Αφιέρωσε λίγο χρόνο να διαβάσεις το συγκεκριμένο Post προσπάθησε να κατανοήσεις τις εντολές για το firewall και τι ακριβώς κάνουν. Όλες σχεδόν τις απορίες που είχαμε όλοι μας τις έχουμε λύσει εδώ μέσα.
Πάρτο όπως σου είπε και ο Deni από το τέλος, μόλις καταλήξεις σε κάποιο οριστικό setup ανέβασέ το εδώ και ότι απορίες έχεις θα σου απαντήσουμε.
Σε κάθε έναν από εμάς διαφέρει το firewall δεν έχουμε όλοι τα ίδια. Είναι τι ακριβώς θέλεις να κάνεις. Τι πρέπει να του επιτρέψεις και τι όχι.
Μην ξεχνάς backup πριν..... backup μετά ......για να είσαι ήσυχος.
Εμφάνιση 1.156-1.170 από 2112
-
29-10-18, 21:54 Απάντηση: Mikrotik IPv4/IPv6 firewall #1156
Τελευταία επεξεργασία από το μέλος jkarabas : 29-10-18 στις 22:06.
CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
30-10-18, 12:43 Απάντηση: Mikrotik IPv4/IPv6 firewall #1157
Αυτο ειναι ενα generic που χρησιμοποιω σε ολους και δουλευει πολυ καλα.
Κώδικας:/ip firewall filter add action=accept chain=input comment="Accept Input Established Related " connection-state=established,related add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" protocol=tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=drop chain=input comment="______Drop port scanners from list" src-address-list="Port Scanners" add action=drop chain=forward comment=Ransomware_Protection_Ports dst-port=135-139,445,3389 protocol=tcp add action=drop chain=forward dst-port=135-139,445,3389 protocol=udp add action=jump chain=forward comment="Make jumps to ICMP chains" jump-target=icmp protocol=icmp add action=accept chain=forward comment="Accept forward established,related" connection-state=established,related add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp add action=drop chain=icmp comment="deny all other types" add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge add action=drop chain=input comment="Drop everything else Input" add action=drop chain=forward comment="Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat log=yes log-prefix="Drop everything else Forward____!DST_NAT"
Άλλα Ντάλλα....
-
31-10-18, 18:21 Απάντηση: Mikrotik IPv4/IPv6 firewall #1158
Super...
Κώδικας:add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge
Κώδικας:add action=accept chain=input comment="Allow all input from LAN" in-interface=!all ppp add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all ppp
Τελευταία επεξεργασία από το μέλος jkarabas : 31-10-18 στις 18:27.
CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
31-10-18, 18:56 Απάντηση: Mikrotik IPv4/IPv6 firewall #1159
Αυτο ειναι τρυπα μεγαλε........... επιτρεπεις ολες τις συνδεσεις απο το wan. Αυτα που μπορεις να βαλεις ειναι lan, bridge, src. address και address list...... τιποτα αλλο.
Άλλα Ντάλλα....
-
31-10-18, 19:10 Απάντηση: Mikrotik IPv4/IPv6 firewall #1160
To !all ppp γιατί είναι τρύπα; Το ίδιο με άλλα λόγια δεν είναι; Έτσι νομίζω. Ότι δεν είναι ppp άρα....βάζει και το bridge μέσα. Ή λάθος το καταλαβαίνω;
Όταν αναφέρεσαι στο intrface bridge εννοείς το wan σου; δηλ. την eth που έχεις συνδέσει το Modem σου; ή το bridge στο LAN σου;Τελευταία επεξεργασία από το μέλος jkarabas : 31-10-18 στις 19:15.
CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
31-10-18, 19:23 Απάντηση: Mikrotik IPv4/IPv6 firewall #1161
Γιατι εγω δεν εχω pppoe αλλα wan που χτυπαει σε 2 ether. Τεσπα το σωστο ειναι να βαζεις το λαν αφου ο κανονας αφορα το λαν, για να αποφευγονται τετοιες περιπτωσεις. Και αυτο που λες αν δε δουλεψουν τα bridge δεν ισχυει.......
Άλλα Ντάλλα....
-
31-10-18, 22:00 Απάντηση: Mikrotik IPv4/IPv6 firewall #1162
Εννοούσα σε περίπτωση που το έχει ονομάσει κάποιος το interface bridge1 και όχι bridge όπως το αναφέρεις, με κάποιο copy paste του κανόνα σου στο terminal δεν θα δουλέψει η εντολή. Αυτό εννοούσα.
ΟΚ δεν πρόσεξα ότι δεν είχες pppoe.
- - - Updated - - -
Με την ευκαιρία ήθελα να ρωτήσω ότι στο Drop input everything else πιάνω συνέχεια κίνηση.
Όταν δίνω log μου καταγράφει μια src mac με πρωτόκολλο udp η οποία από αναζήτηση είναι Cisco συσκευή.
Πάνω στο δίκτυο έχω voip συσκευή cisco αλλά δεν είναι αυτή η mac.
Εσείς πιάνετε πάντα κίνηση στο input?
Γνωρίζει κάποιος τι μπορεί να είναι;CPU: Intel Core I7 920@2,66Ghz,GPU: nVidia Asus ENGTS 250/DI/CUBA 512MD3 ,RAM:3x1GΒ Corsair TR3G1333 PC3@1333Mhz, PSU: Thermaltake 650W,Μοtherboard: Asus P6TD DELUXE, CASE: CoolerMaster ENTURION
-
31-10-18, 23:05 Απάντηση: Mikrotik IPv4/IPv6 firewall #1163
-
01-11-18, 12:18 Απάντηση: Mikrotik IPv4/IPv6 firewall #1164
-
02-12-18, 10:27 Απάντηση: Mikrotik IPv4/IPv6 firewall #1165
καλημερα, καλη Κυριακη!
μηπως καποιο παλικαρι ξερει ποιος κανονας ειναι που κανουμε να μην μπορουν να μας σκαναρουν και να μην φαινονται οι πορτες μας απεξω?
γιατι βλεπω στα logs στο 109 οτι μια ip Ινδιας! προσπαθει να μπει winbox/dude αλλα τρωει πορτα γιατι αυτα τα εχω ανοιχτα μονο προς awmn subnets και μονο προς τα δικα μου.
Δεν ειμαι πλεον σε pppoe client με adsl bridge modem, παιζω με DMZ https://www.adslgr.com/forum/threads...ik-RB-DMZ-host απο το adsl router και εκει εχω κλεισει το firewall τωρα.
Οι κανονες ειναι οι ιδιοι που ηταν πριν αλλα κατι δεν πιανει προφανως!
Επισης η ether1 που ηταν πριν το adsl modem στο ιδιο subnet και αυτη την ειχα bridge με τις αλλες και το wifi, τωρα ειναι εκτος bridge και εχει 192.168.1.X
-
02-12-18, 11:06 Απάντηση: Mikrotik IPv4/IPv6 firewall #1166
Δε νομίζω ότι μπορείς να κάνεις κάτι. Η πόρτα φαίνεται ανοικτή λόγω DMZ στο Speedport. Οπότε προσπαθεί να συνδεθεί αλλά τρώει άκυρο από το ΜΤ.
Γι' αυτό είχαμε πει ότι σε DMZ χρειάζεται καλή προστασία με κανόνες στο 2ο router.
Η άλλη λύση είναι 2πλό ΝΑΤ και port forwarding και στις 2 συσκευές.
-
02-12-18, 11:42 Απάντηση: Mikrotik IPv4/IPv6 firewall #1167
καλημερα, οχι δεν μιλαω για το Speedport, εκεινο ειναι στο εξοχικο, προς το παρον θα παιζει κανονικα σαν adsl router μεχρι να υπαρξει χρονος να παω εκει να μεινω ενα ΣΚ να βαλω ενα adsl modem μαλλον το ZTE W300 για να κανω bridge οταν ληξει το συμβολαιο με την κινητη και μετα, για να ελευθερωθει το 951 που τωρα εχει το στικ κινητης. Μετα απο του χρονου δλδ θα ασχοληθω.
Στην Αθηνα επειδη κανω δοκιμες με DMZ να δω πως παιζει κτλ γιατι θα μου χρειαστει για την INALAN που λεγαμε.
Ειμαι με το adsl router που εδινε η Forthnet αυτο εδω http://www.forthnet.gr/Article.aspx?a_id=7093
Το εψαξα και απο το κινητο μου μεσω 4G να κανω διαφορες συνδεσεις να δω τι θα κανει ολα τρωνε πορτα γιατι δεν εχω δωσει προσβαση απο το ip-services μεσω 0.0.0.0/0
οποτε μπορω να μπω μονο μεσω openvpn που παιρνω awmn subnet απο τα δικα μου.
Απλα θα ηθελα να μην φαινονται απεξω οι πορτες.
Απο σκαναρισματα με προγραμματα στο android φαινονται ρε γμτ.
Αυτο με το διπλο ΝΑΤ δεν μου αρεσει και δεν ξερω και τι setup θελει.
Για το DMZ δεν καταλαβαινω τι διαφορετικους κανονες θελει.
Διαβαζω αυτα προσπαθω να καταλαβω αλλα δεν....
https://wiki.mikrotik.com/wiki/How_t...estination_NAT
- - - Updated - - -
Στο awmn router 433AH εχω firewall rules για τις εσωτερικες μου συσκευες και επιτρεπω μονο δικα μου subnets σε οποια δεν ειναι για να την βλεπει ολο το AWMN, συμπεριλαμβανομενου και του 109 φυσικα.
- - - Updated - - -
και αυτο ειναι το firewall στο 109, τα /24 ειναι subnets awmn του εξοχικου, το /27 ειναι Αθηνας.
Κώδικας:/ip firewall filter add action=accept chain=input dst-address=10.X.XXX.0/27 src-address=10.XX.XX.0/24 add action=accept chain=forward dst-address=10.X.XXX.0/27 src-address=10.XX.XX.0/24 add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=ether1-WAN protocol=tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners" add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp add action=accept chain=forward connection-nat-state=dstnat add action=accept chain=input connection-nat-state=dstnat add action=accept chain=forward comment="from openvpn" in-interface=all-ppp src-address=10.X.XXX.248/29 add action=accept chain=input comment="from openvpn" in-interface=all-ppp src-address=10.X.XX.248/29 add action=accept chain=forward comment=L2TP in-interface=all-ppp src-address=10.X.XX.128/29 add action=accept chain=input comment=L2TP in-interface=all-ppp src-address=10.X.XX.128/29 add action=accept chain=input comment="L2TP port traffic" dst-port=1701 log=yes protocol=udp add action=accept chain=input comment="L2tp internet key exchange" dst-port=500 log=yes protocol=udp add action=accept chain=input comment="IPSec Network Address Translation (NAT-T) " dst-port=4500 log=yes protocol=udp add action=accept chain=input log=yes protocol=ipsec-ah add action=accept chain=input log=yes protocol=ipsec-esp add action=drop chain=forward comment="Drop forward everything else" log-prefix=forward-all-others add action=drop chain=input comment="Drop input everything else" add action=drop chain=forward dst-address-list=10.X.XXX.3 src-address-list=192.168.1.0/24
-
02-12-18, 12:35 Απάντηση: Mikrotik IPv4/IPv6 firewall #1168
Πουτανα ειναι το firewall σου, Βαλτα με τη σειρα, πρωτα τα inputs και μετα τα forward. Παρε παραδειγμα........
Κώδικας:/ip firewall filter add action=accept chain=input comment="Accept Input Established Related Untracked" connection-state=established,related,untracked add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge add action=drop chain=input comment="Drop everything else Input" add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" protocol=tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=drop chain=input comment="______Drop port scanners from list" src-address-list="Port Scanners" add action=drop chain=forward comment=Ransomware_Protection_Ports dst-port=67-69,111,135-139,445,3389,2049,3133,12345-12346,20034 protocol=tcp add action=drop chain=forward dst-port=69,111,135-139,445,2049,3133,3389 protocol=udp add action=jump chain=forward comment="Make jumps to ICMP chains" jump-target=icmp protocol=icmp add action=accept chain=forward comment="Accept forward Established Related Untracked" connection-state=established,related,untracked add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp add action=drop chain=icmp comment="deny all other types" add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge add action=drop chain=forward comment="Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat
Άλλα Ντάλλα....
-
02-12-18, 13:13 Απάντηση: Mikrotik IPv4/IPv6 firewall #1169
-
02-12-18, 14:01 Απάντηση: Mikrotik IPv4/IPv6 firewall #1170
Καλο ειναι να τα δειχνουμε με export των εντολων γιατι ετσι δεν φαινονται τα αλλα απο πισω στις αλλες καρτελες τι εχει και δεν βγαζεις συμπερασμα σωστο.
Επισης πορτες σε υπηρεσιες δεν βλεπω καποιον λογο να αλλαξω γιατι δεν τις βγαζω στο ιντερνετ παιζουν οπως ειδες σε awmn subnets και κανω απο το awmn router ενα 433AH εκει firewall rules για ποια θα υπαρχει προσβαση και ποια οχι.
Το προβλημα μου ειναι οτι μεσω DMZ απο το 1ο (adsl router) στο 2ο (mikrotik 109RB) προωθει ολη την ιντερνετικη κινηση στο 2ο και ειναι σαν ανοιχτες οι πορτες αλλα δεν ειναι πραγματικα, απλα φαινονται απο εξω σε ενα port scanning.
εγω λοιπον θελω να τις κανω να μην φαινονται οπως γινοταν πριν με τους ιδιους κανονες που εχω τωρα οταν επαιζα με adsl modem σε bridge mode δλδ και στο mikrotik με PPPOE CLIENT.
Αυτο ρωτησα αν γινεται καπως και μονο ο Jkoukos μου απαντησε σχετικα.
Και εμενα ολα καλα ηταν πριν κανω αυτο με το DMZ https://en.wikipedia.org/wiki/DMZ_(computing) εδω και παρα παρα πολυ καιρο.
@macro θα τα φτιαξω λιγο αργοτερα γιατι κανω κατι αλλο τωρα, ευχαριστω!
- - - Updated - - -
Ξεχασα να πω αν ενεργοποιησω το firewall στο adsl router φαινεται να λυνεται το προβλημα, αλλα θα προτιμουσα να το εχω απο εκει κλειστο και να κανει κουμαντο το mikroti, αλλα οπως ολα δειχνουν δεν ειναι ετσι ο τροπος που παιζει το DMZ. Επισης αυτο το ΖΤΕ της Forthnet δεν εχει αρκετες επιλογες στο firewall καποια αλλα ειναι πολυ καλυτερα και ποιο ασφαλες οπως το ΖΤΕ 931Vii, μαλλον πρεπει να βαλω αλλο στην γραμμη....
Παρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks