Mikrotik IPv4/IPv6 firewall

[rebeskes]

Καλησπέρα στην παρέα,

Μόλις έγινα κάτοχος ενός routerboard RB2011UiAS και θέλω να παίξω λίγο μαζί του. Έχω την εξής απορία (μία εκ των πολλών):
Μπορώ να έχω 2 γκρουπ διευθύνσεων στα οποία να λέω στο firewall ότι το 192.168.0.1 μέχρι 192.168.0.100 έχει τα πάντα κομμένα εκτός των υπηρεσιών της google (gmail gdrive) και το άλλο group να είναι ελεύερο να κάνει ότι θέλει;

[deniSun]

Καλησπέρα στην παρέα,

Μόλις έγινα κάτοχος ενός routerboard RB2011UiAS και θέλω να παίξω λίγο μαζί του. Έχω την εξής απορία (μία εκ των πολλών):
Μπορώ να έχω 2 γκρουπ διευθύνσεων στα οποία να λέω στο firewall ότι το 192.168.0.1 μέχρι 192.168.0.100 έχει τα πάντα κομμένα εκτός των υπηρεσιών της google (gmail gdrive) και το άλλο group να είναι ελεύερο να κάνει ότι θέλει;

Μπορείς να φτιάξεις address list και να τις ορίσεις στους κανόνες που θέλεις.

[xaotikos]

Διάβασα σχεδόν όλες τις σελίδες και ξεκίνησα να στείνω το firewall με βάση το τελευταίο config + τις 2 προσθηκες για το dstnat

Κώδικας:

19    ;;; Allow NAT incoming connections
      chain=input action=accept connection-nat-state=dstnat in-interface=pppoe-out1 log=no log-prefix="" 

20    ;;; Allow NAT incoming connections
      chain=forward action=accept connection-nat-state=dstnat log=no log-prefix=""

Βρήκα 2 προβλήματα:
1) λόγω του θέματος που προσπαθώ να καταλάβω/λύσω εδώ https://www.adslgr.com/forum/threads...80#post6187480 βλέπω στο firewall να τριγυρνάνε διάφορες ips από 192.168.0.x 192.168.1.x και 10.x.x.x οι οποίες δεν ανήκουν στο δικό μου δίκτυο αλλα από ότι κατάλαβα στο NAT του ΟΤΕ. Αυτές προσπαθώ να τις κόψω στο input.

2) με την τελευταία εγγραφή (______Drop forward everything else) δεν μου κανει resolve ο dns στον dhcp (υπάρχει dhcp server στο bridge wlan-eth2).

Το config μου με τις προσθήκες και τα disableed φαίνεται παρακάτω

Spoiler:

Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Accept input established, related connections
chain=input action=accept connection-state=established,related log=no log-prefix=""

1 chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""

2 chain=input action=accept protocol=tcp dst-port=81 log=no log-prefix=""

3 ;;; ______Drop input invalid connections
chain=input action=drop connection-state=invalid log=no log-prefix=""

4 XI ;;; Drop 10.x.x.x and 192.168.0.0-192.168.1.0
chain=input action=drop src-address-list=10.0.0.0 log=no log-prefix=""

5 chain=input action=drop src-address=192.168.0.0/23 log=no log-prefix=""

6 chain=input action=drop protocol=udp in-interface=pppoe-out1 dst-port=53 log=no log-prefix=""

7 chain=input action=drop protocol=tcp in-interface=pppoe-out1 dst-port=53 log=no log-prefix=""

8 ;;; Allow forward forward established, related connections
chain=forward action=accept connection-state=established,related log=no log-prefix=""

9 ;;; ______Drop forward invalid connections
chain=forward action=drop connection-state=invalid log=no log-prefix=""

10 ;;; Add port scanners to list
chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1 address-list=port scanners address-list-timeout=2w in-interface=all-ppp log=no log-prefix=""

11 ;;; ______NMAP FIN Stealth scan
chain=input action=add-src-to-address-list tcp-flags=fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix=""

12 ;;; ______SYN/FIN scan
chain=input action=add-src-to-address-list tcp-flags=fin,syn protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix=""

13 ;;; ______SYN/RST scan
chain=input action=add-src-to-address-list tcp-flags=syn,rst protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix=""

14 ;;; ______FIN/PSH/URG scan
chain=input action=add-src-to-address-list tcp-flags=fin,psh,urg,!syn,!rst,!ack protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix=""

15 ;;; ______ALL/ALL scan
chain=input action=add-src-to-address-list tcp-flags=fin,syn,rst,psh,ack,urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix=""

16 ;;; ______NMAP NULL scan
chain=input action=add-src-to-address-list tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=port scanners address-list-timeout=2w log=no log-prefix=""

17 ;;; ______Drop port scanners from list
chain=input action=drop src-address-list=port scanners log=no log-prefix=""

18 XI ;;; Allow OpenVPN
chain=input action=accept protocol=tcp in-interface=all-ppp dst-port=1194 log=no log-prefix=""

19 ;;; Allow NAT incoming connections
chain=input action=accept connection-nat-state=dstnat in-interface=pppoe-out1 log=no log-prefix=""

20 ;;; Allow NAT incoming connections
chain=forward action=accept connection-nat-state=dstnat log=no log-prefix=""

21 ;;; ______Drop input everything else
chain=input action=drop in-interface=pppoe-out1 log=no log-prefix=""

22 XI ;;; ______Drop forward everything else
chain=forward action=drop log=no log-prefix=""

[Nikiforos]

οπως σου εγραψαν εκει ομως πρεπει να ζητησεις απο τον ΟΤΕ να μην σου δινει ip πισω απο ΝΑΤ γιατι φαινεται αυτο συμβαινει και θα εχεις προβληματα με διαφορα πραγματα που κανεις.
το να κανεις διαφορα πραγματα με το firewall χωρις να εχεις public ip οπως πρεπει κανονικα αυτο δεν λυνει το θεμα αυτο.
Αυτο που εχω δει αλλες φορες οχι με ΟΤΕ αλλα πχ με ιντερνετ κινητης (whats up) και απο αλλου με wind ειναι ips απο 10 κατι. Δεν εχω ακουσει ποτε ουτε απο 100 και ειδικα απο 192!!!
σιγουρα δεν εχεις τπτ εσυ απο 192?

επισης με την forthnet μου εχει τυχει λογω του ανοιξε κλεισε το ppoe client να γινεται κατι προσωρινο οπως μου το ειπαν να παιρνει ips απο 10 αλλα δεν ηταν τελικα απο ΝΑΤ!
πως γινεται δεν ξερω! οταν σταθεροποιηθηκε αυτο ειχα απο τοτε κανονικα παντα public ip.
Mηπως κατι αναλογο συμβαινει και σε εσενα?

[xaotikos]

Πηρα τον ΟΤΕ και άλλαξε τα settings και πλεον παίρνω real ip.

Εχω και εγω 192 αλλα καμια σε αυτα τα subnets. Φαντάσου στα neighbors του mikrotik ειχα και γειτονάκι προφανώς καποιος αλλος επίσης εχει mikrotik στην περιοχή.

Θα τσεκάρω αυριο να δω τι εχει αλλαξει

- - - Updated - - -

ακόμα και τώρα που έχω real ip βλεπω αυτά...μπορούν να έρχονται από έξω?

[deniSun]

Πηρα τον ΟΤΕ και άλλαξε τα settings και πλεον παίρνω real ip.

Εχω και εγω 192 αλλα καμια σε αυτα τα subnets. Φαντάσου στα neighbors του mikrotik ειχα και γειτονάκι προφανώς καποιος αλλος επίσης εχει mikrotik στην περιοχή.

Θα τσεκάρω αυριο να δω τι εχει αλλαξει

- - - Updated - - -

ακόμα και τώρα που έχω real ip βλεπω αυτά...μπορούν να έρχονται από έξω?

Από έξω... αποκλείεται.
Από μέσα, από κάποιο μηχάνημα σου έρχονται.

[teodor_ch]

Έχετε παρατηρήσει αν έχει κάποιο όφελος να βάλουμε ΟΛΑ τα πακέτα TCP FIN σε QOS 1/2/3 ?


Αφήστε εκτός το cpu usage που θα αυξηθεί φυσικά.

[macro]

Αν περνας το http 80-443 απο qos1 ας πουμε, περνανε και ολα τα flags. Παλιοτερα το ειχα και εγω ετσι αλλα δεν εχει νοημα.

[teodor_ch]

Σε λάθος τόπικ ρώτησα!

Αν περνας το http 80-443 απο qos1 ας πουμε, περνανε και ολα τα flags. Παλιοτερα το ειχα και εγω ετσι αλλα δεν εχει νοημα.

Λέω για κανόνα πάνω απο το http που θα πιάσει όλα τα πακέτα όλων των συνδέσεων (εκτός απο LAN)

Κώδικας:

add action=passthrough chain=forward in-interface=all-ppp out-interface=all-ppp protocol=tcp tcp-flags=fin

το έβαλα passthrough για test

[macro]

ναι καταλαβα ........ σου απαντησα, οτι ετσι τοχα και εγω καποια στιγμη, πιο πανω απο το http, πρεπει να βαλεις ομως except πορτες γιατι θα τις πιανει ολες, ακομη και των τορρεντ.

[teodor_ch]

ναι καταλαβα ........ σου απαντησα, οτι ετσι τοχα και εγω καποια στιγμη, πιο πανω απο το http, πρεπει να βαλεις ομως except πορτες γιατι θα τις πιανει ολες, ακομη και των τορρεντ.

μα αυτό θέλω, τα πάντα όλα

Όταν είναι να κλείσει μία σύνδεση να μήν υπάρχει περίπτωση να γίνει drop αυτό το πακέτο!
Είτε είναι p2p είτε είναι http.

ΥΓ. και τον απο πάνω κανόνα

Κώδικας:

add action=passthrough chain=forward in-interface=all-ppp protocol=tcp tcp-flags=fin
add action=passthrough chain=forward out-interface=all-ppp protocol=tcp tcp-flags=fin

ΥΓ2. Απάντα στο άλλο τοπικ

[macro]

Deleted.....

[Nikiforos]

καλησπέρα, σε συνεχεια του θεματος με την κινητη σε mikrotik απο εδω και του προβληματος 4 : https://www.adslgr.com/forum/threads...erboard/page11
θα αναφερω τι προβλημα εχω.

Στο 951-internet οπως το ονομαζω επειδη εχω και 951-awmn router εκει, εχω περασει τα firewall filters που εχω και στο 109, εχω βγαλει μονο οτι εχει σχεση με το openvpn (αυτα τα εχω κανει disable γιατι θα κανω καποια στιγμη) και με ipsec και l2tp, επειδη εχει μονο pptp vpn server και client.
Επισης στους κανονες για το pptp vpn εχω βαλει τα σωστα subnets.
Nα πω οτι ειναι σεταρισμενο σαν switch γιατι το δουλευω ετσι (εχει σημασια για το ενα προβλημα απο τα 2 σχετικα με εναν κανονα).
To παραθετω και παρακατω :

Κώδικας:

/ip firewall filter
add action=accept chain=input dst-address=10.71.99.0/24 src-address=10.2.237.0/27
add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid disabled=yes
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
    fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add action=accept chain=input comment=OpenVPN disabled=yes dst-port=1722 port="" protocol=tcp
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=accept chain=forward connection-nat-state=dstnat
add action=accept chain=input connection-nat-state=dstnat
add action=accept chain=forward comment="from openvpn" disabled=yes in-interface=all-ppp src-address=10.2.237.248/29
add action=accept chain=forward comment="from pptp vpn" in-interface=all-ppp src-address=10.71.99.248/29
add action=accept chain=input comment="from openvpn" disabled=yes in-interface=all-ppp src-address=10.71.99.248/29
add action=accept chain=input comment="from pptp vpn" in-interface=all-ppp src-address=10.71.99.248/29

add action=drop chain=forward comment="Drop forward everything else" disabled=yes log-prefix=forward-all-others
add action=drop chain=input comment="Drop input everything else" disabled=yes

με τους 2 τελευταιους κανονες εχω θεμα, τοσο στο 951 αυτο, οσο και στο 109.
Τι γινεται τωρα, το 109 τρεχει εναν pptp vpn server και δινει ip απο το subnet μου στο 951 με σκοπο να περναει ολα τα 10.0.0.0/8 μεσω ιντερνετ κινητης.
Οποτε στο 109 η εισερχομενη κινηση ερχεται απο το ip cloud του 951.
Το αναποδο γινεται με pptp vpn server απο το 951 προς το 109.
Ο πρωτος κανονας εμποδιζει αυτη την κινηση μεσω ιντερνετ.
Ο δευτερος κανονας που λεει forward δεν με αφηνει να φτασω στα επομενα μηχανηματα.
Δλδ απο το 109 πχ προς το 951 φτανω στο 951 αλλα δεν φτανω τα αλλα που ειναι συνδεδεμενα επανω του.
Το ιδιο και απο το 951 προς το 109, και τα 2 τονιζω οτι παιζουν σαν switch και ολες οι πορτες ειναι bridge.

Eπισης στο 951 την ωρα που το εφτιαχνα δεχτηκα αρκετες επιθεσεις απο καποιους....δειτε φωτο παρακατω.
Ολες οι υπηρεσιες αυτες μετα απο αυτο εγιναν ανοιχτες για συγκεκριμενα subnets μεσω awmn αρα μεσω των vpn μου και οχι απο ιντερνετ.
επισης εγινε καταγραφη αργοτερα και απο post scanners.

Εψαξα λιγο και βρηκα αυτο δλδ να αφησω το firewall να περασει η πορτα του vpn https://forum.mikrotik.com/viewtopic.php?t=60480
αλλα ηθελα να ρωτησω δεν γινεται καπως να πω στα 2 μηχανηματα 109 και 951-internet να αφηνει να περναει αλλα να δηλωσω να περναει οτι ερχεται απο το αντιστοιχο ονομα του ip cloud?

το θεμα κατι μου θυμιζει σχετικα με openvpn νομιζω οταν ειχαμε βαλει αυτους τους 2 τελευταιους κανονες το ειχε κοψει τοτε.
Και πρεπει να ειχα βαλει αυτο add action=accept chain=input comment=OpenVPN disabled=yes dst-port=1722 port="" protocol=tcp οχι φυσικα με disable το εχω κανει τωρα επειδη δεν εχει το 951 προς το παρον ovpn.

[xhaos]

Ενημερωτικά# ειδα Στα log ότι κάποιος από Κορέα επιτυχώς έκανε σύνδεση στο pptp!!!!!
Δεδομένου μάλιστα ότι έχω κανονικό μοναδικό rand password 12char!!!!
Άρα υπάρχει μεγάλο πρόβλημα με το pptp, κάτι που το ξέραμε.
Μαθήματα:
1. Αν έχουμε pptp κλπ υποχρεωτικά σε DMZ.
2. Αν δεν ταξιδεύουμε firewall rule που επιτρέπει σύνδεση μόνο από ελληνικά ip. . (http://www.ipdeny.com/ipblocks/)
3. Κόβουμε χαζά logs τύπου dhcp συνδέσεις κλπ ώστε να δούμε τα ουσιαστικά log entries.

[Nikiforos]

Ακριβως γιαυτο ειναι προτιμοτερο να δουλευουμε αλλα ειδη VPN, προσωπικα θεωρω περισσοτερο ασφαλες απο ολα το openvpn για ευνοητους λογους.
Αλλα λογω βιασυνης βαζω pptp, ή οταν εχω δυσκολια σε καποιο μηχανημα που δεν ειναι δικο μου και δεν μπορω να του βαλω αρχεια.

Τελικα αυτο που ρωτησα και θα λυσει και το θεμα ασφαλειας αυτο στο PPTP VPN γινεται????
δλδ αντι να επιτρεψουμε ΟΛΕΣ τις εισερχομενες κλησεις σε μια πορτα που περνανε το firewall μας, να μπορουμε να του δηλωσουμε ενα συγκεκριμενο DDNS ονομα και μονο αυτο να μπορει να συνδεθει.
Αυτο μπορει να γινει?

ειδα και εγω στα logs μια ip απο tokyo και αντικατεστησα το pptp vpn server στο 951 με το ιντερνετ απο κινητη με openvpn server.

Tελικα εκτος απο αυτους τους 2 κανονες
add action=drop chain=forward comment="Drop forward everything else" disabled=yes log-prefix=forward-all-others
add action=drop chain=input comment="Drop input everything else" disabled=yes

που μου κοβουν το vpn που περναει απο το ιντερνετ εχω θεμα και με αλλον (μονο στο 951 κινητης) :
add action=drop chain=forward comment="Drop forward everything else" disabled=yes log-prefix=forward-all-others

με αυτον εδω τον κανονα ενεργο, ο openvpn server που δινει ips απο το subnet που εχει το 951 κινητης, στο 109 δεν μπορω να δω τα αλλα μηχανηματα που εχει πανω το 951 που το δουλευω και σαν switch.
Ξερει κανεις τι κανουμε με ολους αυτους τους κανονες? αν ειναι disable ειναι μεγαλη "τρυπα" στο firewall?
μπορω να βαλω κατι αλλο για το προβλημα σε αυτα που κοβουν?
για τα 2 πρωτα εβαλα αυτο που ειπα σε προηγουμενο ποστ μου αλλα πρεπει να ειμαι εκει για να το δοκιμασω.