Mikrotik IPv4/IPv6 firewall

[romankonis]

Το DMZ είναι συντομογραφία για την έκφραση DeMilitarized Zone, η οποία μεταφράζεται ως Demilitarized Zone. Στην ουσία, πρόκειται για ένα εξειδικευμένο τμήμα τοπικού δικτύου που περιλαμβάνει διαθέσιμες στο κοινό υπηρεσίες με πλήρη ανοικτή πρόσβαση στα εσωτερικά και εξωτερικά δίκτυα. Ταυτόχρονα, το οικιακό (ιδιωτικό) δίκτυο παραμένει κλειστό πίσω από τη συσκευή δικτύου και δεν υπάρχουν αλλαγές στη λειτουργία του.

Μετά την ενεργοποίηση αυτής της δυνατότητας, DMZ θα είναι προσβάσιμος με πλήρη έλεγχο της ασφάλειας του. Εννοώ, όλες οι ανοιχτές θύρες που βρίσκονται σε αυτήν τη ζώνη θα είναι προσβάσιμες από το Διαδίκτυο και το τοπικό δίκτυο.

- - - Updated - - -

Κώδικας:

/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
    established,related
add action=accept chain=forward connection-state=established,related
add chain=forward comment="Permit all PPP" in-interface=all-ppp
add chain=input comment="Permit PPTP" dst-port=1723 protocol=tcp
add chain=input comment="Permit L2TP" dst-port=1701 protocol=udp
add chain=input comment="Permit IPSec ports 500 and 4500" port=500,4500 \
    protocol=udp
add chain=input comment="Permit IPSec protocol ipsec-esp" protocol=ipsec-esp
add action=accept chain=input comment="Permit OpenVPN" dst-port=1194 \
    protocol=tcp
add action=accept chain=input comment="Permit SSTP" dst-port=443 protocol=tcp
add action=accept chain=input comment="Permit GRE" protocol=gre
add action=accept chain=input comment="Permit IPIP" protocol=ipip
add action=accept chain=output content="530 Login incorrect" dst-limit=\
    1/1m,9,dst-address/1m protocol=tcp
add action=fasttrack-connection chain=forward comment=FastTrack \
    connection-mark=!ipsec connection-state=established,related
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 \
    protocol=tcp src-address-list=ftp_blacklist
add action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=3h chain=output content="530 Login incorrect" \
    protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
    protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1w3d chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22 \
    protocol=tcp src-address-list=ssh_blacklist

[Nikiforos]

ναι την εχω διαβασει την θεωρια στην πραξη τι γινεται ειναι το θεμα.
Επειδη περιμενω inalan πολυ συντομα και το δικο της μηχανημα δεν μπαινει σε bridge mode, υπαρχουν 2 λυσεις για να εχω το δικο μου ρουτερ το 109 δλδ.
Η μια ειναι με το DMZ που το εχουν κανει και αλλοι χρηστες με αλλα ομως ρουτερ απο πισω, και η αλλη ειναι block ips +6 ευρω τον μηνα ομως για να εχει μια δικια του το mikrotik public, αν θελουμε static ακομα +1 ευρω τον μηνα.
Για να γλιτωνω λοιπον τα 7 ευρω τον μηνα προτιμω το DΜΖ. Eτσι για να "εκπαιδευτω" το εκανα απο τωρα με adsl router.
Για να μην επεκταθω σε ασχετα θεματα με το τοπικ μπορεις να δεις εδω αναλυτικα τι εχω κανει https://www.adslgr.com/forum/threads...ik-RB-DMZ-host
και εδω οι λογοι που ασχολουμε με το DMZ https://www.adslgr.com/forum/threads...LAN-FTTH/page3

- - - Updated - - -

μου φαινεται με το DMZ παιζουν καποιος αλλιως οι κανονες, εσυ με τι εισαι με pppoe client ?

[romankonis]

Βάλε DMZ και από πίσω mikrotik με τα rules σου, και θα έχεις ήσυχω το κεφάλι σου.

[Nikiforos]

Μπορει να δειχνουν οτι ειναι ανοιχτες οι πορτες αμα κανω ενα scan απο ενα προγραμμα android απο το κινητο μου, αλλα δεν μπαινει τιποτα πουθενα, μονο το openvpn που εχει καποιους κανονες προσθετους.
Απλα δεν ξερω πως να το κανω να μην μπορουν να σκαναριστουν οι πορτες.

- - - Updated - - -

Βάλε DMZ και από πίσω mikrotik με τα rules σου, και θα έχεις ήσυχω το κεφάλι σου.

αυτο εχω κανει ριξε μια ματια στο θεμα για να μην ειμαστε εδω offtopic, εδω ειναι τα εχω γραψει αναλυτικα https://www.adslgr.com/forum/threads...ik-RB-DMZ-host

[romankonis]

Έχω ZTE σε Bridge Mode και από πίσω το mikrotik μου. Υπάρχουν modem/routers με υποστηρίξει DMZ και με την δυνατότητα ρύθμισης του DMZ. Ψάξε αυτά για τώρα μέρχι θα πας στην inalan. Αλλά δεν βλέπω να υπάρχει λόγος)))

[Nikiforos]

Δυστυχως δεν ειχα ασχοληθει ποτε πριν με DMZ και δεν πολυκαταλαβαινω πως παιζει με τους κανονες Firewall, NAT κτλ, διαβαζω αλλα παλι δεν καταλαβαινω τα παντα.
Ηξερα μονο οτι αμα θες πχ σε ενα PC να εχεις ανοιχτες ολες τις πορτες για να μην ψαχνεσαι δηλωνες την ip του στο adsl router, δεν το ειχα δοκιμασει ομως ποτε, αυτο μεχρι εκει.

[macro]

Εγω παντως με dmz που παιζω δεν εχω τετοιο θεμα. Το fw στα adsl ρουτερ τα εχω ανοιχτα ομως επειδη δε κλεινουν. Στο drop everything else forward σου πιανει πακετα? Δε μιλαω για 1-2 φορες το χρονο αλλα καθημερινα. Αν σου πιανει πακετα τοτε καπου εχεις τρυπα, πιθανον σε input κανονα.

[Nikiforos]

Έχω ZTE σε Bridge Mode και από πίσω το mikrotik μου. Υπάρχουν modem/routers με υποστηρίξει DMZ και με την δυνατότητα ρύθμισης του DMZ. Ψάξε αυτά για τώρα μέρχι θα πας στην inalan. Αλλά δεν βλέπω να υπάρχει λόγος)))

Οσα ADSL routers εχω, που εχω πολλα ολα απο παροχους ΟΛΑ εχουν DMZ.
Επειδη μετα ετσι θα παιζω αναγκαστικα το εκανα απο τωρα για να μαθω.
Τι εννοεις δεν βλεπεις να υπαρχει λογος? για τι πραγμα?

- - - Updated - - -

Εγω παντως με dmz που παιζω δεν εχω τετοιο θεμα. Το fw στα adsl ρουτερ τα εχω ανοιχτα ομως επειδη δε κλεινουν. Στο drop everything else forward σου πιανει πακετα? Δε μιλαω για 1-2 φορες το χρονο αλλα καθημερινα. Αν σου πιανει πακετα τοτε καπου εχεις τρυπα, πιθανον σε input κανονα.

σε αυτο το ΖΤΕ που εχω πανω μπορει να κλεισει εντελως.
Τι εννοεις οτι δεν μπορει κανεις απεξω να σε σκαναρει?
αυτο θελω να γινεται οπως στο εξοχικο με τo speedport ολα μαμα, οπως ετσι γινοταν και πριν!
οταν εβαλα DMZ δεν γινεται.

Κώδικας:

[nikiforos@nikiforos-pc ~]$ nmap exoxiko.cctv.nik
Starting Nmap 7.70 ( https://nmap.org ) at 2018-12-02 13:27 EET
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.13 seconds

ναι εχεις δικιο για τον κανονα ειναι ολα μηδεν!!! θα αλλαξω τις σειρες σε λιγο οπως ειπες να το δω.

- - - Updated - - -

τελικα εκεινος ο κανονας ηταν εκεινος που ελεγα οτι δεν φαινεται μεσω winbox αχρηστος ηταν τον πεταξα.
Αλλαξα τις σειρες νομιζω ειναι ποιο καλα ετσι, αλλα τα port scanners δεν τα καταγραφει κατι ποιο πριν τα επιτρεπει μαλλον.
Πιστευω κατι απο εκεινα τα !all-ppp μηπως θελει κατι αλλο για interface?

Κώδικας:

/ip firewall filter
add action=accept chain=input dst-address=10.X.XXX.0/27 src-address=10.XX.XX.0/24
add action=accept chain=forward dst-address=10.X.XXX.0/27 src-address=10.XX.XX.0/24
add action=accept chain=input comment="Accept input established, related connections" connection-state=established,related
add action=accept chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=accept chain=input comment=OpenVPN dst-port=1722 port="" protocol=tcp
add action=accept chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp

add action=accept chain=forward connection-nat-state=dstnat
add action=accept chain=input connection-nat-state=dstnat

add action=accept chain=forward comment="from openvpn" in-interface=all-ppp src-address=10.X.XXX.248/29
add action=accept chain=input comment="from openvpn" in-interface=all-ppp src-address=10.X.XXX.248/29
add action=accept chain=forward comment=L2TP in-interface=all-ppp src-address=10.X.XXX.128/29
add action=accept chain=input comment=L2TP in-interface=all-ppp src-address=10.X.XXX.128/29
add action=accept chain=input comment="L2TP port traffic" dst-port=1701 log=yes protocol=udp
add action=accept chain=input comment="L2tp internet key exchange" dst-port=500 log=yes protocol=udp
add action=accept chain=input comment="IPSec Network Address Translation (NAT-T) " dst-port=4500 log=yes protocol=udp
add action=accept chain=input log=yes protocol=ipsec-ah
add action=accept chain=input log=yes protocol=ipsec-esp

add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=ether1-WAN protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg

add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid

add action=drop chain=forward comment="Drop forward everything else" log-prefix=forward-all-others
add action=drop chain=input comment="Drop input everything else"

θυμηθηκα και αυτη την σελιδα που ειχα ποσταρει παλιοτερα και λεω να βαλω και κατι παραπανω για προστασια επιπλεον.
Επισης παλι αλλη ip απο Ινδια μου επεσε το ειδα στα logs λεει απο winbox/dude

- - - Updated - - -

νομιζω το βρηκα το προβλημα!

Κώδικας:

add action=accept chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp

στα bolds θελει το bridge interface δεν ξερω γιατι ειχα αυτο!
τωρα και καταγραφει τα scanners αλλα και οπως φαινεται δεν δειχνει τις πορτες ανοιχτες, μονο 2 που ειναι στο adsl router ομως, και αυτη του openvpn.

- - - Updated - - -

[macro]

Αυτο το !all-ppp ειναι λαθος και λειτουργει μονο σε μια κανονικη συνδεση pppoe. Σε ολες τις αλλες συνδεσεις ειναι μονο τρυπα. Εκει πρεπει να βαλεις ή bridge ή lan αν δε εχεις bridge.

[Nikiforos]

Αυτο το !all-ppp ειναι λαθος και λειτουργει μονο σε μια κανονικη συνδεση pppoe. Σε ολες τις αλλες συνδεσεις ειναι μονο τρυπα. Εκει πρεπει να βαλεις ή bridge ή lan αν δε εχεις bridge.

ναι απομειναρι απο το παλιο setup το βρηκα χαρης στα δικα σου ποιο πριν, ολα καλα τωρα, ευχαριστω!
επισης παιζει και hairpin nat, δλδ πριν δεν μπορουσα στο τοπικο δικτυο να παιξω με το ονομα του noip, τωρα γινεται και αυτο!!!

[xhaos]

ρε παιδιά sorry γιατί διάβασα τους κανόνες διαγώνια, αλλα νομίζω οτι το dmz το έχετε πάρει λάθος.
dms είναι ένα ξεχωριστό subnet από το υπόλοιπο (πχ 192,168,1,0 και 192,168,0,0) στο οποίο μπορούμε να το δούμε απο το lan αλλά από το dmz δεν μπορούμε να δούμε καθόλου το Lan.

[Nikiforos]

ρε παιδιά sorry γιατί διάβασα τους κανόνες διαγώνια, αλλα νομίζω οτι το dmz το έχετε πάρει λάθος.
dms είναι ένα ξεχωριστό subnet από το υπόλοιπο (πχ 192,168,1,0 και 192,168,0,0) στο οποίο μπορούμε να το δούμε απο το lan αλλά από το dmz δεν μπορούμε να δούμε καθόλου το Lan.

καλησπέρα, αν δεν σου κανει κοπο δες το θεμα εδω https://www.adslgr.com/forum/threads...ik-RB-DMZ-host και συνεχιζουμε εκει για να μην ειμαστε εδω offtopic.
Εξηγω και τους λογους που το χρειαζομαι.
Μια χαρα βλεπεις το lan αμα εχεις τους καταλληλους κανονες.
Πχ εγω εχω στο adsl router ανοιχτο το wifi οκ? εχω subnet 192.168.1.0/24 εχω μια ipcamera παιρνει ip απο αυτο την 4 πχ.
Εχω το κινητο μου στο 109 στο wifi του με subnet 10.X.XXX.0/27 (awmn subnet) και εχει παρει την .21.
Πως την βλεπω κανονικα?
και πως απο το pc μου ανοιγω την καμερα απο τον browser στο 192.168.1.4 ενω το pc μου εχει ip 10.X.XXX.6 ?
Ειναι θεμα κανονων firewall-NAT.
Δες και στο αλλο θεμα, ολα παιζουν αψογα δεν εχω τωρα κανενα προβλημα.

Μιας και εγραψα μιλησα πριν με το φιλο που του εδινα l2tp+ipsec και δεν του χρειαζεται πλεον οποτε στο 109 θα ξεβρωμισει ο τοπος, μονο openvpn θα μεινει....

[xhaos]

Το θέμα είναι ότι από DMZ δεν πρέπει να μπορείς να δεις lan. Αν μπορείς τότε δεν είναι dmz
Η λογική είναι αν αποκτήσουν πρόσβαση σε μηχάνημα που είναι στη dmz να μη μπορέσουν να δούνε το λαν

[Nikiforos]

Το θέμα είναι ότι από DMZ δεν πρέπει να μπορείς να δεις lan. Αν μπορείς τότε δεν είναι dmz
Η λογική είναι αν αποκτήσουν πρόσβαση σε μηχάνημα που είναι στη dmz να μη μπορέσουν να δούνε το λαν

δες στο αλλο θεμα τι θελω να κανω εχω εξηγησει εκει.
για να εξηγησω εδω ειναι εντελως offtopic.
Kαι αυτο το θεμα απο εδω φτασαμε στο αλλο https://www.adslgr.com/forum/threads...LAN-FTTH/page3

- - - Updated - - -

θα πω μονο κατι που εχει να κανει με το firewall, αν δεν ειναι DMZ οπως λες τοτε γιατι ΧΩΡΙΣ να εχω ανοιχτες πορτες μπορει και παιζει πχ το openvpn?
και δεν εχω ουτε στο adsl router, ουτε και στο mikrotik στο 109 δλδ.
Mετα εχει αλλαξει η συμπεριφορα σχετικα με τις πορτες δεν θελουν ανοιγμα με τον ιδιο τροπο.
Εχω αλλαξει και διαφορους αλλους κανονες.
Επισης στο ip-firewall-connections βλεπω τις συνδεσεις πως πανε σωστα μου φαινονται.
Τα αλλα σχετικα με το DMZ και τους λογους δες τα 2 θεματα που ειπα να μην ειμαστε εδω offtopic.
Εδω γραφω οτι εχει να κανει με το firewall.

[sdikr]

Το θέμα είναι ότι από DMZ δεν πρέπει να μπορείς να δεις lan. Αν μπορείς τότε δεν είναι dmz
Η λογική είναι αν αποκτήσουν πρόσβαση σε μηχάνημα που είναι στη dmz να μη μπορέσουν να δούνε το λαν

Αρκετά φθηνά router το dmz το έχουν σαν απλό άνοιγμα όλων των θυρών προς μια Ip χωρίς να υπάρχει κάποιος διαχωρισμός dmz,lan κάτι που είναι λάθος.