Mikrotik IPv4/IPv6 firewall

[jkarabas]

Παιδιά μπορείτε να μου πείτε Σε ποιά σελίδα βρίσκονται οι τελευταίοι και πιο ενημερωμένοι κανόνες του firewall?

Αφιέρωσε λίγο χρόνο να διαβάσεις το συγκεκριμένο Post προσπάθησε να κατανοήσεις τις εντολές για το firewall και τι ακριβώς κάνουν. Όλες σχεδόν τις απορίες που είχαμε όλοι μας τις έχουμε λύσει εδώ μέσα.
Πάρτο όπως σου είπε και ο Deni από το τέλος, μόλις καταλήξεις σε κάποιο οριστικό setup ανέβασέ το εδώ και ότι απορίες έχεις θα σου απαντήσουμε.
Σε κάθε έναν από εμάς διαφέρει το firewall δεν έχουμε όλοι τα ίδια. Είναι τι ακριβώς θέλεις να κάνεις. Τι πρέπει να του επιτρέψεις και τι όχι.
Μην ξεχνάς backup πριν..... backup μετά ......για να είσαι ήσυχος.

[macro]

Αυτο ειναι ενα generic που χρησιμοποιω σε ολους και δουλευει πολυ καλα.

Κώδικας:

/ip firewall filter
add action=accept chain=input comment="Accept Input Established Related " connection-state=established,related
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid

add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="Port Scanners"

add action=drop chain=forward comment=Ransomware_Protection_Ports dst-port=135-139,445,3389 protocol=tcp
add action=drop chain=forward dst-port=135-139,445,3389 protocol=udp

add action=jump chain=forward comment="Make jumps to ICMP chains" jump-target=icmp protocol=icmp

add action=accept chain=forward comment="Accept forward established,related" connection-state=established,related
add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid

add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"

add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge

add action=drop chain=input comment="Drop everything else Input"
add action=drop chain=forward comment="Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat  log=yes log-prefix="Drop everything else Forward____!DST_NAT"

[jkarabas]

Αυτο ειναι ενα generic που χρησιμοποιω σε ολους και δουλευει πολυ καλα.

Κώδικας:

/ip firewall filter
add action=accept chain=input comment="Accept Input Established Related " connection-state=established,related
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid

add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="Port Scanners"

add action=drop chain=forward comment=Ransomware_Protection_Ports dst-port=135-139,445,3389 protocol=tcp
add action=drop chain=forward dst-port=135-139,445,3389 protocol=udp

add action=jump chain=forward comment="Make jumps to ICMP chains" jump-target=icmp protocol=icmp

add action=accept chain=forward comment="Accept forward established,related" connection-state=established,related
add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid

add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"

add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge

add action=drop chain=input comment="Drop everything else Input"
add action=drop chain=forward comment="Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat  log=yes log-prefix="Drop everything else Forward____!DST_NAT"

Super...

Κώδικας:

add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge

Αν τα in-interface=Bridge δεν σου δουλέψουν διότι δεν ξέρουμε πως τα έχεις ονομάσει θα βάλεις:

Κώδικας:

add action=accept chain=input comment="Allow all input from LAN" in-interface=!all ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all ppp

[macro]

Αυτο ειναι τρυπα μεγαλε........... επιτρεπεις ολες τις συνδεσεις απο το wan. Αυτα που μπορεις να βαλεις ειναι lan, bridge, src. address και address list...... τιποτα αλλο.

[jkarabas]

To !all ppp γιατί είναι τρύπα; Το ίδιο με άλλα λόγια δεν είναι; Έτσι νομίζω. Ότι δεν είναι ppp άρα....βάζει και το bridge μέσα. Ή λάθος το καταλαβαίνω;
Όταν αναφέρεσαι στο intrface bridge εννοείς το wan σου; δηλ. την eth που έχεις συνδέσει το Modem σου; ή το bridge στο LAN σου;

[macro]

Γιατι εγω δεν εχω pppoe αλλα wan που χτυπαει σε 2 ether. Τεσπα το σωστο ειναι να βαζεις το λαν αφου ο κανονας αφορα το λαν, για να αποφευγονται τετοιες περιπτωσεις. Και αυτο που λες αν δε δουλεψουν τα bridge δεν ισχυει.......

[jkarabas]

Γιατι εγω δεν εχω pppoe αλλα wan που χτυπαει σε 2 ether. Τεσπα το σωστο ειναι να βαζεις το λαν αφου ο κανονας αφορα το λαν, για να αποφευγονται τετοιες περιπτωσεις. Και αυτο που λες αν δε δουλεψουν τα bridge δεν ισχυει.......

Εννοούσα σε περίπτωση που το έχει ονομάσει κάποιος το interface bridge1 και όχι bridge όπως το αναφέρεις, με κάποιο copy paste του κανόνα σου στο terminal δεν θα δουλέψει η εντολή. Αυτό εννοούσα.
ΟΚ δεν πρόσεξα ότι δεν είχες pppoe.

- - - Updated - - -

Με την ευκαιρία ήθελα να ρωτήσω ότι στο Drop input everything else πιάνω συνέχεια κίνηση.
Όταν δίνω log μου καταγράφει μια src mac με πρωτόκολλο udp η οποία από αναζήτηση είναι Cisco συσκευή.
Πάνω στο δίκτυο έχω voip συσκευή cisco αλλά δεν είναι αυτή η mac.
Εσείς πιάνετε πάντα κίνηση στο input?
Γνωρίζει κάποιος τι μπορεί να είναι;

[puntomania]

Αυτο ειναι ενα generic που χρησιμοποιω σε ολους και δουλευει πολυ καλα.

Κώδικας:

/ip firewall filter
add action=accept chain=input comment="Accept Input Established Related " connection-state=established,related
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid

add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="Port Scanners"

add action=drop chain=forward comment=Ransomware_Protection_Ports dst-port=135-139,445,3389 protocol=tcp
add action=drop chain=forward dst-port=135-139,445,3389 protocol=udp

add action=jump chain=forward comment="Make jumps to ICMP chains" jump-target=icmp protocol=icmp

add action=accept chain=forward comment="Accept forward established,related" connection-state=established,related
add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid

add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"

add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge

add action=drop chain=input comment="Drop everything else Input"
add action=drop chain=forward comment="Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat  log=yes log-prefix="Drop everything else Forward____!DST_NAT"

κάπου είχε αναφερθεί... για κανόνα που βάζουμε με την 53... και στο ΝΑΤ το ίδιο... αλλά δεν το βρίσκω τώρα...

- - - Updated - - -

να ήταν αυτό...

[macro]

κάπου είχε αναφερθεί... για κανόνα που βάζουμε με την 53... και στο ΝΑΤ το ίδιο... αλλά δεν το βρίσκω τώρα...

- - - Updated - - -

να ήταν αυτό...

δε χρειαζεται μιας και πιανεται απο το drop everything.

- - - Updated - - -

Εννοούσα σε περίπτωση που το έχει ονομάσει κάποιος το interface bridge1 και όχι bridge όπως το αναφέρεις, με κάποιο copy paste του κανόνα σου στο terminal δεν θα δουλέψει η εντολή. Αυτό εννοούσα.
ΟΚ δεν πρόσεξα ότι δεν είχες pppoe.

- - - Updated - - -

Με την ευκαιρία ήθελα να ρωτήσω ότι στο Drop input everything else πιάνω συνέχεια κίνηση.
Όταν δίνω log μου καταγράφει μια src mac με πρωτόκολλο udp η οποία από αναζήτηση είναι Cisco συσκευή.
Πάνω στο δίκτυο έχω voip συσκευή cisco αλλά δεν είναι αυτή η mac.
Εσείς πιάνετε πάντα κίνηση στο input?
Γνωρίζει κάποιος τι μπορεί να είναι;

Στο input εισαι ενταξει. Το forward να μη πιανει.

[Nikiforos]

καλημερα, καλη Κυριακη!
μηπως καποιο παλικαρι ξερει ποιος κανονας ειναι που κανουμε να μην μπορουν να μας σκαναρουν και να μην φαινονται οι πορτες μας απεξω?
γιατι βλεπω στα logs στο 109 οτι μια ip Ινδιας! προσπαθει να μπει winbox/dude αλλα τρωει πορτα γιατι αυτα τα εχω ανοιχτα μονο προς awmn subnets και μονο προς τα δικα μου.
Δεν ειμαι πλεον σε pppoe client με adsl bridge modem, παιζω με DMZ https://www.adslgr.com/forum/threads...ik-RB-DMZ-host απο το adsl router και εκει εχω κλεισει το firewall τωρα.
Οι κανονες ειναι οι ιδιοι που ηταν πριν αλλα κατι δεν πιανει προφανως!
Επισης η ether1 που ηταν πριν το adsl modem στο ιδιο subnet και αυτη την ειχα bridge με τις αλλες και το wifi, τωρα ειναι εκτος bridge και εχει 192.168.1.X

[jkoukos]

Δε νομίζω ότι μπορείς να κάνεις κάτι. Η πόρτα φαίνεται ανοικτή λόγω DMZ στο Speedport. Οπότε προσπαθεί να συνδεθεί αλλά τρώει άκυρο από το ΜΤ.
Γι' αυτό είχαμε πει ότι σε DMZ χρειάζεται καλή προστασία με κανόνες στο 2ο router.
Η άλλη λύση είναι 2πλό ΝΑΤ και port forwarding και στις 2 συσκευές.

[Nikiforos]

Δε νομίζω ότι μπορείς να κάνεις κάτι. Η πόρτα φαίνεται ανοικτή λόγω DMZ στο Speedport. Οπότε προσπαθεί να συνδεθεί αλλά τρώει άκυρο από το ΜΤ.
Γι' αυτό είχαμε πει ότι σε DMZ χρειάζεται καλή προστασία με κανόνες στο 2ο router.
Η άλλη λύση είναι 2πλό ΝΑΤ και port forwarding και στις 2 συσκευές.

καλημερα, οχι δεν μιλαω για το Speedport, εκεινο ειναι στο εξοχικο, προς το παρον θα παιζει κανονικα σαν adsl router μεχρι να υπαρξει χρονος να παω εκει να μεινω ενα ΣΚ να βαλω ενα adsl modem μαλλον το ZTE W300 για να κανω bridge οταν ληξει το συμβολαιο με την κινητη και μετα, για να ελευθερωθει το 951 που τωρα εχει το στικ κινητης. Μετα απο του χρονου δλδ θα ασχοληθω.

Στην Αθηνα επειδη κανω δοκιμες με DMZ να δω πως παιζει κτλ γιατι θα μου χρειαστει για την INALAN που λεγαμε.
Ειμαι με το adsl router που εδινε η Forthnet αυτο εδω http://www.forthnet.gr/Article.aspx?a_id=7093

Το εψαξα και απο το κινητο μου μεσω 4G να κανω διαφορες συνδεσεις να δω τι θα κανει ολα τρωνε πορτα γιατι δεν εχω δωσει προσβαση απο το ip-services μεσω 0.0.0.0/0
οποτε μπορω να μπω μονο μεσω openvpn που παιρνω awmn subnet απο τα δικα μου.
Απλα θα ηθελα να μην φαινονται απεξω οι πορτες.
Απο σκαναρισματα με προγραμματα στο android φαινονται ρε γμτ.
Αυτο με το διπλο ΝΑΤ δεν μου αρεσει και δεν ξερω και τι setup θελει.
Για το DMZ δεν καταλαβαινω τι διαφορετικους κανονες θελει.

Διαβαζω αυτα προσπαθω να καταλαβω αλλα δεν....
https://wiki.mikrotik.com/wiki/How_t...estination_NAT

- - - Updated - - -

Στο awmn router 433AH εχω firewall rules για τις εσωτερικες μου συσκευες και επιτρεπω μονο δικα μου subnets σε οποια δεν ειναι για να την βλεπει ολο το AWMN, συμπεριλαμβανομενου και του 109 φυσικα.

- - - Updated - - -

και αυτο ειναι το firewall στο 109, τα /24 ειναι subnets awmn του εξοχικου, το /27 ειναι Αθηνας.

Κώδικας:

/ip firewall filter
add action=accept chain=input dst-address=10.X.XXX.0/27 src-address=10.XX.XX.0/24
add action=accept chain=forward dst-address=10.X.XXX.0/27 src-address=10.XX.XX.0/24
add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=ether1-WAN protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=accept chain=forward connection-nat-state=dstnat
add action=accept chain=input connection-nat-state=dstnat
add action=accept chain=forward comment="from openvpn" in-interface=all-ppp src-address=10.X.XXX.248/29
add action=accept chain=input comment="from openvpn" in-interface=all-ppp src-address=10.X.XX.248/29
add action=accept chain=forward comment=L2TP in-interface=all-ppp src-address=10.X.XX.128/29
add action=accept chain=input comment=L2TP in-interface=all-ppp src-address=10.X.XX.128/29
add action=accept chain=input comment="L2TP port traffic" dst-port=1701 log=yes protocol=udp
add action=accept chain=input comment="L2tp internet key exchange" dst-port=500 log=yes protocol=udp
add action=accept chain=input comment="IPSec Network Address Translation (NAT-T) " dst-port=4500 log=yes protocol=udp
add action=accept chain=input log=yes protocol=ipsec-ah
add action=accept chain=input log=yes protocol=ipsec-esp
add action=drop chain=forward comment="Drop forward everything else" log-prefix=forward-all-others
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward dst-address-list=10.X.XXX.3 src-address-list=192.168.1.0/24

αυτο το bold γιατι δεν το βλεπω μεσα απο το winbox???

[macro]

Πουτανα ειναι το firewall σου, Βαλτα με τη σειρα, πρωτα τα inputs και μετα τα forward. Παρε παραδειγμα........

Κώδικας:

/ip firewall filter
add action=accept chain=input comment="Accept Input Established Related Untracked" connection-state=established,related,untracked
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid
add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge
add action=drop chain=input comment="Drop everything else Input"

add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="Port Scanners"

add action=drop chain=forward comment=Ransomware_Protection_Ports dst-port=67-69,111,135-139,445,3389,2049,3133,12345-12346,20034 protocol=tcp
add action=drop chain=forward dst-port=69,111,135-139,445,2049,3133,3389 protocol=udp

add action=jump chain=forward comment="Make jumps to ICMP chains" jump-target=icmp protocol=icmp

add action=accept chain=forward comment="Accept forward Established Related Untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid

add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"

add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge
add action=drop chain=forward comment="Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat

[romankonis]

Αυτό είναι δικό, ένα χρόνο δεν έχω κάνει αλλαγές, και όλα καλά. Βάλε DDNS scripte όχι του Mikrotik

[Nikiforos]

Καλο ειναι να τα δειχνουμε με export των εντολων γιατι ετσι δεν φαινονται τα αλλα απο πισω στις αλλες καρτελες τι εχει και δεν βγαζεις συμπερασμα σωστο.
Επισης πορτες σε υπηρεσιες δεν βλεπω καποιον λογο να αλλαξω γιατι δεν τις βγαζω στο ιντερνετ παιζουν οπως ειδες σε awmn subnets και κανω απο το awmn router ενα 433AH εκει firewall rules για ποια θα υπαρχει προσβαση και ποια οχι.
Το προβλημα μου ειναι οτι μεσω DMZ απο το 1ο (adsl router) στο 2ο (mikrotik 109RB) προωθει ολη την ιντερνετικη κινηση στο 2ο και ειναι σαν ανοιχτες οι πορτες αλλα δεν ειναι πραγματικα, απλα φαινονται απο εξω σε ενα port scanning.
εγω λοιπον θελω να τις κανω να μην φαινονται οπως γινοταν πριν με τους ιδιους κανονες που εχω τωρα οταν επαιζα με adsl modem σε bridge mode δλδ και στο mikrotik με PPPOE CLIENT.
Αυτο ρωτησα αν γινεται καπως και μονο ο Jkoukos μου απαντησε σχετικα.
Και εμενα ολα καλα ηταν πριν κανω αυτο με το DMZ https://en.wikipedia.org/wiki/DMZ_(computing) εδω και παρα παρα πολυ καιρο.

@macro θα τα φτιαξω λιγο αργοτερα γιατι κανω κατι αλλο τωρα, ευχαριστω!

- - - Updated - - -

Ξεχασα να πω αν ενεργοποιησω το firewall στο adsl router φαινεται να λυνεται το προβλημα, αλλα θα προτιμουσα να το εχω απο εκει κλειστο και να κανει κουμαντο το mikroti, αλλα οπως ολα δειχνουν δεν ειναι ετσι ο τροπος που παιζει το DMZ. Επισης αυτο το ΖΤΕ της Forthnet δεν εχει αρκετες επιλογες στο firewall καποια αλλα ειναι πολυ καλυτερα και ποιο ασφαλες οπως το ΖΤΕ 931Vii, μαλλον πρεπει να βαλω αλλο στην γραμμη....