Mikrotik IPv4/IPv6 firewall

[romankonis]

Simple NAT (masqurade to ETH1).

Δεν δούλεψε. Το είχα δοκιμάσει. Αν είναι εύκολο, γράψε rule.

- - - Updated - - -

Νομίζω ότι πλέον από την ίδια θύρα που συνδέεις speed <> MT δεν γίνεται.
Πρέπει να κάνεις δεύτερη σύνδεση με routing, nat

Καλή ιδέα.

[dalex]

Δεν δούλεψε. Το είχα δοκιμάσει. Αν είναι εύκολο, γράψε rule.

Ip - Firewall - NAT, add rule:

Chain: srcnat, Out. Interface: ETH1, Action: masquerade.

Εναλλακτικα, μπορεις να προσθεσεις ενα στατικο route στο speedport να στελνει ολο το εσωτερικο σου υποδικτυο στην IP του router σου. Συνηθως ομως δεν δουλευει γιατι δεν το θεωρει "φιλιο" δικτυο... Γι αυτο βαζουμε το ΝΑΤ.

[jkarabas]

Πως μπορώ να έχω πρόσβαση απο Mikrotik (Router Mode + pppoe) στο Speedport (Cosmote - Modem - Bridge mode) ? Συνδεσμολογία: Mikrotik ether1 (wan) 192.168.1.0/24 -> Speedport ether2 192.168.2.0/24 (DHCP off). Κάποτε, το είχα κάνει, αλλά δεν θυμαμαι πως το έκανα))

Εγώ το έxω ως εξής:
Πχ. στην ether2 (στην περίπτωσή σου συνδέεις το Speedport)
Στα address του Mikortik δηλώνεις ip απο το subnet του Speedport πχ. 192.168.2.2/24 στην ether2
Στο ΝΑΤ masquarade -> scrnat-> Destination address: την ip του Speedport -> Out interface: ether2

To modem το έχω σε Bridge mode με κλήση στο mikrotik pppoe

[deniSun]

Έστω ότι το modem είναι στην 10.0.0.1 και το ΜΤ είναι στο 5.0
τότε θα πρέπει να ορίσεις μια ακόμα ΙΡ για το ΜΤ:

Κώδικας:

IP > Addresses > (+)
(+) Address: 10.0.0.39/24
	Network: 10.0.0.0
	Interface: ether1

και στο ΝΑΤ:

Κώδικας:

add action=masquerade chain=srcnat comment="NAT for Modem" dst-address=\
		10.0.0.1 out-interface=ether1 src-address=192.168.5.0/24

[Nikiforos]

Πως μπορώ να έχω πρόσβαση απο Mikrotik (Router Mode + pppoe) στο Speedport (Cosmote - Modem - Bridge mode) ? Συνδεσμολογία: Mikrotik ether1 (wan) 192.168.1.0/24 -> Speedport ether2 192.168.2.0/24 (DHCP off). Κάποτε, το είχα κάνει, αλλά δεν θυμαμαι πως το έκανα))

καλημερα, απλα θελει ενα ΝΑΤ κανονα.... το εχω κανει με το ρουτερ της ιναλαν, στο θεμα που εχω κανει εχω βαλει τον κανονα δεν τον θυμαμαι απεξω τωρα. ΔΕΝ θελει 2ο καλωδιο αν και μπορει να παιξει και ετσι δεν υπαρχει κανενας λογος.

[vassilis3]

Καλημέρα,
ολα μεχρι σήμερα παίζαν καλά έως χθες που αγόρασα ένα καινούργιο laptop και τώρα έχω φαντάσματα
Το laptop έχει internet (ping 8αρια) αλλά συμπεριφέρεται λες και δεν έχει DNS ενώ πέρνει κανονικά τα 8άρια απο το DHCP του mikrotik
υπάρχουν αρκετά roules στο firewall αλλά δεν βλέπω κάτι
καμια ιδέα;
Ενοείται οτι το laptop συνδέεται κανονικά σε άλλα δικτυα ή στο hotspot του κινητού μου κανονικά!

[deniSun]

Καλημέρα,
ολα μεχρι σήμερα παίζαν καλά έως χθες που αγόρασα ένα καινούργιο laptop και τώρα έχω φαντάσματα
Το laptop έχει internet (ping 8αρια) αλλά συμπεριφέρεται λες και δεν έχει DNS ενώ πέρνει κανονικά τα 8άρια απο το DHCP του mikrotik
υπάρχουν αρκετά roules στο firewall αλλά δεν βλέπω κάτι
καμια ιδέα;
Ενοείται οτι το laptop συνδέεται κανονικά σε άλλα δικτυα ή στο hotspot του κινητού μου κανονικά!

Πρώτο που κάνεις είναι να απενεργοποιήσεις το οποιοδήποτε fw για να δεις αν ευθύνεται αυτό.

[teodor_ch]

ip conflict?
σταθερή IP σε κάποιο client ή/και dhcp static lease ή κάτι τέτοιο?

[vassilis3]

ip conflict?
σταθερή IP σε κάποιο client ή/και dhcp static lease ή κάτι τέτοιο?

ήταν το πρώτο που σκέφτηκα
αλλά τις εβαλα καρφωτές και πάλι δεν έπαιξε
κάτι θα είναι μπροστά μου και δεν το βλέπω

[Samael_667]

Καλησπέρα και καλή χρονιά!
Αφού έβαλα επιτέλους κι εγώ ROS7 στο hap ac2, αποφάσισα να βγάλω το RPi που είχα για site-to-site wireguard και να το μεταφέρω στο Mikrotik.
Αφού έκανα τις αλλαγές (με βάση το post του lghikas), διαπίστωσα ότι έπαιζε π.χ. το http access στο rutorrent, αλλά όχι το ssh.
Σκαλίζοντας λίγο παραπάνω, είδα ότι υπεύθυνο είναι το παρακάτω rule (από το firewall που έχουν προτείνει ο denisun και ο macro),

Κώδικας:

/ip firewall raw
add action=drop chain=prerouting comment="______Blocked Ports TCP" log-prefix="Block TCP" port=0,20,21,22,23,67-69,161-162,135-139,444-445,1080,1900 protocol=tcp

Οπότε ψάχνω να βρω πως θα το λύσω, για να κρατήσω το rule, αλλά και να επιτρέπω το access στο traffic από και προς το wg interface.
Χρειάζεται ένα allow rule πιο πάνω, σωστά;

[BillyVan]

Καλησπέρα και καλή χρονιά!
Αφού έβαλα επιτέλους κι εγώ ROS7 στο hap ac2, αποφάσισα να βγάλω το RPi που είχα για site-to-site wireguard και να το μεταφέρω στο Mikrotik.
Αφού έκανα τις αλλαγές (με βάση το post του lghikas), διαπίστωσα ότι έπαιζε π.χ. το http access στο rutorrent, αλλά όχι το ssh.
Σκαλίζοντας λίγο παραπάνω, είδα ότι υπεύθυνο είναι το παρακάτω rule (από το firewall που έχουν προτείνει ο denisun και ο macro),

Κώδικας:

/ip firewall raw
add action=drop chain=prerouting comment="______Blocked Ports TCP" log-prefix="Block TCP" port=0,20,21,22,23,67-69,161-162,135-139,444-445,1080,1900 protocol=tcp

Οπότε ψάχνω να βρω πως θα το λύσω, για να κρατήσω το rule, αλλά και να επιτρέπω το access στο traffic από και προς το wg interface.
Χρειάζεται ένα allow rule πιο πάνω, σωστά;

Λογικο αφου μπλοκαρει την 22 πορτα.

Λογικο επισης οτι το firewall το δικο μου σε σενα μπορει να ειναι αχρηστο ή το αναποδο.

Γι αυτο καλο ειναι να καταγραφουμε και να μελεταμε τις αναγκες μας και αναλογως να πρατουμε.

Τουλαχιστον το προβλημα σου ειναι απ αυτα που λεμε οφθαλμοφανές.

Αντε να βγαλεις ακρη σε αλλες περιπτωσεις.

[teodor_ch]

Καλησπέρα και καλή χρονιά!
Αφού έβαλα επιτέλους κι εγώ ROS7 στο hap ac2, αποφάσισα να βγάλω το RPi που είχα για site-to-site wireguard και να το μεταφέρω στο Mikrotik.
Αφού έκανα τις αλλαγές (με βάση το post του lghikas), διαπίστωσα ότι έπαιζε π.χ. το http access στο rutorrent, αλλά όχι το ssh.
Σκαλίζοντας λίγο παραπάνω, είδα ότι υπεύθυνο είναι το παρακάτω rule (από το firewall που έχουν προτείνει ο denisun και ο macro),

Κώδικας:

/ip firewall raw
add action=drop chain=prerouting comment="______Blocked Ports TCP" log-prefix="Block TCP" port=0,20,21,22,23,67-69,161-162,135-139,444-445,1080,1900 protocol=tcp

Οπότε ψάχνω να βρω πως θα το λύσω, για να κρατήσω το rule, αλλά και να επιτρέπω το access στο traffic από και προς το wg interface.
Χρειάζεται ένα allow rule πιο πάνω, σωστά;

Για δές μήπως δεν αφήνεις το subnet του ΜΚ απο το IP -> Services

Χωρίς να το ψάξω, περνάς απο το RAW την 22 και τη φιλτράρεις στο filter.

Αν και λογικά είναι κλειστή απο έξω με κάποιον κανόνα drop all others στο chain input

[macro]

Aπλα οσες πορτες χρειαζονται τις αφαιρειται απο το FW.

[deniSun]

Καλησπέρα και καλή χρονιά!
Αφού έβαλα επιτέλους κι εγώ ROS7 στο hap ac2, αποφάσισα να βγάλω το RPi που είχα για site-to-site wireguard και να το μεταφέρω στο Mikrotik.
Αφού έκανα τις αλλαγές (με βάση το post του lghikas), διαπίστωσα ότι έπαιζε π.χ. το http access στο rutorrent, αλλά όχι το ssh.
Σκαλίζοντας λίγο παραπάνω, είδα ότι υπεύθυνο είναι το παρακάτω rule (από το firewall που έχουν προτείνει ο denisun και ο macro),

Κώδικας:

/ip firewall raw
add action=drop chain=prerouting comment="______Blocked Ports TCP" log-prefix="Block TCP" port=0,20,21,22,23,67-69,161-162,135-139,444-445,1080,1900 protocol=tcp

Οπότε ψάχνω να βρω πως θα το λύσω, για να κρατήσω το rule, αλλά και να επιτρέπω το access στο traffic από και προς το wg interface.
Χρειάζεται ένα allow rule πιο πάνω, σωστά;

Δεν τον χρησιμοποιώ πλέον τον συγκεκριμένο κανόνα.
Δεν υπάρχει κανένας λόγος.
Αν μπεις σε αυτή την λογική θα πρέπει να το κάνεις για όλες τις πόρτες και μόνο για την εξερχόμενη κίνηση.
Και για να είσαι πιο σωστός... για όλα τα πρωτόκολλα.
Το είχα υλοποιήσει κάποια στιγμή αλλά μόνο μπελάδες μου δημιουργούσε.
Θα έπρεπε να έχω τον νου μου να τις ανοίγω όποτε ήθελα.

Από την άλλη το να έχεις επιλεκτική φραγή για τις πιο σύνηθες πόρτες δεν εξυπηρετεί τίποτε παρά μόνο το σκεπτικό σου ότι μάλλον είσαι καλύτερα προστατευμένος.

Αρκεί λοιπόν η υλοποίηση του να τα αφήνεις να περνάνε από το raw και να τα κόβεις στο drop all not from lan στο input του filter.

[Samael_667]

Λογικο αφου μπλοκαρει την 22 πορτα.

Λογικο επισης οτι το firewall το δικο μου σε σενα μπορει να ειναι αχρηστο ή το αναποδο.

Γι αυτο καλο ειναι να καταγραφουμε και να μελεταμε τις αναγκες μας και αναλογως να πρατουμε.

Τουλαχιστον το προβλημα σου ειναι απ αυτα που λεμε οφθαλμοφανές.

Αντε να βγαλεις ακρη σε αλλες περιπτωσεις.

Έχεις δίκιο, κι εγώ το είχα στήσει με mix & match από τις προτάσεις των παιδιών εδώ, γιατί δεν ξέρω πολλά πράγματα για το security.
Με την αναβάθμιση σε ROS7 είναι καλή ευκαιρία να το ξαναπιάσω λίγο.

Δεν τον χρησιμοποιώ πλέον τον συγκεκριμένο κανόνα.
Δεν υπάρχει κανένας λόγος.
Αν μπεις σε αυτή την λογική θα πρέπει να το κάνεις για όλες τις πόρτες και μόνο για την εξερχόμενη κίνηση.
Και για να είσαι πιο σωστός... για όλα τα πρωτόκολλα.
Το είχα υλοποιήσει κάποια στιγμή αλλά μόνο μπελάδες μου δημιουργούσε.
Θα έπρεπε να έχω τον νου μου να τις ανοίγω όποτε ήθελα.

Από την άλλη το να έχεις επιλεκτική φραγή για τις πιο σύνηθες πόρτες δεν εξυπηρετεί τίποτε παρά μόνο το σκεπτικό σου ότι μάλλον είσαι καλύτερα προστατευμένος.

Αρκεί λοιπόν η υλοποίηση του να τα αφήνεις να περνάνε από το raw και να τα κόβεις στο drop all not from lan στο input του filter.

Ωραία, οπότε το βγάζω αυτό από το raw και να βάλω κάτι τέτοιο τελευταίο στο input (μετά τα accept)?

Κώδικας:

/ip firewall filter
add action=drop chain=input comment="DROP all else Input"