιώ είναι voip. Από ότι μου είπαν σε άλλο νήμα δεν χρειάζεται να κάνω port forward την 5060
Δηλαδή μελλοντικά αν χρειαστεί να ανοίξω πόρτες το μόνο που έχω να κάνω είναι να τροποποιησω τους δύο πρώτους κανόνες του row και να κάνω port forwarding τις πόρτες που θέλω στο nat, σωστά;
Για το Anydesk που το θέλω για να μπαίνω στο pc μου από το γραφείο χρειάζομαι κάτι;
-
26-04-21, 14:13 Απάντηση: Mikrotik IPv4/IPv6 firewall #1793
Οχι δε χρειαζεσαι κατι για το any και οτι χρειαστεις στο μελλον και στο κοβει, αφαιρεσε το απο αυτους τους 2 κανονες.
Άλλα Ντάλλα....
-
26-04-21, 14:58 Απάντηση: Mikrotik IPv4/IPv6 firewall #1794
Νομίζω πως κατάλαβα αλλά μόλις έκανα μια δοκιμή να ανοίξω την ssh από έξω προς του router. Για να μπω, ως ip χρησιμοποιιώ το ddns που μου δίνει το cloud του mikrotik που έχω ενεργοποιήσει .
Αφαίρεσα την tcp 22 από τον πρώτο κανόνα αλλά δεν μου μπορώ να μπω. Κάνω κάτι λάθος; Από τα services είναι ενεργοποιημένο
-
26-04-21, 16:19 Απάντηση: Mikrotik IPv4/IPv6 firewall #1795
Λογικά επειδή εδώ κόβεις όλα τα input εκτός LAN και εκτός των ICMP.
Κώδικας:add action=accept chain=input comment="Accept ICMP after RAW" protocol=icmp add action=accept chain=input comment="Allow all input from LAN" \ in-interface=bridge1 add action=drop chain=input comment="Drop everything else Input"
-
23-05-21, 15:01 Απάντηση: Mikrotik IPv4/IPv6 firewall #1796
Έχει καταφέρει κανείς να κάνει port forward και hairpin nat;
Προσπαθώ να κάνω την 8000 στην 80 εξωτερική αλλά να μπαίνω και εντός και εκτός δικτύου χρησιμοποιώντας το dyndns του mTik.
-
23-05-21, 17:22 Απάντηση: Mikrotik IPv4/IPv6 firewall #1797
Ο κανόνας με το dos συνελήφθη σήμερα για δεύτερη φορά να μου δημιουργεί πρόβλημα.
Αυτή την φορά μπλόκαρα μια ΙΡ από το gov.gr κατά την δήλωση Ε9.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
23-05-21, 18:22 Απάντηση: Mikrotik IPv4/IPv6 firewall #1798
Ποσο εχεις το rate και το burst? Mηπως να δοκιμαζες να ανεβασεις λιγο το threshold και να ξαναδοκιμαζες? Αν τα εχεις 32 βαλτα 50 ας πουμε ή 64 κ.λ.π.
Άλλα Ντάλλα....
-
23-05-21, 19:17 Απάντηση: Mikrotik IPv4/IPv6 firewall #1799
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
23-05-21, 19:43 Απάντηση: Mikrotik IPv4/IPv6 firewall #1800
32 ειναι λιγο γενικως, προτεινεται 50 και βλεπεις. Κοιτα ακομη αν το πισι σου ειναι εντελως καθαρο απο malwares. Στη δουλεια το εχω 72.
Άλλα Ντάλλα....
Παρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks