Mikrotik IPv4/IPv6 firewall

[jacobp]

Μετά από εξαντλητικό troubleshooting:

Αν τρέξεις το sudo -sS -sU -Pn -p 53 <IP> τότε δείχνει την πόρτα ανοιχτή και σε tcp και σε udp.
Αν τρέξεις το sudo -sS -sU -Pn <IP> οπότε κάνεις scan σε 1000 πόρτες TCP και 1000 udp τότε όλα καλά, ολες είναι filtered όπως πρέπει.

Τώρα αφού έφαγα τα μυαλά μου να δω τι φταίει με τον firewall, έβαλα ένα κανόνα drop no 1 στο filter.
στην πρώτη περίπτωση το log τίποτα, στην δεύτερη έκοβε τα πακέτα.

Πάω να κάνω packet sniffing να δω τι παίζει.
Στην πρώτη δεν φτάνουν καν τα πακέτα στην ether1 (wan), άρα δεν είναι πρόβλημα firewall.
Στην δεύτερη φτάνουν κανονικά και τα κόβει ως οφειλει.

Γιατί δεν φτάνουν τα πακέτα? ή φτάνουν σε stealth mode που ούτε το torch or packet sniffer μπορεί να δει?

Η ουσία είναι ότι τα πακέτα δεν φαίνονται, και το dns port είναι open. βέβαια υπηρεσία dns δεν δουλεύει αλλά αυτό δεν λέει και τίποτα, αν κάποιος θέλει να κάνει exploitation και είναι όντως ανοιχτή η πόρτα.

[alefgr]

Με ποιο τρόπο μπορούμε να βεβαιωθούμε ότι ο provider δεν μας μπλοκάρει κάποια πόρτα;

Μου παρουσιάζεται ένα περίεργο πρόβλημα που έχει σχέση με την udp πόρτα του DNS. Έχω για provider την Wind που μου έχει παραχωρήσει μια 8άρα static. Οι δύο από αυτές τις public διευθύνσεις μέσω αντίστοιχων κανόνων one-to-one στο nat του mikrotik, καταλήγουν σε δύο servers που συν της άλλης εξυπηρετούν και DNS service σε ένα δικό μου domain. Το περίεργο είναι ότι δεν μπορώ με τίποτε να περάσει σε αυτούς τους servers πακέτο udp στην πόρτα 53. Φυσικά υπάρχει κανόνας σχετικός στο firewall και για tcp και για udp. Δοκίμασα να κάνω scan με κάποια online υπηρεσία που κάνει scan και σε udp πρωτόκολλο και ενώ την tcp πόρτα την βγάζει σαν open στην udp βγάζει open-filtered. Πάντως στον αντίστοιχο κανόνα του firewall για το udp και την πόρτα 53, δεν καταγράφει κανένα πακέτο. Όμως στον ίδιο κανόνα έχω και την πόρτα του wireguard που είναι και αυτή udp. Σε αντίστοιχο scan που κάνω και μάλιστα στην public ip που από πίσω σε αυτόν τον server δεν έχω στημένο wireguard, σε αυτή την περίπτωση υπάρχει καταγραφή των πακέτων.

Καμία ιδέα για το πώς να βεβαιωθώ ότι είναι πράγματι πρόβλημα του provider;

[minas]

Με ποιο τρόπο μπορούμε να βεβαιωθούμε ότι ο provider δεν μας μπλοκάρει κάποια πόρτα;

Μου παρουσιάζεται ένα περίεργο πρόβλημα που έχει σχέση με την udp πόρτα του DNS. Έχω για provider την Wind που μου έχει παραχωρήσει μια 8άρα static. Οι δύο από αυτές τις public διευθύνσεις μέσω αντίστοιχων κανόνων one-to-one στο nat του mikrotik, καταλήγουν σε δύο servers που συν της άλλης εξυπηρετούν και DNS service σε ένα δικό μου domain. Το περίεργο είναι ότι δεν μπορώ με τίποτε να περάσει σε αυτούς τους servers πακέτο udp στην πόρτα 53. Φυσικά υπάρχει κανόνας σχετικός στο firewall και για tcp και για udp. Δοκίμασα να κάνω scan με κάποια online υπηρεσία που κάνει scan και σε udp πρωτόκολλο και ενώ την tcp πόρτα την βγάζει σαν open στην udp βγάζει open-filtered. Πάντως στον αντίστοιχο κανόνα του firewall για το udp και την πόρτα 53, δεν καταγράφει κανένα πακέτο. Όμως στον ίδιο κανόνα έχω και την πόρτα του wireguard που είναι και αυτή udp. Σε αντίστοιχο scan που κάνω και μάλιστα στην public ip που από πίσω σε αυτόν τον server δεν έχω στημένο wireguard, σε αυτή την περίπτωση υπάρχει καταγραφή των πακέτων.

Καμία ιδέα για το πώς να βεβαιωθώ ότι είναι πράγματι πρόβλημα του provider;

Δοκίμασες ένα packet capture στο σέρβερ udp 53 να δεις εάν περνάει;
Από το scan που έκανες, μοιάζει να είναι οκ. Εάν δεν στείλει κανονικό DNS request στην UDP 53, δεν θα πάρει απάντηση, άρα θα εμφανιστεί ως filtered.

[alefgr]

Δοκίμασα να κάνω στο mikrotik capture στα udp πακέτα που ερχόντουσαν από το pppoe interface. Στην πόρτα 53 δεν κατέγραφε κανένα πακέτο, ενώ στη πόρτα του wireguard κατέγραφε και τα εισερχόμενα και τα εξερχόμενα πακέτα. Υπάρχει περίπτωση να περνάει udp πακέτο από το router προς τον server και να μην το καταγράφει;

Για σιγουριά θα δοκιμάσω να κάνω capture και στον server. Αυτό που δεν έχω καταλάβει είναι πως γίνεται να ξέρει ο client όταν στέλνει udp πακέτα που δεν παίρνουν απάντηση, αν η πόρτα είναι κλειστή ή filtered. Μέσω απάντησης με icmp πακέτο από το router ότι η πόρτα είναι κλειστή;

Τρέχοντας dig από εξωτερικό server σε μία από τις public ips, φυσικά παίρνει timeout.

- - - Updated - - -

Έκανα capture σε πακέτα udp και port53 με το tcpdump. Ενώ έγινε κάποια καταγραφή σε πακέτα που αντάλλαξε με το 1.1.1.1, δεν κατέγραψε κανένα πακέτο από τον remote server που του έκανα κλήση dig. Φυσικά στον server αυτόν τρέχει το bind. Επίσης καλώντας nslookup από το εσωτερικό δίκτυο ο server απαντάει στις κλήσεις. Στο firewall του server υπάρχουν αυτοί οι κανόνες:

Κώδικας:

-A ufw-user-input -p tcp -m tcp --dport 53 -j ACCEPT
-A ufw-user-input -p udp -m udp --dport 53 -j ACCEPT

[emc2]

Καλησπέρα σε όλους.
Διεθέτω ένα mikrotik 2011UiAS-2HnD και έχω μια adsl wind 24 καθώς και backup γραμμή με τον αδερφό μου στον επάνω όροφο. Αυτή δημιουργήθηκε πριν κάποιο καιρό όταν αντιμετώπισα πρόβλημα με την wind και έπαιξε όσο χρειάστηκε. Έκτοτε έμεινε εκεί ως backup.

H adsl λειτουργεί μέσω ενός bridge στην ether1 με το modem της wind
H backup λειτουργεί στον ether10
Οι πόρτες ether2-ether9 μαζί με το wlan είναι στο briidge1

Στο δίκτυο μου δεν έχω ιδιαίτερες απαιτήσεις πέρα από ένα sip ata, το wifi στο οποίο συνδέονται τα κινητά της οικογένειας, ένα laptop και μερικές έξυπνες συσκευές. Το pc μου συνδέεται ενσύρματα.

Ψάχνοντας στο νήμα είδα μερικά firewall configurations που ποστάρατε και κατέληξα να χρησιμοποιήσω το config του macro https://www.adslgr.com/forum/threads...89#post6889489 καθώς και τις διορθώσεις αυτού https://www.adslgr.com/forum/threads...33#post6960833

Το τροποποίησα όσο μπόρεσα σύμφωνα με το δικό μου δίκτυο και μπορώ να πω πως λειτουργεί καλά.

Μπορείτε να μου κάνετε παρατηρήσεις για το αν είναι σωστό στην περίπτωση μου, αν έχω κάνει τις προσθήκες των διορθώσεων του macro στην σωστή σειρά, αλλά και γενικότερα αν χρειάζεται κάτι άλλο ένα δίκτυο σαν το δικό μου;

Παραθέτω τον κώδικα

Κώδικας:

/ip firewall filter
add action=accept chain=input comment="Accept Input Established Related" \
    connection-state=established,related
add action=drop chain=input comment="Drop Invalid connections" \
    connection-state=invalid
add action=accept chain=input comment="Accept ICMP after RAW" protocol=icmp
add action=accept chain=input comment="Allow all input from LAN" \
    in-interface=bridge1
add action=drop chain=input comment="Drop everything else Input"
add action=accept chain=forward comment="Accept forward Established Related" \
    connection-state=established,related
add action=drop chain=forward comment="Drop Invalid connections" \
    connection-state=invalid
add action=accept chain=forward comment="Allow all forward from LAN" \
    in-interface=bridge1
add action=drop chain=forward comment=\
    "Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat

Κώδικας:

/ip firewall raw
add action=drop chain=prerouting comment="Blocked Ports TCP" log-prefix=\
    "Block TCP" port=0,20,21,22,23,67-69,161-162,135-139,444-445,1080,1900 \
    protocol=tcp
add action=drop chain=prerouting comment="Blocked Ports UDP" log-prefix=\
    "Block UDP" port=0,20,21,22,23,161-162,135-139,444-445,1080,1900 \
    protocol=udp
add action=add-src-to-address-list address-list="Port Scanners" \
    address-list-timeout=1d chain=prerouting comment=\
    "Add Port scanners to list" in-interface=!bridge1 protocol=tcp psd=\
    21,3s,3,1 time=0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=add-src-to-address-list address-list="Port Scanners" \
    address-list-timeout=1d chain=prerouting comment="NMAP FIN Stealth scan" \
    protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port Scanners" \
    address-list-timeout=1d chain=prerouting comment="SYN/FIN scan" protocol=\
    tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port Scanners" \
    address-list-timeout=1d chain=prerouting comment="SYN/RST scan" protocol=\
    tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port Scanners" \
    address-list-timeout=1d chain=prerouting comment="FIN/PSH/URG scan" \
    protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port Scanners" \
    address-list-timeout=1d chain=prerouting comment="ALL/ALL scan" protocol=\
    tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Port Scanners" \
    address-list-timeout=1d chain=prerouting comment="NMAP NULL scan" \
    protocol=tcp psd=21,3s,3,1 tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=prerouting comment="Drop Port scanners from list" \
    src-address-list="Port Scanners"
add action=jump chain=prerouting comment=ddos_Protection jump-target=\
    block-ddos protocol=tcp tcp-flags=syn
add action=drop chain=prerouting dst-address-list=ddosed src-address-list=\
    ddoser
add action=return chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=\
    1d chain=block-ddos
add action=add-src-to-address-list address-list=ddoser address-list-timeout=\
    1d chain=block-ddos
add action=jump chain=prerouting comment="Jump to ICMP chain" jump-target=\
    icmp4 protocol=icmp
add action=accept chain=icmp4 comment="echo reply" icmp-options=0:0 limit=\
    5,10:packet protocol=icmp
add action=accept chain=icmp4 comment="net unreachable" icmp-options=3:0 \
    protocol=icmp
add action=accept chain=icmp4 comment="host unreachable" icmp-options=3:1 \
    protocol=icmp
add action=accept chain=icmp4 comment="protocol unreachable" icmp-options=3:2 \
    protocol=icmp
add action=accept chain=icmp4 comment="port unreachable" icmp-options=3:3 \
    protocol=icmp
add action=accept chain=icmp4 comment="fragmentation needed" icmp-options=3:4 \
    protocol=icmp
add action=accept chain=icmp4 comment=echo icmp-options=8:0 limit=5,10:packet \
    protocol=icmp
add action=accept chain=icmp4 comment="time exceeded " icmp-options=11:0-255 \
    protocol=icmp
add action=drop chain=icmp4 comment="drop other icmp" protocol=icmp

Κώδικας:

/ip firewall nat
add action=masquerade chain=srcnat comment="secontary Connection to brother" \
    out-interface=ether10_WAN src-address=10.254.253.0/26
add action=masquerade chain=srcnat comment="Main Connection to Adsl" \
    out-interface=pppoe-out1-->Adsl src-address=10.254.253.0/26
add action=masquerade chain=srcnat comment="Bridge to ADSL Modem" \
    dst-address=192.168.1.254 out-interface=ether1_WAN2-Adsl

Ευχαριστώ πάρα πολύ για τον χρόνο σας

[macro]

Σωστο ειναι........ απλα δες αν χρειαζεσαι καμια πορτα απο αυτες που κλεινεις στους 2 πρωτους κανονες στο raw. Aν στο μελλον χρησιμοποιησεις κανα ftp, ssh κ.λ.π. να θυμασαι οτι ειναι κλειστα απο εκει.

[emc2]

Σωστο ειναι........ απλα δες αν χρειαζεσαι καμια πορτα απο αυτες που κλεινεις στους 2 πρωτους κανονες στο raw. Aν στο μελλον χρησιμοποιησεις κανα ftp, ssh κ.λ.π. να θυμασαι οτι ειναι κλειστα απο εκει.

Σε ευχαριστώ macro.

Προς το παρόν το μόνο που χρησιμοποιώ είναι voip. Από ότι μου είπαν σε άλλο νήμα δεν χρειάζεται να κάνω port forward την 5060

Δηλαδή μελλοντικά αν χρειαστεί να ανοίξω πόρτες το μόνο που έχω να κάνω είναι να τροποποιησω τους δύο πρώτους κανόνες του row και να κάνω port forwarding τις πόρτες που θέλω στο nat, σωστά;

Για το Anydesk που το θέλω για να μπαίνω στο pc μου από το γραφείο χρειάζομαι κάτι;

[macro]

Οχι δε χρειαζεσαι κατι για το any και οτι χρειαστεις στο μελλον και στο κοβει, αφαιρεσε το απο αυτους τους 2 κανονες.

[emc2]

Νομίζω πως κατάλαβα αλλά μόλις έκανα μια δοκιμή να ανοίξω την ssh από έξω προς του router. Για να μπω, ως ip χρησιμοποιιώ το ddns που μου δίνει το cloud του mikrotik που έχω ενεργοποιήσει .
Αφαίρεσα την tcp 22 από τον πρώτο κανόνα αλλά δεν μου μπορώ να μπω. Κάνω κάτι λάθος; Από τα services είναι ενεργοποιημένο

[x_undefined]

Λογικά επειδή εδώ κόβεις όλα τα input εκτός LAN και εκτός των ICMP.

Κώδικας:

add action=accept chain=input comment="Accept ICMP after RAW" protocol=icmp
add action=accept chain=input comment="Allow all input from LAN" \
    in-interface=bridge1
add action=drop chain=input comment="Drop everything else Input"

[RyDeR]

Έχει καταφέρει κανείς να κάνει port forward και hairpin nat;

Προσπαθώ να κάνω την 8000 στην 80 εξωτερική αλλά να μπαίνω και εντός και εκτός δικτύου χρησιμοποιώντας το dyndns του mTik.

[deniSun]

Ο κανόνας με το dos συνελήφθη σήμερα για δεύτερη φορά να μου δημιουργεί πρόβλημα.
Αυτή την φορά μπλόκαρα μια ΙΡ από το gov.gr κατά την δήλωση Ε9.

[macro]

Ποσο εχεις το rate και το burst? Mηπως να δοκιμαζες να ανεβασεις λιγο το threshold και να ξαναδοκιμαζες? Αν τα εχεις 32 βαλτα 50 ας πουμε ή 64 κ.λ.π.

[deniSun]

Ποσο εχεις το rate και το burst? Mηπως να δοκιμαζες να ανεβασεις λιγο το threshold και να ξαναδοκιμαζες? Αν τα εχεις 32 βαλτα 50 ας πουμε ή 64 κ.λ.π.

Κώδικας:

add action=return chain=ddos comment="______Check for SYN, SYN-ACK flood" \
    dst-limit=32,32,src-and-dst-addresses/10s

Το θέμα είναι ότι δεν το κάνει πάντα και έτσι δεν μπορώ να βγάλω ασφαλή συμπεράσματα.

[macro]

32 ειναι λιγο γενικως, προτεινεται 50 και βλεπεις. Κοιτα ακομη αν το πισι σου ειναι εντελως καθαρο απο malwares. Στη δουλεια το εχω 72.