Mikrotik IPv4/IPv6 firewall

[sdikr]

Σε μενα τουλαχιστον το gmail account εγινε 2FA πριν περιπου 15 μερες.

Δε χανεις να δοκιμασεις να φτιαξεις εναν αλλο λογαριασμο και να δοκιμασεις.

Μπορείς να κάνεις χρήση app password, θα το βρείς στο security του google λογαριασμου

[Nikiforos]

Καλησπερα, ευχαριστω δεν το ηξερα αυτο, λεει οτι ενεργοποιηθηκε στις 10 Νοεμβριου, μαλλον αυτο θα ειναι το προβλημα γιατι κανει login το DVR για να συνδεθει.
Θα δω, στηνω δλδ προσπαθω και mail server δικο μου.
Αφου δεν εχει σχεση με το firewall δεν το συνεχιζω αλλον θα δοκιμασω και βλεπουμε.
Ευχαριστω ολους για τις απαντησεις σας.

- - - Updated - - -

Μπραβο αυτο ηταν!!! τωρα ερχονται!!! THANKS!!!!

[BillyVan]

Μπορείς να κάνεις χρήση app password, θα το βρείς στο security του google λογαριασμου

Ωραιος ο sdikr.

Τελος καλο λοιπον.

[jacobp]

Καλησπέρα σε όλους σας,

Θα ήθελα να κόψω την πρόσβαση από οικιακό δίκτυο σε διάφορα sites όπως πχ facebook, youtube adult sites και ιδανικά να μπορώ να ρυθμίζω κάποιες ώρες σε κάποια από αυτά που θα είναι ανοιχτά, πχ να επιτρέπω την πρόσβαση στο youtube από 19.00 έως 21.00.
Επίσης θα ήθελα κάποια από αυτά τα block να αφορούν όλο το οικιακό δίκτυο και κάποια (όπως για παράδειγμα το facebook) μόνο συγκεκριμένες συσκευές.
Με δύο λόγια θα ήθελα ένα advanced parental control. Δοκίμασα με κανόνα στο level 7 αλλά δεν δουλεύει και πως να δουλεύει αφού πχ το facebook γίνεται access μέσω https ή εφαρμογής στο κινητό...
Υπάρχει κάτι που έχετε κάνει?

[Nikiforos]

Καλησπερα, εγω ειχα κανει κατι τετοιο με χρηση web proxy στο mikrotik. https://wiki.mikrotik.com/wiki/Manual:IP/Proxy
δεν εχω δοκιμασει κατι αλλο και δεν γνωριζω αλλον τροπο. Ισως να γινεται και με αλλους τροπους Mikrotik ειναι αυτο!

[BillyVan]

Σε γενικες γραμμες facebook, instargram δεν εβγαλα ακρη 100%.

Σημερα εκοβε, ενημερωνε list address, αυριο ψιλοεκοβε, μεθαυριο περναγαν.

Το καλυτερο μπακαλιστικο ειναι το kid control που εχει το Μικροτικ.

Παιξε απο εκει με συσκευες και ονοματα παιδιων, ωρες προσβασεις κλπ

Ειχα φτιαξει ενα εκνευριστικο αργο ιντερνετ σε ωρες που δεν επρεπε πχ που σου ερχοταν να σπασεις το κινητο...

[K1m0n]

Καλησπέρα σε όλους σας,

Θα ήθελα να κόψω την πρόσβαση από οικιακό δίκτυο σε διάφορα sites όπως πχ facebook, youtube adult sites και ιδανικά να μπορώ να ρυθμίζω κάποιες ώρες σε κάποια από αυτά που θα είναι ανοιχτά, πχ να επιτρέπω την πρόσβαση στο youtube από 19.00 έως 21.00.
Επίσης θα ήθελα κάποια από αυτά τα block να αφορούν όλο το οικιακό δίκτυο και κάποια (όπως για παράδειγμα το facebook) μόνο συγκεκριμένες συσκευές.
Με δύο λόγια θα ήθελα ένα advanced parental control. Δοκίμασα με κανόνα στο level 7 αλλά δεν δουλεύει και πως να δουλεύει αφού πχ το facebook γίνεται access μέσω https ή εφαρμογής στο κινητό...
Υπάρχει κάτι που έχετε κάνει?

Θα ήθελες... πολύς κόσμος θα ήθελε επίσης, αλλά αυτά δεν γίνονται εύκολα/φτηνά,
οπωσδήποτε δεν γίνονται με ένα κλίκ, και έχουν κόστος (σε ρεύμα/cpu/συντήρηση/συνδρομές).

Εν συντομία (γιατί τα σχετικά έχουν απαντηθεί πολλάκις),
με το mikrotik (και κάθε L3 router) μπορείς να κόψεις/ρυθμίσεις ότι είναι ορατό σε L3.
Το να προσπαθήσεις να κάνεις web/content filtering με το mikrotik και περιορισμένη επιτυχία θα έχει,
και θα θέλει πολύ συντήρηση.
Ένα ημίμετρο, που γίνεται με το mikrotik θα ήταν web filtering μέσω dns,
με μια υπηρεσία όπως nextdns/opendns/etc, δεν θα είναι 100%, δεν θα είναι απολύτως παραμετροποιήσιμο,
αλλά θα είναι καλύτερο απο το τίποτα.

Για καλύτερα αποτελέσματα θα ήθελες ένα firewall με content/app filtering.
Τυπικά αυτά απευθύνονται σε εταιρική χρήση και συνοδεύονται από τις σχετικές συνδρομές (βλέπε checkpoint/paloalto/juniper/etc).
Σε δωρεάν εξακολουθεί να υπάρχει το sophos και τα pfsense/opnsense που με λίγο κόψε-ράψε θα κάνουν και content filtering,
και το untangle που έχει home συνδρομή.

Θα πρότεινα:
α) ξεκίνα με dns filtering στο tik, αν δεις ότι σε καλύπτει ok, αν όχι:
β) πάρε ένα qotom/yanling/whatever βαλε πανω sophos ή untangle και ξεκίνα να διαβάζεις το manual τους.

[RpMz]

Δοκίμασε OpenDNS home.

[ditheo]

εγώ θα πρότεινα μια προσέγγιση με layer7.

βάλε ip/firewall/layer7-protocol add name=youtube regexp="^.+(youtube.com).*\$"

και βάλε στο ip/firewall/filter add action=drop dst-port=80,443 chain=forward layer7-protocol=youtube protocol=tcp

και μετά βάλε στο script να το κάνει enable τις ώρες που θέλεις

[deniSun]

Τα προβλήματα που υπάρχουν για να κόψεις κάτι στην σημερινή εποχή ακούνε στα παρακάτω:
ipv6, https, DoH, tor κλπ

Αν θέλεις να κόψεις κάτι όσο πιο ρεαλιστικά μπορείς , θα πρότεινα:
1. Τοπικό dns όπου θα κάνεις αντιστοίχηση τα domain που θέλεις σε localhost.
Για pr0n υπάρχουν έτοιμες λίστες που καλύπτουν 80-90%.
Επίσης το opendns έχει τρόπο να ορίσεις δικές σου λίστες για parental control
2. Στο ΝΑΤ στέλνεις όλη την κίνηση για dns στον τοπικό σου.
Οπότε και άλλον να δηλώσει ο χρήστης dns, θα του απαντήσει ο τοπικός.
3. Απενεργοποιείς το ν6 για να είσαι σίγουρος.
Με τα παραπάνω θα ξεπεράσεις το μεγαλύτερο μέρος των προβλημάτων σου.

[jacobp]

Ευχαριστώ πολύ όλους σας...

Σκαλίζοντας λίγο παραπάνω το opendns έπεσα πάνω σ αυτό:

https://support.opendns.com/hc/en-us...-Update-Script

Αν κάποιος έχει γνώμη αν αξίζει να το δοκιμάσω?

[K1m0n]

Ευχαριστώ πολύ όλους σας...

Σκαλίζοντας λίγο παραπάνω το opendns έπεσα πάνω σ αυτό:

https://support.opendns.com/hc/en-us...-Update-Script

Αν κάποιος έχει γνώμη αν αξίζει να το δοκιμάσω?

Αυτό είναι για να κάνεις update την (υποθέτουμε dynamic) wan ip του tik στην υπηρεσία ddns του opendns.
Έχει νόημα να το στήσεις αν θες να κάνεις ρυθμίσεις στο account σου οπότε κάπως πρέπει
να ξέρει το opendns ότι η x (δυναμική) ip αντιστοιχεί στον ψ συνδρομητή/χρήστη.
Λογικά (δεν έχω account να το δοκιμάσω) πρέπει να δέχεται και domain name,
στην οποία περίπτωση πρέπει να παίζει και με το cloud της mtik χωρίς να πρέπει να στήνεις ddns με το opendns.

Προσωπικά χρησιμοποιώ nextdns οπότε δεν ξέρω τις ακριβείς ρυθμίσεις του opendns,
αλλά πάνω-κάτω όλα αυτά ίδια είναι.

Δοκίμασε το script και αν σου παίζει μια χαρά.

[RpMz]

Αυτά που είπε παραπάνω ο deniSun.

Με το script θα το βάλεις κανονικά και θα παίξει.

[unemployed_ghost]

Αποφάσισα να αφήσω το pfsense και ήρθα στη πλευρά των mikrotik router με ένα chateau lte και ένα hap ac2 για AP.
Επειδή έχω πολλές απορίες και προσπαθώ να τις λύσω διαβάζοντας όλο το θεμα και το wiki της mikrotik, μπορείτε να μου πείτε αν είναι και στα mikrotik τα firewall rules απο προεπιλογή default deny;
Επίσης μπορείτε να μου δώσετε προσωρινά κάποια rules να βάλω μέχρι να εγκλιματιστώ και να αρχίσω να φτιάχνω τα δικά μου rules, ώστε να έχω μια υποτυπώδη ασφάλεια τόσο στο router όσο και στους client μέχρι τότε;
Σας ευχαριστώ

[deniSun]

Αποφάσισα να αφήσω το pfsense και ήρθα στη πλευρά των mikrotik router με ένα chateau lte και ένα hap ac2 για AP.
Επειδή έχω πολλές απορίες και προσπαθώ να τις λύσω διαβάζοντας όλο το θεμα και το wiki της mikrotik, μπορείτε να μου πείτε αν είναι και στα mikrotik τα firewall rules απο προεπιλογή default deny;
Επίσης μπορείτε να μου δώσετε προσωρινά κάποια rules να βάλω μέχρι να εγκλιματιστώ και να αρχίσω να φτιάχνω τα δικά μου rules, ώστε να έχω μια υποτυπώδη ασφάλεια τόσο στο router όσο και στους client μέχρι τότε;
Σας ευχαριστώ

Δες από το τέλος τα μηνύματα.
Οι υλοποιήσεις με τα raw filters είναι περισσότερο αποδοτικές.
Στα raw η λογική είναι ότι κόβεις ότι θέλεις να κόψεις στο prerouting.
πχ bad ips, ddos, tcp check
Ότι κόβεις εδώ είναι για την απόλυτη προστασία του ρούτερ (και των client).
Οτιδήποτε δεν κόψεις στο raw θα περάσει στο filter input (ΜΤ) και μετά στο forward (clients)

Στα filters η λογική είναι: κάνεις accept μόνο ότι θέλεις να περάσουν και κάνεις drop όλα τα υπόλοιπα.
πχ στα filters
accept established, related, untracked
drop invalid
accept icmp
drop all others
Αν θέλεις πχ μόνο icmp στο ρούτερ, τότε θα το κάνεις accept μόνο στο input.
Αν θέλεις να περνάει και στον client (ipv6) τότε θα το κάνεις accept και στο forward.