Mikrotik IPv4/IPv6 firewall

[BillyVan]

Βγαλε την 22 πορτα απ τον 23 κανονα.

Οσο αναφορα για το δικο μου θεμα με το Ping...

Ειμαι οκ με τους κανονες που μου εδωσε ο Μακρο κι ευχαριστώ.

Κατι προβληματα με το VPN θα τα δω απο αύριο.

[macro]

Πρεπει να βαλεις στο πρωτο κανονα των port scanner in-interface=!bridge1, ετσι ωστε να εξαιρεις τον εαυτο σου απο τα torrents. Ειπες οτι το εχεις βαλει αλλα δεν υπαρχει πουθενα η δηλωση.


Και σβησε και τους παλιους icmp κανονες.

[jkarabas]

Και σβησε και τους παλιους icmp κανονες.

Καλημέρα σε όλους και Καλή Χρονιά με υγεία!!
Από τότε που έγινε η κουβέντα με τον Denisun για το icmp και ψάχνοντάς το λίγο, τους κανόνες που έχεις macro εδώ τους έσβησα και εγώ κρατώντας αυτούς για το ddos.
Το ίδιο ισχύει και για τους κανόνες στο ipv6.

[atux_null]

Πρεπει να βαλεις στο πρωτο κανονα των port scanner in-interface=!bridge1, ετσι ωστε να εξαιρεις τον εαυτο σου απο τα torrents. Ειπες οτι το εχεις βαλει αλλα δεν υπαρχει πουθενα η δηλωση.


Και σβησε και τους παλιους icmp κανονες.

με τους icmp κανόνες το εχασα. μπορείς να μου πεις το link σε παρακαλώ?

[macro]

Γυρνα κανα 2 σελιδες πιο πισω.

[atux_null]

Γυρνα κανα 2 σελιδες πιο πισω.

Αυτό https://www.adslgr.com/forum/threads...3#post6896823? και το ρίχνω?

[macro]

Αυτο και σβηνεις τους παλιους κανονες.........

Κώδικας:

/ip firewall filter
add action=accept chain=input comment="Accept ICMP after RAW" protocol=icmp

/ip firewall raw
add action=jump chain=prerouting comment="Jump to ICMP chain" jump-target=\
    icmp4 protocol=icmp
add action=accept chain=icmp4 comment="echo reply" icmp-options=0:0 limit=\
    5,10:packet protocol=icmp
add action=accept chain=icmp4 comment="net unreachable" icmp-options=3:0 \
    protocol=icmp
add action=accept chain=icmp4 comment="host unreachable" icmp-options=3:1 \
    protocol=icmp
add action=accept chain=icmp4 comment="protocol unreachable" icmp-options=3:2 \
    protocol=icmp
add action=accept chain=icmp4 comment="port unreachable" icmp-options=3:3 \
    protocol=icmp
add action=accept chain=icmp4 comment="fragmentation needed" icmp-options=3:4 \
    protocol=icmp
add action=accept chain=icmp4 comment=echo icmp-options=8:0 limit=5,10:packet \
    protocol=icmp
add action=accept chain=icmp4 comment="time exceeded " icmp-options=11:0-255 \
    protocol=icmp
add action=drop chain=icmp4 comment="drop other icmp" protocol=icmp

[atux_null]

Για IPv6 χρησιμοποιώ το εξής:

Κώδικας:

/ipv6 firewall filter
	add action=accept chain=input comment="Router - Allow IPv6 ICMP" disabled=no protocol=icmpv6
	add action=accept chain=input comment="Router - Accept established connections" connection-state=established disabled=no
	add action=accept chain=input comment="Router - Accept related connections" connection-state=related disabled=no
	add action=drop chain=input comment="Router - Drop invalid connections" connection-state=invalid disabled=no
	add action=accept chain=input comment="Router- UDP" disabled=no	protocol=udp
	add action=accept chain=input comment="Router - From our LAN" disabled=no in-interface=bridge1
	add action=drop chain=input comment="Router - Drop other traffic" disabled=no
	add action=drop chain=forward comment="LAN - Drop invalid Connections" connection-state=invalid disabled=no
	add action=accept chain=forward comment="LAN - Accept UDP" disabled=no protocol=udp
	add action=accept chain=forward comment="LAN - Accept ICMPv6" disabled=no protocol=icmpv6
	add action=accept chain=forward comment="LAN - Accept established Connections" connection-state=established disabled=no
	add action=accept chain=forward comment="LAN - Accept related connections" connection-state=related disabled=no
	add action=accept chain=forward comment="LAN - Internal traffic" disabled=no in-interface=bridge1		
	add action=reject chain=forward comment="LAN - Drop everything else" connection-state=new disabled=no in-interface=pppoe-out1 reject-with=icmp-no-route

Είναι αυτό που είχε ξεκινήσει ο denisun. Έχουμε προσθήκες?

[Mageirus]

Καλημέρα στην παρέα,
μια καλή προσθήκη σε θέμα IPV4 firewall που εχω βρει μέχρι τώρα ειναι εδω:

https://rickfreyconsulting.com/rfc-m...-free-version/

Προσοχή γιατί είναι λίγο βαρύ για παλιά router (smips).



Μπας και έχει κανείς καμιά λίστα από L7 patterns για malware/virus για να μπουν στην λίστα?

[deniSun]

Καλημέρα στην παρέα,
μια καλή προσθήκη σε θέμα IPV4 firewall που εχω βρει μέχρι τώρα ειναι εδω:

https://rickfreyconsulting.com/rfc-m...-free-version/

Προσοχή γιατί είναι λίγο βαρύ για παλιά router (smips).



Μπας και έχει κανείς καμιά λίστα από L7 patterns για malware/virus για να μπουν στην λίστα?

Ευχαριστούμε.

[atux_null]

Καλημέρα. Χρησιμοποιώ το firewall του @macro και έχω παρατηρήσει ένα πρόβλημα με το μηχάνημα της γυναίκας μου. Είναι εταιρικό laptop και έχουν έναν proxy που ανοίγει tunnel. Αυτό το μηχάνημα μπαίνει πάντα ddoser/ddosed, αλλά και blacklist. Ενώ είναι συνδεδεμένο, δεν μπορεί να βγει πουθενά.
με το που σβήσω την IP (Internal/external) της από το firewall του mikrotik που εχει μπει ως ddoser ή ddosed ή blacklist τότε για λίγη ώρα συνδέεται κανονικά. Είναι ζήτημα λεπτών να μπει ξανά στη λίστα.
τι μπορώ να κάνω?

[macro]

Nα βαλεις στο in interface ή in inteface list αναλογως πως το εχεις το !LAN ή !bridge παλι αναλογως πως το εχεις. Δες πιο πανω το κανονα με το port scanning και κανε το ιδιο.

[atux_null]

Nα βαλεις στο in interface ή in inteface list αναλογως πως το εχεις το !LAN ή !bridge παλι αναλογως πως το εχεις. Δες πιο πανω το κανονα με το port scanning και κανε το ιδιο.

To interface μου είναι

ενώ το config μου είναι

Κώδικας:

[admin@MikroTik] /ip firewall raw> print
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; ______Blocked Ports TCP
      chain=prerouting action=drop port=0,20,21,22,23,67-69,161-162,135-139,444-445,1080,1900 log-prefix="Block TCP" protocol=tcp 

 1    ;;; ______Blocked Ports UDP
      chain=prerouting action=drop port=0,20,21,22,23,161-162,135-139,444-445,1080,1900 log-prefix="Block UDP" protocol=udp 

 2    ;;; ______NMAP FIN Stealth scan
      chain=prerouting action=add-src-to-address-list tcp-flags=fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=Port Scanners address-list-timeout=1d 

 3    ;;; ______SYN/FIN scan
      chain=prerouting action=add-src-to-address-list tcp-flags=fin,syn protocol=tcp address-list=Port Scanners address-list-timeout=1d 

 4    ;;; ______SYN/RST scan
      chain=prerouting action=add-src-to-address-list tcp-flags=syn,rst protocol=tcp address-list=Port Scanners address-list-timeout=1d 

 5    ;;; ______FIN/PSH/URG scan
      chain=prerouting action=add-src-to-address-list tcp-flags=fin,psh,urg,!syn,!rst,!ack protocol=tcp address-list=Port Scanners address-list-timeout=1d 

 6    ;;; ______ALL/ALL scan
      chain=prerouting action=add-src-to-address-list tcp-flags=fin,syn,rst,psh,ack,urg protocol=tcp address-list=Port Scanners address-list-timeout=1d 

 7    ;;; ______NMAP NULL scan
      chain=prerouting action=add-src-to-address-list tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg protocol=tcp psd=21,3s,3,1 address-list=Port Scanners 
      address-list-timeout=1d 

 8    ;;; ______Drop Port scanners from list
      chain=prerouting action=drop src-address-list=Port Scanners 

 9    ;;; ______ddos_Protection
      chain=prerouting action=jump jump-target=block-ddos tcp-flags=syn protocol=tcp 

10    chain=prerouting action=drop src-address-list=ddoser dst-address-list=ddosed 

11    chain=block-ddos action=return dst-limit=50,50,src-and-dst-addresses/10s 

12    chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=1d 

13    chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=1d 

14    ;;; Jump to ICMP chain
      chain=prerouting action=jump jump-target=icmp4 protocol=icmp 

15    ;;; echo reply
      chain=icmp4 action=accept icmp-options=0:0 limit=5,10:packet protocol=icmp 

16    ;;; net unreachable
      chain=icmp4 action=accept icmp-options=3:0 protocol=icmp 

17    ;;; host unreachable
      chain=icmp4 action=accept icmp-options=3:1 protocol=icmp 

18    ;;; protocol unreachable
      chain=icmp4 action=accept icmp-options=3:2 protocol=icmp 

19    ;;; port unreachable
      chain=icmp4 action=accept icmp-options=3:3 protocol=icmp 

20    ;;; fragmentation needed
      chain=icmp4 action=accept icmp-options=3:4 protocol=icmp 

21    ;;; echo
      chain=icmp4 action=accept icmp-options=8:0 limit=5,10:packet protocol=icmp 

22    ;;; time exceeded 
      chain=icmp4 action=accept icmp-options=11:0-255 protocol=icmp 

23    ;;; drop other icmp
      chain=icmp4 action=drop protocol=icmp

όταν πάω να ρίξω για το interface μου όπως είπες, πετάει μνμα λάθους

Κώδικας:

[admin@MikroTik] /ip firewall raw>  add action=add-src-to-address-list address-list
="Port Scanners"     address-list-timeout=1d chain=prerouting comment=    "______Ad
d Port scanners to list" in-interface-list=!bridge protocol=tcp     psd=21,3s,3,1 t
ime=0s-1d,sun,mon,tue,wed,thu,fri,sat
input does not match any value of interface-list
[admin@MikroTik] /ip firewall raw>

??

[sxbcl]

όταν πάω να ρίξω για το interface μου όπως είπες, πετάει μνμα λάθους

Κώδικας:

[admin@MikroTik] /ip firewall raw>  add action=add-src-to-address-list address-list
="Port Scanners"     address-list-timeout=1d chain=prerouting comment=    "______Ad
d Port scanners to list" in-interface-list=!bridge protocol=tcp     psd=21,3s,3,1 t
ime=0s-1d,sun,mon,tue,wed,thu,fri,sat
input does not match any value of interface-list
[admin@MikroTik] /ip firewall raw>

??

in-interface-list=!bridge1 στην περίπτωσή σου

[macro]

in-interface=!bridge1...... σκετο, οχι list και αναφερεσαι στο port knocking και οχι στο ddos που συζηταμε, στο οποιο θα κανεις το ιδιο αν σου χρυπαει και αυτο.