Mikrotik IPv4/IPv6 firewall

[teodor_ch]

για να επικοινωνήσουν τα interfaces (είτε ether, wlan, ppp-clients) πρέπει είτε να είναι μέσα σε bridge είτε να γίνεται masquerade

αυτό μπορεί να είναι 100% λάθος γιατί δε ξέρω τη θεωρία απο πίσω
στη πράξη έτσι δουλεύω και δεν έχω πρόβλημα

οπότε σωστά έχεις τον παραπάνω κανόνα

απλά και πάλι κάνε τον πιο συγκεκριμένο

[jkarabas]

Έβαλα το opvpn-name μέσα στα bridge Ports (εάν αυτό εννοούσες) αλλά δεν δούλεψε.
Οπότε σωστά το έχω το masquerade στο ΝΑΤ?
Προσπαθώ να το κάνω ποιο συγκεκριμένο τον κανόνα αλλά κάτι μου διαφεύγει.
Εσύ πως το έχεις?

[jkoukos]

Αυτό με τις 3 φορές σωστό είναι αλλά δεν είναι και λίγο επικίνδυνο για εμάς τους ίδιους. Φαντάζεσαι να κλειδωθούμε απ'έξω για 10 ημέρες?? Μυαλό είναι κολλάμε μερικές φορές. Ή να πάει ο πιτσιρίκος μου να μπει και μετά τι κάνουμε??

αλλάζεις ΙΡ απο εκεί που μπαίνεις και έληξε το πράγμα
προσωπικά δε μου έχει τύχει απο το καλοκαίρι ούτε ένα λάθος pass να βάλω

μπορείς να βάλεις ban για 15'
χωρίς αυτό κάποιος μπορεί να κάνει brute force attack
(δεν είμαι σίγουρος αν οι Port scan κανόνες το πιάνουν)

Σε αντίστοιχη υλοποίηση σε OpenWRT, κάνω χρήση του Port Knocking.
Καμία πόρτα ανοικτή (εκτός του VPN) και όταν θέλω πρόσβαση για Χ λόγο, το κάνω εκείνη την στιγμή.

[jkarabas]

ΧΡΟΝΙΑ ΠΟΛΛΑ ΣΕ ΟΛΟΥΣ ΜΕ ΥΓΕΙΑ!!

Αποφάσισα στο ΝΑΤ να κάνω port forward σε κάποιες συσκευές που θέλω:
Η λογική μου πάντα είναι να μην χρησιμοποιώ τις πόρτες των συσκευών και να καθοδηγώ από To ports σε Dst port κάποια της επιθυμίας μου.

Έχω λοιπόν brίdge modem -> 192.168.1.1 (ip του modem) και ανοίγω την πόρτα 8020 για να έχω πρόσβαση με web απ'έξω. Δηλ. cloud ip public mt:8020 κανονικά έπρεπε να μου ανοίγει. αλλά κόβεται.
Υπ'οψιν ότι η συγκεκριμένη περνάει από την ether1-wan του mikrotik.
Το ίδιο μου συμβαίνει και με την ίδια Ip του mikrotik 192.168.100.254 (cloud ip public mt:8015) που ανοίγω κάποια άλλη πόρτα για να περάσει.

Όλες οι άλλες συσκευές που δοκίμασα με πρόσβαση απ' έξω περνάνε από το router και ανοίγουν κανονικά.
Είχα αναφέρει σε προηγούμενό μου ποστ ότι δεν με απασχολεί ιδιαίτερα επειδή παίζω με ovpn, αλλά με "τρώει" και το ψάχνω.

Παρακάτω είναι το firewall filter rules που έχω, λογικά για να περάσει πρέπει προστεθεί?:
add action=accept chain=input in-interface=all-ppp src-address=192.168.1.1 αλλά και πάλι μετά από δοκιμές δεν δουλεύει.

Φυσικά επιτρέπω τον dstnat να περνά από το firewall.


Κάποια ιδέα το τι πρέπει να δηλώσω στο firewall?

Spoiler:

/ip firewall filter
add action=accept chain=input comment=\
"Accept input established, related connections" connection-state=\
established,related
add action=drop chain=input comment="______Drop input invalid connections" \
connection-state=invalid
add action=accept chain=forward comment="Accept PF All DstNat" \
connection-nat-state=dstnat connection-state=new in-interface=all-ppp
add action=accept chain=forward comment=\
"Allow forward forward established, related connections" \
connection-state=established,related
add action=drop chain=forward comment=\
"______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Add port scanners to list" \
in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/RST scan" \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" \
src-address-list="port scanners"
add action=add-src-to-address-list address-list=wb_blacklist \
address-list-timeout=1w3d chain=input comment=\
"WinBox brute forcers blacklisting" connection-state=new dst-port=8291 \
protocol=tcp src-address-list=wb_stage3
add action=add-src-to-address-list address-list=wb_stage3 \
address-list-timeout=1m chain=input comment=\
"WinBox brute forcers the third stage" connection-state=new dst-port=8291 \
protocol=tcp src-address-list=wb_stage2
add action=add-src-to-address-list address-list=wb_stage2 \
address-list-timeout=1m chain=input comment=\
"WinBox brute forcers the second stage" connection-state=new dst-port=\
8291 protocol=tcp src-address-list=wb_stage1
add action=add-src-to-address-list address-list=wb_stage1 \
address-list-timeout=1m chain=input comment=\
"WinBox brute forcers the first stage" connection-state=new dst-port=8291 \
protocol=tcp src-address-list=!wb_stage1
add action=accept chain=input dst-port=8291 protocol=tcp src-address-list=\
!wb_blacklist
add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 \
in-interface=all-ppp protocol=tcp
add action=accept chain=input comment="Allow mikro winbox android" dst-port=\
8728 in-interface=all-ppp protocol=tcp
# giannis-mobile-ovpn not ready
add action=accept chain=forward comment="Allow internet-LAN from mobile Ovpn" \
in-interface=giannis-mobile-ovpn
add action=accept chain=input comment="Allow all input from LAN" \
in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" \
in-interface=!all-ppp
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"

[jkarabas]

Καλημέρα μήπως κάποιος για το παραπάνω έχει κάποια ιδέα τι μπορεί να φταίει?

[deniSun]

Κάνε redirect port.

[jkarabas]

Deni Καλημέρα
Δεν μπορώ να εξηγήσω γιατί αυτό συμβαίνει μόνο σε αυτές τις 2 συσκευές.
Στο NAT έχω τις παρακάτω δηλώσεις (όπως και για όλες τις υπόλοιπες):

Spoiler:

chain=dstnat action=dst-nat to-addresses=192.168.100.254 to-ports=80 protocol=tcp in-interface=all-ppp dst-port=8015 log=no log-prefix=""
chain=dstnat action=dst-nat to-addresses=192.168.1.1 to-ports=80 protocol=tcp in-interface=all-ppp dst-port=8020 log=no log-prefix=""

Από την στιγμή που έχω στο firewall τη δήλωση να επιτρέπει το ΝΑΤ δεν μπορώ να το καταλάβω.
Τι εννοείς με το redirect δώσε ένα παράδειγμα.

redirect - replaces destination address of an IP packet to one of the router's local addresses
Δεν ξέρω εάν γίνεται με αυτόν τον τρόπο.

- - - Updated - - -

Κάτι άσχετο και με την ευκαιρία, πιάνω μόνιμα στο Drop input everything else καταγράφοντας στο Log αυτό που φαίνεται:



Έκανα mac find αλλά δεν βρήκα τίποτα μόνο ότι ανήκει στη siemens.
Ξέρει κανείς τι μπορεί να είναι και κόβεται από το firewall?

[deniSun]

Κώδικας:

*** Redirect rsyslog from modem
/ip firewall nat
	add action=dst-nat chain=dstnat comment="SysLog for Modem" dst-port=514 \
		in-interface=ether1 protocol=udp to-addresses=192.168.5.36 to-ports=514

[jkarabas]

Κώδικας:

*** Redirect rsyslog from modem
/ip firewall nat
	add action=dst-nat chain=dstnat comment="SysLog for Modem" dst-port=514 \
		in-interface=ether1 protocol=udp to-addresses=192.168.5.36 to-ports=514

Δεν δουλεύει.
Είσαι σίγουρος udp πρωτόκολλο? και το in-interface= Η ether1 που έρχεται το Modem?

[deniSun]

Δεν δουλεύει.
Είσαι σίγουρος udp πρωτόκολλο? και το in-interface= Η ether1 που έρχεται το Modem?

To παραπάνω είναι για να στέλνει δεδομένα από το modem στον τοπικό μου rsyslog server.
Είναι για να πάρεις μια ιδέα πως λειτουργεί το redirect.
Δεν είναι για να το χρησιμοποιήσεις αυτούσιο στην δική σου περίπτωση.

[jkarabas]

To παραπάνω είναι για να στέλνει δεδομένα από το modem στον τοπικό μου rsyslog server.
Είναι για να πάρεις μια ιδέα πως λειτουργεί το redirect.
Δεν είναι για να το χρησιμοποιήσεις αυτούσιο στην δική σου περίπτωση.

Εντάξει με μπέρδεψες , σου έδειξα παραπάνω πως τις έχω καταχωρήσει αλλά δεν δουλεύουν.

[jkarabas]

Deni Καλημέρα
Δεν μπορώ να εξηγήσω γιατί αυτό συμβαίνει μόνο σε αυτές τις 2 συσκευές.
Στο NAT έχω τις παρακάτω δηλώσεις (όπως και για όλες τις υπόλοιπες):

Spoiler:

chain=dstnat action=dst-nat to-addresses=192.168.100.254 to-ports=80 protocol=tcp in-interface=all-ppp dst-port=8015 log=no log-prefix=""
chain=dstnat action=dst-nat to-addresses=192.168.1.1 to-ports=80 protocol=tcp in-interface=all-ppp dst-port=8020 log=no log-prefix=""

Από την στιγμή που έχω στο firewall τη δήλωση να επιτρέπει το ΝΑΤ δεν μπορώ να το καταλάβω.
Τι εννοείς με το redirect δώσε ένα παράδειγμα.

redirect - replaces destination address of an IP packet to one of the router's local addresses
Δεν ξέρω εάν γίνεται με αυτόν τον τρόπο.

- - - Updated - - -

Κάτι άσχετο και με την ευκαιρία, πιάνω μόνιμα στο Drop input everything else καταγράφοντας στο Log αυτό που φαίνεται:



Έκανα mac find αλλά δεν βρήκα τίποτα μόνο ότι ανήκει στη siemens.
Ξέρει κανείς τι μπορεί να είναι και κόβεται από το firewall?

Μπορεί κάποιος να πει τη γνώμη του για τα 2 παραπάνω θεματάκια που έχω;

[Nikiforos]

καλημέρα, στην φωτο με τα μαυρισμένα τι ελεγε εκει? δεν βγαζω καποιο νοημα.
ips από το εσωτερικο σου δικτυο ηταν? τι ηταν? όχι τα νουμερα τι ειδος ηταν θελω να γραψεις για να καταλαβω κιολας.
Για το άλλο θεμα που γραφεις δεν ασχολουμε με redirects, εμενα δεν με βολευουν καπου. Ισως εχει να κανει κατι με τις συσκευες τις συγκεκριμένες?

[jkarabas]

καλημέρα, στην φωτο με τα μαυρισμένα τι ελεγε εκει? δεν βγαζω καποιο νοημα.
ips από το εσωτερικο σου δικτυο ηταν? τι ηταν? όχι τα νουμερα τι ειδος ηταν θελω να γραψεις για να καταλαβω κιολας.
Για το άλλο θεμα που γραφεις δεν ασχολουμε με redirects, εμενα δεν με βολευουν καπου. Ισως εχει να κανει κατι με τις συσκευες τις συγκεκριμένες?

Καλημέρα ήταν η εξωτερική ip του ρουτερ μου δηλ. απ'έξω προς τα μέσα (udp πρωτόκολλο). Απλά την έσβησα για να μην φαίνεται.
Ίσως έχει να κάνει με το voip.
Πάντως η mac 00901A είναι η UNISPHERE SOLUTIONS και είναι η siemens από πίσω. Από αναζήτηση που έκανα.

[Nikiforos]

Έχεις τίποτα σε Siemens? Τι voip έχεις? Σταθερό εννοείς?