Καλησπέρα στην παρέα,
Μόλις έγινα κάτοχος ενός routerboard RB2011UiAS και θέλω να παίξω λίγο μαζί του. Έχω την εξής απορία (μία εκ των πολλών):
Μπορώ να έχω 2 γκρουπ διευθύνσεων στα οποία να λέω στο firewall ότι το 192.168.0.1 μέχρι 192.168.0.100 έχει τα πάντα κομμένα εκτός των υπηρεσιών της google (gmail gdrive) και το άλλο group να είναι ελεύερο να κάνει ότι θέλει;
Εμφάνιση 541-555 από 2112
-
18-05-17, 15:47 Απάντηση: Mikrotik IPv4/IPv6 firewall #541Μην ψάχνεις λόγους κι αφορμές να με κατηγορήσεις
δεν φταιω εγω που δεν μπορείς εσύ να με κρατήσεις
-
18-05-17, 19:08 Απάντηση: Mikrotik IPv4/IPv6 firewall #542
-
06-06-17, 21:13 Re: Απάντηση: Mikrotik IPv4/IPv6 firewall #543
Διάβασα σχεδόν όλες τις σελίδες και ξεκίνησα να στείνω το firewall με βάση το τελευταίο config + τις 2 προσθηκες για το dstnat
Κώδικας:19 ;;; Allow NAT incoming connections chain=input action=accept connection-nat-state=dstnat in-interface=pppoe-out1 log=no log-prefix="" 20 ;;; Allow NAT incoming connections chain=forward action=accept connection-nat-state=dstnat log=no log-prefix=""
1) λόγω του θέματος που προσπαθώ να καταλάβω/λύσω εδώ https://www.adslgr.com/forum/threads...80#post6187480 βλέπω στο firewall να τριγυρνάνε διάφορες ips από 192.168.0.x 192.168.1.x και 10.x.x.x οι οποίες δεν ανήκουν στο δικό μου δίκτυο αλλα από ότι κατάλαβα στο NAT του ΟΤΕ. Αυτές προσπαθώ να τις κόψω στο input.
2) με την τελευταία εγγραφή (______Drop forward everything else) δεν μου κανει resolve ο dns στον dhcp (υπάρχει dhcp server στο bridge wlan-eth2).
Το config μου με τις προσθήκες και τα disableed φαίνεται παρακάτωSpoiler:
-
06-06-17, 21:16 Απάντηση: Mikrotik IPv4/IPv6 firewall #544
οπως σου εγραψαν εκει ομως πρεπει να ζητησεις απο τον ΟΤΕ να μην σου δινει ip πισω απο ΝΑΤ γιατι φαινεται αυτο συμβαινει και θα εχεις προβληματα με διαφορα πραγματα που κανεις.
το να κανεις διαφορα πραγματα με το firewall χωρις να εχεις public ip οπως πρεπει κανονικα αυτο δεν λυνει το θεμα αυτο.
Αυτο που εχω δει αλλες φορες οχι με ΟΤΕ αλλα πχ με ιντερνετ κινητης (whats up) και απο αλλου με wind ειναι ips απο 10 κατι. Δεν εχω ακουσει ποτε ουτε απο 100 και ειδικα απο 192!!!
σιγουρα δεν εχεις τπτ εσυ απο 192?
επισης με την forthnet μου εχει τυχει λογω του ανοιξε κλεισε το ppoe client να γινεται κατι προσωρινο οπως μου το ειπαν να παιρνει ips απο 10 αλλα δεν ηταν τελικα απο ΝΑΤ!
πως γινεται δεν ξερω! οταν σταθεροποιηθηκε αυτο ειχα απο τοτε κανονικα παντα public ip.
Mηπως κατι αναλογο συμβαινει και σε εσενα?
-
07-06-17, 10:57 Απάντηση: Mikrotik IPv4/IPv6 firewall #545
Πηρα τον ΟΤΕ και άλλαξε τα settings και πλεον παίρνω real ip.
Εχω και εγω 192 αλλα καμια σε αυτα τα subnets. Φαντάσου στα neighbors του mikrotik ειχα και γειτονάκι προφανώς καποιος αλλος επίσης εχει mikrotik στην περιοχή.
Θα τσεκάρω αυριο να δω τι εχει αλλαξει
- - - Updated - - -
ακόμα και τώρα που έχω real ip βλεπω αυτά...μπορούν να έρχονται από έξω?
-
07-06-17, 14:56 Απάντηση: Mikrotik IPv4/IPv6 firewall #546
-
08-06-17, 15:28 Απάντηση: Mikrotik IPv4/IPv6 firewall #547
Έχετε παρατηρήσει αν έχει κάποιο όφελος να βάλουμε ΟΛΑ τα πακέτα TCP FIN σε QOS 1/2/3 ?
Αφήστε εκτός το cpu usage που θα αυξηθεί φυσικά.
-
08-06-17, 15:30 Απάντηση: Mikrotik IPv4/IPv6 firewall #548
Αν περνας το http 80-443 απο qos1 ας πουμε, περνανε και ολα τα flags. Παλιοτερα το ειχα και εγω ετσι αλλα δεν εχει νοημα.
Άλλα Ντάλλα....
-
08-06-17, 15:49 Απάντηση: Mikrotik IPv4/IPv6 firewall #549
-
08-06-17, 16:15 Απάντηση: Mikrotik IPv4/IPv6 firewall #550
ναι καταλαβα ........ σου απαντησα, οτι ετσι τοχα και εγω καποια στιγμη, πιο πανω απο το http, πρεπει να βαλεις ομως except πορτες γιατι θα τις πιανει ολες, ακομη και των τορρεντ.
Άλλα Ντάλλα....
-
08-06-17, 16:22 Απάντηση: Mikrotik IPv4/IPv6 firewall #551
μα αυτό θέλω, τα πάντα όλα
Όταν είναι να κλείσει μία σύνδεση να μήν υπάρχει περίπτωση να γίνει drop αυτό το πακέτο!
Είτε είναι p2p είτε είναι http.
ΥΓ. και τον απο πάνω κανόνα
Κώδικας:add action=passthrough chain=forward in-interface=all-ppp protocol=tcp tcp-flags=fin add action=passthrough chain=forward out-interface=all-ppp protocol=tcp tcp-flags=fin
ΥΓ2. Απάντα στο άλλο τοπικ
-
08-06-17, 16:36 Απάντηση: Mikrotik IPv4/IPv6 firewall #552
Deleted.....
Άλλα Ντάλλα....
-
02-07-17, 20:29 Απάντηση: Mikrotik IPv4/IPv6 firewall #553
καλησπέρα, σε συνεχεια του θεματος με την κινητη σε mikrotik απο εδω και του προβληματος 4 : https://www.adslgr.com/forum/threads...erboard/page11
θα αναφερω τι προβλημα εχω.
Στο 951-internet οπως το ονομαζω επειδη εχω και 951-awmn router εκει, εχω περασει τα firewall filters που εχω και στο 109, εχω βγαλει μονο οτι εχει σχεση με το openvpn (αυτα τα εχω κανει disable γιατι θα κανω καποια στιγμη) και με ipsec και l2tp, επειδη εχει μονο pptp vpn server και client.
Επισης στους κανονες για το pptp vpn εχω βαλει τα σωστα subnets.
Nα πω οτι ειναι σεταρισμενο σαν switch γιατι το δουλευω ετσι (εχει σημασια για το ενα προβλημα απο τα 2 σχετικα με εναν κανονα).
To παραθετω και παρακατω :
Κώδικας:/ip firewall filter add action=accept chain=input dst-address=10.71.99.0/24 src-address=10.2.237.0/27 add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid disabled=yes add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=\ fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners" add action=accept chain=input comment=OpenVPN disabled=yes dst-port=1722 port="" protocol=tcp add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp add action=accept chain=forward connection-nat-state=dstnat add action=accept chain=input connection-nat-state=dstnat add action=accept chain=forward comment="from openvpn" disabled=yes in-interface=all-ppp src-address=10.2.237.248/29 add action=accept chain=forward comment="from pptp vpn" in-interface=all-ppp src-address=10.71.99.248/29 add action=accept chain=input comment="from openvpn" disabled=yes in-interface=all-ppp src-address=10.71.99.248/29 add action=accept chain=input comment="from pptp vpn" in-interface=all-ppp src-address=10.71.99.248/29 add action=drop chain=forward comment="Drop forward everything else" disabled=yes log-prefix=forward-all-others add action=drop chain=input comment="Drop input everything else" disabled=yes
Τι γινεται τωρα, το 109 τρεχει εναν pptp vpn server και δινει ip απο το subnet μου στο 951 με σκοπο να περναει ολα τα 10.0.0.0/8 μεσω ιντερνετ κινητης.
Οποτε στο 109 η εισερχομενη κινηση ερχεται απο το ip cloud του 951.
Το αναποδο γινεται με pptp vpn server απο το 951 προς το 109.
Ο πρωτος κανονας εμποδιζει αυτη την κινηση μεσω ιντερνετ.
Ο δευτερος κανονας που λεει forward δεν με αφηνει να φτασω στα επομενα μηχανηματα.
Δλδ απο το 109 πχ προς το 951 φτανω στο 951 αλλα δεν φτανω τα αλλα που ειναι συνδεδεμενα επανω του.
Το ιδιο και απο το 951 προς το 109, και τα 2 τονιζω οτι παιζουν σαν switch και ολες οι πορτες ειναι bridge.
Eπισης στο 951 την ωρα που το εφτιαχνα δεχτηκα αρκετες επιθεσεις απο καποιους....δειτε φωτο παρακατω.
Ολες οι υπηρεσιες αυτες μετα απο αυτο εγιναν ανοιχτες για συγκεκριμενα subnets μεσω awmn αρα μεσω των vpn μου και οχι απο ιντερνετ.
επισης εγινε καταγραφη αργοτερα και απο post scanners.
Εψαξα λιγο και βρηκα αυτο δλδ να αφησω το firewall να περασει η πορτα του vpn https://forum.mikrotik.com/viewtopic.php?t=60480
αλλα ηθελα να ρωτησω δεν γινεται καπως να πω στα 2 μηχανηματα 109 και 951-internet να αφηνει να περναει αλλα να δηλωσω να περναει οτι ερχεται απο το αντιστοιχο ονομα του ip cloud?
το θεμα κατι μου θυμιζει σχετικα με openvpn νομιζω οταν ειχαμε βαλει αυτους τους 2 τελευταιους κανονες το ειχε κοψει τοτε.
Και πρεπει να ειχα βαλει αυτο add action=accept chain=input comment=OpenVPN disabled=yes dst-port=1722 port="" protocol=tcp οχι φυσικα με disable το εχω κανει τωρα επειδη δεν εχει το 951 προς το παρον ovpn.Τελευταία επεξεργασία από το μέλος Nikiforos : 02-07-17 στις 20:35.
-
04-07-17, 10:23 Απάντηση: Mikrotik IPv4/IPv6 firewall #554
Ενημερωτικά# ειδα Στα log ότι κάποιος από Κορέα επιτυχώς έκανε σύνδεση στο pptp!!!!!
Δεδομένου μάλιστα ότι έχω κανονικό μοναδικό rand password 12char!!!!
Άρα υπάρχει μεγάλο πρόβλημα με το pptp, κάτι που το ξέραμε.
Μαθήματα:
1. Αν έχουμε pptp κλπ υποχρεωτικά σε DMZ.
2. Αν δεν ταξιδεύουμε firewall rule που επιτρέπει σύνδεση μόνο από ελληνικά ip. . (http://www.ipdeny.com/ipblocks/)
3. Κόβουμε χαζά logs τύπου dhcp συνδέσεις κλπ ώστε να δούμε τα ουσιαστικά log entries.See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)
-
04-07-17, 17:17 Απάντηση: Mikrotik IPv4/IPv6 firewall #555
Ακριβως γιαυτο ειναι προτιμοτερο να δουλευουμε αλλα ειδη VPN, προσωπικα θεωρω περισσοτερο ασφαλες απο ολα το openvpn για ευνοητους λογους.
Αλλα λογω βιασυνης βαζω pptp, ή οταν εχω δυσκολια σε καποιο μηχανημα που δεν ειναι δικο μου και δεν μπορω να του βαλω αρχεια.
Τελικα αυτο που ρωτησα και θα λυσει και το θεμα ασφαλειας αυτο στο PPTP VPN γινεται????
δλδ αντι να επιτρεψουμε ΟΛΕΣ τις εισερχομενες κλησεις σε μια πορτα που περνανε το firewall μας, να μπορουμε να του δηλωσουμε ενα συγκεκριμενο DDNS ονομα και μονο αυτο να μπορει να συνδεθει.
Αυτο μπορει να γινει?
ειδα και εγω στα logs μια ip απο tokyo και αντικατεστησα το pptp vpn server στο 951 με το ιντερνετ απο κινητη με openvpn server.
Tελικα εκτος απο αυτους τους 2 κανονες
add action=drop chain=forward comment="Drop forward everything else" disabled=yes log-prefix=forward-all-others
add action=drop chain=input comment="Drop input everything else" disabled=yes
που μου κοβουν το vpn που περναει απο το ιντερνετ εχω θεμα και με αλλον (μονο στο 951 κινητης) :
add action=drop chain=forward comment="Drop forward everything else" disabled=yes log-prefix=forward-all-others
με αυτον εδω τον κανονα ενεργο, ο openvpn server που δινει ips απο το subnet που εχει το 951 κινητης, στο 109 δεν μπορω να δω τα αλλα μηχανηματα που εχει πανω το 951 που το δουλευω και σαν switch.
Ξερει κανεις τι κανουμε με ολους αυτους τους κανονες? αν ειναι disable ειναι μεγαλη "τρυπα" στο firewall?
μπορω να βαλω κατι αλλο για το προβλημα σε αυτα που κοβουν?
για τα 2 πρωτα εβαλα αυτο που ειπα σε προηγουμενο ποστ μου αλλα πρεπει να ειμαι εκει για να το δοκιμασω.Τελευταία επεξεργασία από το μέλος Nikiforos : 04-07-17 στις 22:12.
Παρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks