Mikrotik IPv4/IPv6 firewall

[teodor_ch]

Γενικως η δηλωση του in interface με το src add, σημαινει ακριβως το ιδιο παντου, με τη διαφορα οτι στο src add μπορεις να ελιχθεις σε οχι ολο το υποδικτυο για λογους που χρειαζεσαι εσυ.

π.χ να περιοριστεις σε μια ομαδα clients και οχι σε ολο το υποδικτυο. /30, /31 κ.λ.π. ενω το in interface περιλαμβανει και αυτοματως ολο το subnet.

εγώ προτείνω το out-interface (άντε με συνδυασμό in αν θές να το περιορίσεις) πάντως παραπάνω

[puntomania]

Το ζητούμενο είναι.. στο mangle τι κανόνες θέλει...Εκεί είναι το μπέρδεμα.

Έχεις κάνεις σας περισσότερες wan με pppoe με port forward σε λειτουργία???

[macro]

Τι δηλωσεις θες να βαλεις στα mangles?

Παντως οσων αφορα το ΝΑΤ επειδη προκειται για την ολη ασφαλεια επικοινωνιας απο και προς, εγω ακολουθω την περηπατημενη σιγουρη συνταγη.

scrnat>out interface

dstnat>in interface.

Δε το εχω ψαξει ενδελεχως, αλλα οποιαδηποτε αλλη δηλωση, νομιζω αφηνει τρυπα ασφαλειας.

[deniSun]

Αν έχεις out-interface στο nat για pppoe τότε δεν μπορείς να έχεις πρόσβαση στο bridge modem αν πέσει η σύνδεση.
Πολύ απλά γιατί σε κατάσταση πτώσης της γραμμής, πέφτει ο pppoe, άρα δεν υφίσταται το out-interface και δεν μπορεί να δουλέψει το nat για να εξυπηρετήσει το subnet με το bridge.
Αν ορίσεις ΙΡ, τότε δεν έχεις πρόβλημα.

[gfdimopo]

Καλησπέρα παιδιά,

Αγόρασα ενα καταγραφικό της hikvision και για να λειτουργήσει η απομακρυσμένη live μετάδοση θα χρειαστεί να ανοίξω κάποιες πόρτες στο Mikrotik.

Ποιος είναι ο πιο ασφαλης τρόπος να το κάνω αυτό? Χρησιμοποιώ το firewall του Denisun.

[Nikiforos]

καλησπέρα,
οπως λεει εδω αν θες απο winbox http://www.icafemenu.com/how-to-port...tik-router.htm

και απο κονσολα θες NAT - MASQUERADE https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

δεν εχει σημασια ουτε τι firewall εχεις, ουτε ποιο ασφαλης τροπος, ενας ειναι απο ΝΑΤ κανεις masquerade.

Πχ στο δικο μου

Κώδικας:

add action=dst-nat chain=dstnat comment="DVR CCTV exoxiko" dst-port=6666 in-interface=pppoe-out1 protocol=tcp to-addresses=10.121.213.8 to-ports=6666

Υ.Γ η πορτα και η ip δεν ειναι τα πραγματικα...

[teodor_ch]

Καλησπέρα παιδιά,

Αγόρασα ενα καταγραφικό της hikvision και για να λειτουργήσει η απομακρυσμένη live μετάδοση θα χρειαστεί να ανοίξω κάποιες πόρτες στο Mikrotik.

Ποιος είναι ο πιο ασφαλης τρόπος να το κάνω αυτό? Χρησιμοποιώ το firewall του Denisun.

Έχω κάμερες και καταγραφικό hikvision και έβλεπα κίνηση προς κάποιες ΙΡ που δεν είχα ιδέα τι ήταν (με απενεργοποημένα τα services της hikvision).
Τελικά μπλόκαρα τη πρόσβαση προς το νετ και μπαίνω μόνο με VPN.

[Nikiforos]

Δεν ξερω πως παιζει το συγκεκριμενο μηχανημα που λετε, φανταζομαι πως ειναι τυπου DVR CCTV καταγραφικο, εμενα αυτο που εχω εχει αλλη πορτα για το δικο του προγραμμα διαχειρισης, αλλη πορτα για φορητες συσκευες πχ android, ios app και αλλη πορτα η γνωστη σε ολους για προσβαση διαχειρισης απο browser που ειναι οπως και του προγραμματος του για PC.
Για λογους ασφαλειας εχω ανοιξει πορτα ΜΟΝΟ για το προγραμμα του κινητου, που πρεπει να εχεις και το δικο του προγραμμα, πρεπει να ξερεις και κωδικο και password.
Αυτο επειδη μπαινω πολυ συχνα και βαριομουνα να ανοιγω openvpn client.
Για ολα τα αλλα ΜΟΝΟ μεσω OPENVPN. Ειδικα η προσβαση μεσω πορτας browser για μενα απαγορευεται δια ροπαλου....
Ακομα και να υποθεσω οτι καποιος καταφερε και βρηκε την πορτα που δεν ειναι συνηθισμενη και το σωστο προγραμμα, και βρηκε και username και pass μονο μπορει να δει τις καμερες και δεν μπορει να κανει τπτ παραπανω, καθως το προγραμμα για φορητες συσκευες (android-ios) ειναι μονο για να βλεπεις και δεν εχουν καμια απολυτως διαχειριση.
Tα logs καταγραφονται στο μηχανημα και δεν εχω δει καμια προσβαση περιεργη.

Επισης το μηχανημα θελω να "βλεπει" ιντερνετ γιατι μου στελνει emails με φωτος για οτι δει να κινειται.

[puntomania]

καλησπέρα,
οπως λεει εδω αν θες απο winbox http://www.icafemenu.com/how-to-port...tik-router.htm

και απο κονσολα θες NAT - MASQUERADE https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT

δεν εχει σημασια ουτε τι firewall εχεις, ουτε ποιο ασφαλης τροπος, ενας ειναι απο ΝΑΤ κανεις masquerade.

Πχ στο δικο μου

Κώδικας:

add action=dst-nat chain=dstnat comment="DVR CCTV exoxiko" dst-port=6666 in-interface=pppoe-out1 protocol=tcp to-addresses=10.121.213.8 to-ports=6666

Υ.Γ η πορτα και η ip δεν ειναι τα πραγματικα...

αυτό ισχύ οταν έχουμε μια σύνδεση ιντερνετ...

[Nikiforos]

αυτό ισχύ οταν έχουμε μια σύνδεση ιντερνετ...

λογικο ειναι αφου ρωταει πως να ανοιξει πορτα, δεν καταλαβαινω τι εννοεις...

[teodor_ch]

αυτό ισχύ οταν έχουμε μια σύνδεση ιντερνετ...

όσες και να έχουμε όταν βαράς την ΙΡ της pppoe-out1 στη θύρα 6666
θα πηγαίνει εκεί που του λές

επειδή σε διαβάζω στα διάφορα θέματα, έχεις πέσει στα πολύ βαθιά πολύ νωρίς
πάρε το λίγο πιο αργά με περισσότερο διάβασμα και λιγότερο copy/paste

[gfdimopo]

Σας ευχαριστώ για τις απαντήσεις. Αρχικά σκεφτόμουν και εγώ να είχα πρόσβαση στις κάμερες μόνο μέσω vpn αλλα δεν βολεύει κάθε φορά.

Η ιδέα να ανοίξω μόνο τις πόρτες για το κινητό μαρέσει και θα μπορώ να έχω πρόσβαση στις ρυθμίσεις του καταγραφικού μέσω VPN.

Νομίζω όμως ότι υπάρχει τρόπος με διπλό ΝΑΤ (αν το γράφω καλά). Δηλαδή ανοίγεις μία πόρτα διαφορετική από αυτή που χρειάζεται το μηχάνημα και γίνεται ανακατεύθυνση των δεδομένων εσωτερικά από το mikrotik στη σωστή πόρτα που χρησιμοποιεί η συσκευή. Ανοίγεις πχ την πόρτα ΧΧΧΧ και αυτόματα το Mikrotik ανακατευθύνει την κίνηση στην πόρτα ΑΑΑΑ η οποία είναι η πόρτα που χρειάζεται η συσκευή για να λειτουργήσει.

[puntomania]

όσες και να έχουμε όταν βαράς την ΙΡ της pppoe-out1 στη θύρα 6666
θα πηγαίνει εκεί που του λές

επειδή σε διαβάζω στα διάφορα θέματα, έχεις πέσει στα πολύ βαθιά πολύ νωρίς
πάρε το λίγο πιο αργά με περισσότερο διάβασμα και λιγότερο copy/paste

...όσο και αν έψαξα... όσοι το χρειάστηκαν είχαν πρόβλημα... περισσότερο διάβασμα... ναι δεν αντί λέω... ποτέ δεν τα ξέρουμε όλα... και σίγουρα δεν περίμενα με 5 κλικ που θέλουν τα υπόλοιπα ρουτερακια... αλλά να μην υπάρχει ένα παράδειγμα απ τον κατασκευαστή του, που να δουλεύει ( αν τελικά δουλεύει )... και από εκεί και πέρα το πας όπως θες!!! στην τελική μιλάμε για ένα ρουτεράκι.. δεν είπαμε να γίνουμε γιατροί απ το ιντερνετ!!!

- - - Updated - - -

λογικο ειναι αφου ρωταει πως να ανοιξει πορτα, δεν καταλαβαινω τι εννοεις...

..δεν έχει όλος ο κόσμος μια γραμμή ιντερνετ!!!

- - - Updated - - -

όπως και να έχει... θα το ψάξω πάλι μόλις βρω χρόνο... και που θα πάει.. θα το φτιάξω ( αν φτιάχνετε )...

[Nikiforos]

..δεν έχει όλος ο κόσμος μια γραμμή ιντερνετ!!!

καλημέρα, πραγματικα ΔΕΝ καταλαβαίνω τι λες!!!! καταρχήν για να θες να ανοίξεις πορτες πρεπει να εχεις ιντερνετ αλλιως ποιος ο λογος????
Και το κυριοτερο των ολων εγω απαντησα στον φιλο που ρωτησε με το καταγραφικο, μιλαει για live απομακρυσμενη παρακολουθηση και ότι εχει το firewall του Deni που όπως πολύ καλα ξερουμε ολοι αναφερετε σε συνδεση ιντερνετ και pppoe client!!!
αρα τι είναι αυτά που λες???
και όπως τελικα λεει και από πανω από το δικο σου ποστ για ιντερνετ αναφέρεται.

Εγω απαντησα στον φιλο που ΕΧΕΙ ΙΝΤΕΡΝΕΤ! Μην πιανεις ένα ποστ μου που είναι απαντηση για άλλο ατομο και λες ασχετα...

Σας ευχαριστώ για τις απαντήσεις. Αρχικά σκεφτόμουν και εγώ να είχα πρόσβαση στις κάμερες μόνο μέσω vpn αλλα δεν βολεύει κάθε φορά.
Η ιδέα να ανοίξω μόνο τις πόρτες για το κινητό μαρέσει και θα μπορώ να έχω πρόσβαση στις ρυθμίσεις του καταγραφικού μέσω VPN.
Νομίζω όμως ότι υπάρχει τρόπος με διπλό ΝΑΤ (αν το γράφω καλά). Δηλαδή ανοίγεις μία πόρτα διαφορετική από αυτή που χρειάζεται το μηχάνημα και γίνεται ανακατεύθυνση των δεδομένων εσωτερικά από το mikrotik στη σωστή πόρτα που χρησιμοποιεί η συσκευή. Ανοίγεις πχ την πόρτα ΧΧΧΧ και αυτόματα το Mikrotik ανακατευθύνει την κίνηση στην πόρτα ΑΑΑΑ η οποία είναι η πόρτα που χρειάζεται η συσκευή για να λειτουργήσει.

καλημέρα, σιγουρα δεν βολευει με φορητες συσκευες πχ κινητο, απλα βαλε ένα καλο pass, γιατι μαλλον ο user δεν αλλαζει, αν γινεται κανε αλλον και μην μπαινεις με admin πχ και ανοιξε την πορτα μονο για το πρόγραμμα του κινητου.
Ότι άλλο θες από PC διαχειριση κτλ τα κανεις με VPN για ασφαλεια, εγω το βλεπω απευθειας όταν είμαι σπιτι επειδή παιζουν μεσω του AWMN και είναι σαν τοπικη συνδεση.
Μιλας προφανως για redirect ports δεν καταλαβαίνω γιατι να πεδευεσαι παραπανω.
Αυτό συνηθως το κανουμε αν μια πορτα πεφτει πανω σε άλλη πχ εγω το ειχα κανει σε web proxy mikrotik.
ΝΑΤ είναι και αυτό με redirect ports to others.

[teodor_ch]

...όσο και αν έψαξα... όσοι το χρειάστηκαν είχαν πρόβλημα... περισσότερο διάβασμα... ναι δεν αντί λέω... ποτέ δεν τα ξέρουμε όλα... και σίγουρα δεν περίμενα με 5 κλικ που θέλουν τα υπόλοιπα ρουτερακια... αλλά να μην υπάρχει ένα παράδειγμα απ τον κατασκευαστή του, που να δουλεύει ( αν τελικά δουλεύει )... και από εκεί και πέρα το πας όπως θες!!! στην τελική μιλάμε για ένα ρουτεράκι.. δεν είπαμε να γίνουμε γιατροί απ το ιντερνετ!!!

ολο το καλοκαίρι είχα port forward με 2 pppoe-clients απροβλημάτιστα


Ο κατασκευαστής δίνει ένα λειτουργικό και το μανουαλ αυτού.
Δίνει η MS παράδειγμα πώς να ζωγραφίσουμε ένα κύκνο στο MS Paint?