Mikrotik IPv4/IPv6 firewall

[Nikiforos]

εμενα παντως γινονται block απο το port scanning οποτε δεν προλαβαινουν να προσπαθησουν σε υπηρεσια.
Εξαλου η μονη ανοιχτη απο εξω ειναι το opevnpn.

[deniSun]

Για το l2tp υπάρχει script που διαβάζει τα logs του Mikrotik για αποτυχημένες προσπάθειες και βάζει την ip στο address list του firewall. Αυτό τρέχει ανά 20 λεπτό περίπου.

Ναι αλλά το script θα πρέπει να το τρέχεις ανά x-διαστήματα.

[jkarabas]

οκ...

Σε κάτι άλλο που δεν έχω βρει ακόμα αυτοματοποιημένη λύση είναι το θέμα των προσπαθειών εισόδου σε πόρτες που έχω ανοιχτές.
πχ βλέπω ότι έχω προσπάθειες από διάφορες ΙΡ να κάνουν χρήση της ovpn και l2tp πόρτας.
Δεν φαίνεται να είναι κάτι ανησυχητικό αφού μιλάμε για 1-2 προσπάθειες την ημέρα.
Και οι συγκεκριμένες ΙΡ ζήτημα αν έχουν επιχειρήσει ξανά για >4-5 φορές.
Οπότε θεωρώ ότι πρόκειται για λάθη που κάνει κάποιος στην σύνταξη της ΙΡ.

Για να έχω το κεφάλι μου όμως ήσυχο κοιτάω αν η συγκεκριμένη ΙΡ με έχει ενοχλήσει ξανά στο παρελθόν.
Και αν δω ότι έχω >4-5 καταγραφές, περνάω χειροκίνητο το subnet με /24 ή /16.
Θέλει βέβαια πολύ προσοχή το παραπάνω για να μην κλείσει κάποιος ολόκληρους παρόχους.
Κυρίως αν μιλάμε για εγχώριες ΙΡ.
Σχεδόν όλες που έχω προσθέσει είναι από Κίνα και 2-3 από Αμερική.
Στο σύνολο έχω συλλέξει ~10-15 τέτοιες διευθύνσεις.

Αυτό που ψάχνω είναι έναν τρόπο να περνάει αυτόματα μια ΙP σε block λίστα μετά από 3 αποτυχημένες προσπάθειες σύνδεσης στην υπηρεσία που έχω ανοιχτή.

deni που βλέπεις όλες αυτές τις προσπάθειες (τις ips) για τις πόρτες σου? Στα connections?

[deniSun]

Έχω επιλεγμένο το Log στις add-src-to-address-list δηλώσεις.

[jkarabas]

Έχω επιλεγμένο το Log στις add-src-to-address-list δηλώσεις.

OK για να το τεστάρω και εγώ.

[teodor_ch]

Αυτό το ερώτημα μου δημιουργήθηκε γιατί είχα δει κλείδωμα στις Χ-προσπάθειες πρόσβασης στο winbox.
Οπότε λέω γιατί να μην υπάρχει κάτι ανάλογο και εδώ.

Στους κανόνες στο ποστ
https://www.adslgr.com/forum/threads...=1#post6890824
στα γρήγορα που το είδα δεν φαίνεται το κλείδωμα που λες για το winbox.

Αν είναι αντίστοιχο με το δικό μου, του τύπου
βάζω κάθε νέα σύνδεση στη πόρτα του winbox σε address lists με μικρό expiry time
και στη 3η νέα σύνδεση σε λιγότερο απο 5 λεπτά για παράδειγμα βάζει την ΙΡ σε block list

Είναι πολύ εύκολο να προσθέσεις όσες θύρες θές στους ίδιους 3 κανόνες.


-------------------

Προσθήκη γιατί έριξα μία ματιά στο firewall σου.
Στο filter στο chain input δεν καταλαβαίνω γιατί τα πετάς όλα σε άλλο chain=ppp-in και μετά τα φιλτράρεις εκεί.
Αφού δεν κάνεις διαχωρισμό θα μπορούσες να καταργήσεις αυτό το βήμα.

Επίσης, στο raw ότι κάνεις jump-to: ppp-in πάει μετά στο filter και βρίσκεται ακόμα στο chain: ppp-in σωστά?
Το οποίο βάση του απο πάνω είναι ppp-in = input άρα δε χρειάζονται οι κανόνες παρα μόνο για να κάνουν skip το υπόλοιπο RAW

Τέλος, στο forward δεν έχεις κανόνες?

Τα βλέπω πολύ γρήγορα τώρα και είμαι κουρασμένος οπότε μπορεί να έχω πετάξει και καμιά μλκία.


-----------------------
Βρήκα και αυτό που μου φάνηκε ενδιαφέρον
https://help.mikrotik.com/docs/displ...anced+Firewall
Sep 09, 2020 08:35
με πολύ φρέσκια ενημέρωση

[RpMz]

Ναι αλλά το script θα πρέπει να το τρέχεις ανά x-διαστήματα.

Πολυς σωστά, το βάζεις στο schedule και αυτό κάνει την δουλειά του.

[deniSun]

Στους κανόνες στο ποστ
https://www.adslgr.com/forum/threads...=1#post6890824
στα γρήγορα που το είδα δεν φαίνεται το κλείδωμα που λες για το winbox.

Αν είναι αντίστοιχο με το δικό μου, του τύπου
βάζω κάθε νέα σύνδεση στη πόρτα του winbox σε address lists με μικρό expiry time
και στη 3η νέα σύνδεση σε λιγότερο απο 5 λεπτά για παράδειγμα βάζει την ΙΡ σε block list

Είναι πολύ εύκολο να προσθέσεις όσες θύρες θές στους ίδιους 3 κανόνες.

Όχι δεν έχω κάποια δήλωση που να κάνει αυτό που θέλω.
Θα δοκιμάσω αυτό που λες.

Προσθήκη γιατί έριξα μία ματιά στο firewall σου.
Στο filter στο chain input δεν καταλαβαίνω γιατί τα πετάς όλα σε άλλο chain=ppp-in και μετά τα φιλτράρεις εκεί.
Αφού δεν κάνεις διαχωρισμό θα μπορούσες να καταργήσεις αυτό το βήμα.

Οι κανόνες μου θέλω να αφορούν μόνο την εισερχόμενη κίνηση και τίποτε άλλο.
Για να μην σέρνω λοιπόν σε κάθε κανόνα το In-interface το ορίζω με jmp.
Έχω δει ότι με αυτόν τον τρόπο είναι πολύ πιο ελαφρύ.

Επίσης, στο raw ότι κάνεις jump-to: ppp-in πάει μετά στο filter και βρίσκεται ακόμα στο chain: ppp-in σωστά?
Το οποίο βάση του απο πάνω είναι ppp-in = input άρα δε χρειάζονται οι κανόνες παρα μόνο για να κάνουν skip το υπόλοιπο RAW

Η λογική μου είναι ότι χρησιμοποιώ το raw μόνο για να βάζω σε block list τις διευθύνσεις που δεν θέλω.
Οτιδήποτε άλλο, από αυτά που αφήνω να περάσουν από το raw, το ελέγχω στο filter.

Τέλος, στο forward δεν έχεις κανόνες?

Δεν τους χρειάζομαι.
Θέλω να ελέγχω μόνο την εισερχόμενη κίνηση.

Βρήκα και αυτό που μου φάνηκε ενδιαφέρον
https://help.mikrotik.com/docs/displ...anced+Firewall
Sep 09, 2020 08:35
με πολύ φρέσκια ενημέρωση

Θα το ρίξω μια ματιά αύριο.

[macro]

Aυτο με το forward πιθανο να το εχεις παρεξηγησει. Forward=οτιδηποτε απο και προς τα τερματικα μεσω του ρουτερ. Εν ολιγοις...... αν δεν εχεις forward κανονες, δεν εχεις firewall προς τους clients.

[deniSun]

Aυτο με το forward πιθανο να το εχεις παρεξηγησει. Forward=οτιδηποτε απο και προς τα τερματικα μεσω του ρουτερ. Εν ολιγοις...... αν δεν εχεις forward κανονες, δεν εχεις firewall προς τους clients.

Τα πακέτα περνάνε πρώτα από Input.
Ότι θέλω το κόβω εκεί.
Αν κόψω κάτι στο input δεν υπάρχει περίπτωση να περάσει στο fw και από εκεί στους clients.
Γιατί να τα ελέγξω λοιπόν και στο fw;

[macro]

Αυτο δεν ισχυει σε καμια περιπτωση. Η διαδρομες input και forward ειναι εντελως διαφορετικα chains και απευθυνονται σε αλλες διεργασιες και υπηρεσιες. Τα input ειναι για το ρουτερ και μονο και τα forward για τους clients και μονο.

Δλδ το forward δεν ειναι κατι που επεται του input. Ειναι αλλο chain, αλλη πληροφορια, εντελως διαφορετικα μεταξυ τους.

[sxbcl]

Αυτο δεν ισχυει σε καμια περιπτωση. Η διαδρομες input και forward ειναι εντελως διαφορετικα chains και απευθυνονται σε αλλες διεργασιες και υπηρεσιες. Τα input ειναι για το ρουτερ και μονο και τα forward για τους clients και μονο.

Δλδ το forward δεν ειναι κατι που επεται του input. Ειναι αλλο chain, αλλη πληροφορια, εντελως διαφορετικα μεταξυ τους.

Νομίζω ότι ο deni εννοεί ότι δεν χρειάζεται το forward chain από τη στιγμή που τον ενδιαφέρει μόνο να ελέγξει τα incoming connections χωρίς να υπάρχει initiate από μέσα.
Αυτά έρχονται σε ΙΡ του router επομένως input chain.
Αν τον ενδιέφερε να κόψει κίνηση outgoing τότε χρειάζεται το forward chain

[teodor_ch]

Νομίζω ότι ο deni εννοεί ότι δεν χρειάζεται το forward chain από τη στιγμή που τον ενδιαφέρει μόνο να ελέγξει τα incoming connections χωρίς να υπάρχει initiate από μέσα.
Αυτά έρχονται σε ΙΡ του router επομένως input chain.
Αν τον ενδιέφερε να κόψει κίνηση outgoing τότε χρειάζεται το forward chain

Αυτά έρχονται στο prerouting και εφόσον προορίζονται για εκτός του ΜΚ πάνε κατευθείαν στο forward. Δεν περνάει απο το input ότι προορίζεται για μέσα.

Έχει μία λογική αυτό που λέει αλλά με τόσο δυνατά μηχανήματα δεν καταλαβαίνω γιατί να κάνουμε τόση οικονομία στους πόρους.

[deniSun]

Αυτά έρχονται στο prerouting και εφόσον προορίζονται για εκτός του ΜΚ πάνε κατευθείαν στο forward. Δεν περνάει απο το input ότι προορίζεται για μέσα.

Έχει μία λογική αυτό που λέει αλλά με τόσο δυνατά μηχανήματα δεν καταλαβαίνω γιατί να κάνουμε τόση οικονομία στους πόρους.

Το έχω πει πολλές φορές.
Με ενδιαφέρει να ελέγχω ότι έρχεται από έξω προς τα μέσα.
Όχι ότι μπορεί να κινείται στο ρούτερ πχ από εσωτερική κίνηση μεταξύ των client.
Και αυτό γιατί το ΜΤ το έχω σπίτι μου που όλα μου τα μηχανήματα είναι εγγυημένα.
Αν πρόκειται για κάποιο internet cafe... φυσικά και πρέπει να προστεθούν επιπλέον κανόνες.

Με αυτή την λογική δεν τίθεται θέμα πόρων.
Δηλαδή... δεν σημαίνει ότι επειδή έχω ένα καλό RB ή ένα CCR θα πρέπει να το βάζω να ελέγχει να πράγματα που δεν χρειάζομαι.
Είναι σαν να λέω πχ ότι θα βάλω ουρά για tor στο qos την ώρα που δεν χρησιμοποιώ καθόλου tor.

Οπότε συνοψίζω:
1. Βάζω μόνο Input και μόνο για Incoming (In-interface)
ώστε να μην περνάει τίποτε στο forward από αυτά που δεν θέλω.
2. Αφήνω να περάσουν ανεξέλεγκτα όλα όσα έρχονται από το εσωτερικό δίκτυο και προορίζονται προς το ρούτερ και έξω.

ΥΓ
Στο qos κάνω το αντίστροφο.

[macro]

Oταν ενα πισι στο εσωτερικο σου δικτυο ζητησει καποια πληροφορια στο ιντερνετ, θα περασει μονο απο forward μεσα απο το ρουτερ για να παει τελικα στο πισι σου. Αυτο σημαινει οτι οι clients ειναι non firewall.