Mikrotik IPv4/IPv6 firewall

**deniSun** · 05-09-16, 18:59

Το icmpv6 έχει κάποιο θέμα.
Δεν έχει διευκρινιστεί πλήρως τι ακριβώς χρειάζεται να μένει ελεύθερο και τι όχι.
Αυτά τα θέματα θα αποσαφηνιστούν κατά την πλήρη μετάβαση.

**K1m0n** · 06-09-16, 11:25

Ναι, όλο το ipv6 είναι work in progress
Ρίξε μια ματιά εδώ αν δεν το έχεις δει.

**deniSun** · 06-09-16, 12:19

Αρχικό μήνυμα από K1m0n

Ναι, όλο το ipv6 είναι work in progress
Ρίξε μια ματιά εδώ αν δεν το έχεις δει.

Ακόμα και τα win έχουν θέμα με το icmp.
Δεν δέχονται από default όλο το εύρος του.
Οπότε μάλλον θα εξαρτηθεί από την υλοποίηση που θα ακολουθήσει ο κάθε πάροχος.

**Nikiforos** · 07-09-16, 19:18

καλησπέρα, οπως ειδα εδω ειναι ο τελευταιος οδηγος http://www.adslgr.com/forum/threads/...irewall/page14 ποστ #209
εψαξα τις σελιδες απο την νεοτερη προς τα πισω δεν κοιταξα ακομα ποιο πισω εκτος την 1η.
Εχω αλλαξει τους κανονες FW και στο ipv4 και ipv6.
DeniSun εχεις τπτ νεοτερο ή αυτα ειναι?
λιγα τα βλεπω στο ipv4 ειχα 73 κανονες πριν!!!!
νομιζω καλα ειναι ετσι συμφωνα με τους οδηγους παντα!

Κώδικας:

/ip firewall filter
add chain=input comment="Accept input established, related connections" connection-state=established,related
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Add port scanners to list" in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
    fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" src-address-list="port scanners"
add chain=input comment="Allow OpenVPN" dst-port=1194 in-interface=all-ppp protocol=tcp
add chain=input comment="Allow Broadcast-Multicast" dst-address-type=broadcast,multicast in-interface=all-ppp
add chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"
/ip firewall mangle
add action=change-mss chain=forward comment=TCP-MSS_in in-interface=all-ppp new-mss=1452 protocol=tcp tcp-flags=syn,!rst tcp-mss=1453-65535
add action=change-mss chain=forward comment=TCP-MSS_out new-mss=1452 out-interface=all-ppp protocol=tcp tcp-flags=syn,!rst tcp-mss=1453-65535

Κώδικας:

/ipv6 firewall filter
add chain=input comment="Accept input established, related connections" connection-state=established,related
add action=drop chain=input comment="______Drop input invalid connections" connection-state=invalid
add chain=forward comment="Allow forward forward established, related connections" connection-state=established,related
add action=drop chain=forward comment="______Drop forward invalid connections" connection-state=invalid
add chain=input comment="Allow input DHCPv6 client" dst-port=546 protocol=udp
add chain=input comment="Allow all input from LAN" in-interface=!all-ppp
add chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"

**deniSun** · 07-09-16, 19:46

Επειδή κάνω κατά καιρούς μικρο-αλλαγές, ακόμα και στον τρόπο που δηλώνω τα mangles, μου είναι δύσκολο να το ελέγξω αν είναι αυτό το τελευταίο.
Οπότε για σιγουριά, και ευκολία δικιά μου, το ποστάρω ξανά:
Για ν4:

Spoiler:

Κώδικας:

/ip firewall filter
	add chain=input comment="Accept input established, related connections" \
		connection-state=established,related
	add action=drop chain=input comment="______Drop input invalid connections" \
		connection-state=invalid
	add chain=forward comment=\
		"Allow forward forward established, related connections" \
		connection-state=established,related
	add action=drop chain=forward comment=\
		"______Drop forward invalid connections" connection-state=invalid
	
	add action=add-src-to-address-list address-list="port scanners" \
		address-list-timeout=2w chain=input comment="Add port scanners to list" \
		in-interface=all-ppp protocol=tcp psd=21,3s,3,1
	add action=add-src-to-address-list address-list="port scanners" \
		address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
		protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
	add action=add-src-to-address-list address-list="port scanners" \
		address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
		protocol=tcp tcp-flags=fin,syn
	add action=add-src-to-address-list address-list="port scanners" \
		address-list-timeout=2w chain=input comment="______SYN/RST scan" \
		protocol=tcp tcp-flags=syn,rst
	add action=add-src-to-address-list address-list="port scanners" \
		address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
		protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
	add action=add-src-to-address-list address-list="port scanners" \
		address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
		protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
	add action=add-src-to-address-list address-list="port scanners" \
		address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
		protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
	add action=drop chain=input comment="______Drop port scanners from list" \
		src-address-list="port scanners"
	
	add chain=input comment="Allow OpenVPN" dst-port=1194 in-interface=all-ppp \
		protocol=tcp
	add chain=input comment="Allow Broadcast-Multicast" dst-address-type=\
		broadcast,multicast in-interface=all-ppp
	
	add chain=input comment="Allow all input from LAN" in-interface=!all-ppp
	add chain=forward comment="Allow all forward from LAN" in-interface=!all-ppp
	add action=drop chain=input comment="Drop input everything else"
	add action=drop chain=forward comment="Drop forward everything else"

Για ν6:

Spoiler:

**Nikiforos** · 07-09-16, 19:58

ok thanks! θα τα αλλαξω παλι για σιγουρια και θα κρατησω αυτα.
Ωπα δεν εχω mangle για το ipv6! εχεις κατι να μου δωσεις να τα βαλω να παρω και ενα backup?
Στο αντιστοιχο θεμα εδω http://www.adslgr.com/forum/threads/...B5-bridge-mode για ipv6 δεν εχεις δωσει κατι για mangle δεν χρειαζεται εδω?

ΩΧ! με τις αλλαγες που εγιναν δεν εχει ιντερνετ στο εξοχικο μεσω Openvpn!!!
αυτο εδω add action=drop chain=forward comment="Drop forward everything else"
μου κοβει το ιντερνετ στο εξοχικο!
παρολο οτι εχεις κανονα για το openvpn και δοκιμασα την δικια μου πορτα, αλλο interface κτλ δεν παιζει.
add chain=input comment="Allow OpenVPN" dst-port=1722 in-interface=all-ppp \protocol=tcp
καμια ιδεα γιατι? πως να το κανω? οι μετρητες του δεν μετρανε καν κινηση.
προς το παρον εχω κανει disable τον πανω κανονα μεχρι να βρω λυση.

**Nikiforos** · 12-09-16, 06:37

καλημερα, τελικα δεν εχει κανεις καποια ιδεα για το παραπανω? ο κανονας αυτος γιατι κοβει το openvpn εφοσον εχει κανονα που το αφηνει να περναει?
εχω κανει διαφορες δοκιμες δεν εχει βγαλει ακρη, η μονη λυση να εχω disable τον κανενα τον 1ο οπως δειχνω απο πανω ωστε να δουλευει το openvpn.
Δεν δοκιμασα απο το κινητο αν παιζει, με ενδιαφερει ομως οτι αφηνει το εξοχικο χωρις ιντερνετ!

**deniSun** · 12-09-16, 09:14

Αρχικό μήνυμα από Nikiforos

ok thanks! θα τα αλλαξω παλι για σιγουρια και θα κρατησω αυτα.
Ωπα δεν εχω mangle για το ipv6! εχεις κατι να μου δωσεις να τα βαλω να παρω και ενα backup?
Στο αντιστοιχο θεμα εδω http://www.adslgr.com/forum/threads/...B5-bridge-mode για ipv6 δεν εχεις δωσει κατι για mangle δεν χρειαζεται εδω?

ΩΧ! με τις αλλαγες που εγιναν δεν εχει ιντερνετ στο εξοχικο μεσω Openvpn!!!
αυτο εδω add action=drop chain=forward comment="Drop forward everything else"
μου κοβει το ιντερνετ στο εξοχικο!
παρολο οτι εχεις κανονα για το openvpn και δοκιμασα την δικια μου πορτα, αλλο interface κτλ δεν παιζει.
add chain=input comment="Allow OpenVPN" dst-port=1722 in-interface=all-ppp \protocol=tcp
καμια ιδεα γιατι? πως να το κανω? οι μετρητες του δεν μετρανε καν κινηση.
προς το παρον εχω κανει disable τον πανω κανονα μεχρι να βρω λυση.

Στο θέμα για το ν6 που αναφέρεις, παραθέτω μόνο τις δηλώσεις για την εγκατάσταση και ρύθμιση του ν6.
Όπως αντίστοιχα για στο θέμα για ν4.
Τα περί fw και qos τα έχω σε ξεχωριστά θέματα για να μην μπερδευόμαστε.

Η δήλωση για άνοιγμα πόρτας σε openvpn ή οτιδήποτε άλλο είναι αυτή που παραθέτεις για το openvpn.
Προσοχή στην δήλωση της πόρτας και στο in-interface.
Αν θυμάμαι καλά συνδεόσουν με ασύρματη ζεύξη και όχι μέσω dsl γραμμής άρα ppp σύνδεσης.
Στην περίπτωση αυτή θα πρέπει να βάλεις στο in-interface την ether από την οποία έχεις σύνδεση.

**Nikiforos** · 12-09-16, 09:20

Αρχικό μήνυμα από deniSun

Η δήλωση για άνοιγμα πόρτας σε openvpn ή οτιδήποτε άλλο είναι αυτή που παραθέτεις για το openvpn.
Προσοχή στην δήλωση της πόρτας και στο in-interface.
Αν θυμάμαι καλά συνδεόσουν με ασύρματη ζεύξη και όχι μέσω dsl γραμμής άρα ppp σύνδεσης.
Στην περίπτωση αυτή θα πρέπει να βάλεις στο in-interface την ether από την οποία έχεις σύνδεση.

Καλημερα παλι, βασικα δεν δοκιμασα με τον κανονα ενεργο αν μπορω να δουλεψω μεσω κινητου, παντως στο εξοχικο παει το ιντερνετ μεσω ασυρματων δικτυων (awmn) και μεσω του 433AH στην ταρατσα, ειναι συνδεδεμενο στην ether2 στο 109.
Μηπως πρεπει να δηλωθει τοτε αυτη η πορτα και γιαυτο δεν πιανει ο κανονας του openvpn?
θα το δοκιμασω δεν το ειχα σκεφτει και ενημερωνω παλι.

**deniSun** · 12-09-16, 09:35

Αρχικό μήνυμα από Nikiforos

Καλημερα παλι, βασικα δεν δοκιμασα με τον κανονα ενεργο αν μπορω να δουλεψω μεσω κινητου, παντως στο εξοχικο παει το ιντερνετ μεσω ασυρματων δικτυων (awmn) και μεσω του 433AH στην ταρατσα, ειναι συνδεδεμενο στην ether2 στο 109.
Μηπως πρεπει να δηλωθει τοτε αυτη η πορτα και γιαυτο δεν πιανει ο κανονας του openvpn?
θα το δοκιμασω δεν το ειχα σκεφτει και ενημερωνω παλι.

Φυσικά...
Αυτό σου λέω παραπάνω.
Διαφορετικά, όπως το έχω εγώ, σου δίνει πρόσβαση μόνο σε ότι έρχεται από την ppp.
Εσύ ppp δεν έχεις οπότε...

**macro** · 12-09-16, 10:34

Αν στο vpn, που ετσι πρεπει ναναι, εχεις αλλο δικτυο πρεπει να βαλεις και κανονα στο NAT.

**Nikiforos** · 12-09-16, 10:54

Αρχικό μήνυμα από deniSun

Φυσικά...
Αυτό σου λέω παραπάνω.
Διαφορετικά, όπως το έχω εγώ, σου δίνει πρόσβαση μόνο σε ότι έρχεται από την ppp.
Εσύ ppp δεν έχεις οπότε...

ναι καταλαβα αυτο θα φταιει λογικα, πρεπει να κανω εναν κανονικα να επιτρεπει το openvpn απο το awmn (ether2 δλδ) για το 433ΑΗ και αλλον εναν μεσω ppp για τα κινητα κτλ.

Αρχικό μήνυμα από macro

Αν στο vpn, που ετσι πρεπει ναναι, εχεις αλλο δικτυο πρεπει να βαλεις και κανονα στο NAT.

τα εχω ολα αυτα μην μπερδευομαστε, το προβλημα μου αν το λες για μενα, ειναι καθαρα θεμα του κανονα firewall που ειπα σε προηγουμενο post.
Αν τον κλεισω αυτον περναει μια χαρα το openvpn δεν ειναι θεμα ΝΑΤ.

αυτο εδω add action=drop chain=forward comment="Drop forward everything else"
μου κοβει το ιντερνετ στο εξοχικο!

**deniSun** · 12-09-16, 11:45

Αρχικό μήνυμα από Nikiforos

ναι καταλαβα αυτο θα φταιει λογικα, πρεπει να κανω εναν κανονικα να επιτρεπει το openvpn απο το awmn (ether2 δλδ) για το 433ΑΗ και αλλον εναν μεσω ppp για τα κινητα κτλ.

τα εχω ολα αυτα μην μπερδευομαστε, το προβλημα μου αν το λες για μενα, ειναι καθαρα θεμα του κανονα firewall που ειπα σε προηγουμενο post.
Αν τον κλεισω αυτον περναει μια χαρα το openvpn δεν ειναι θεμα ΝΑΤ.

αυτο εδω add action=drop chain=forward comment="Drop forward everything else"
μου κοβει το ιντερνετ στο εξοχικο!

Αν έχεις internet μέσω ppp δεν σου δημιουργεί πρόβλημα.
Αν παίρνεις από οπουδήποτε αλλού θα σου το κόβει.

**macro** · 12-09-16, 11:55

Τον εχεις τελευταιο αυτο το κανονα το everything..... ετσι?

**deniSun** · 12-09-16, 12:47

Αρχικό μήνυμα από macro

Τον εχεις τελευταιο αυτο το κανονα το everything..... ετσι?

Τα drop everything else πάντα στο τέλος.

Θέμα: Mikrotik IPv4/IPv6 firewall

Παρόμοια Θέματα

Mikrotik IPv6 σε PPPoE client με modem σε bridge mode

Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ

Mikrotik 2011 DHCP lease failed without success Point to Multipoint

IPV6 + IPV4 SPEED TEST

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές