Mikrotik IPv4/IPv6 firewall

**jkarabas** · 05-03-19, 21:39

Μπορείς να μας δώσεις εδώ το firewall σου? Σωστά το έχεις.

Κώδικας:

add action=accept chain=input comment="Allow Winbox" dst-port=8291 protocol=tcp

**kostasandr** · 05-03-19, 21:58

Δεν το εχω βαλει ακομα αυτον τον κανονα. Τον διαβασα και απλα πριν τον περασω συζηταω για να μην τα κανω χειροτερα.

Τον προσθεσα τον κανονα. Τωρα εχω προσβαση κανονικα. Τον εβαλα πρωτο στη λιστα. Σωστα επραξα η οχι

**jkarabas** · 05-03-19, 22:18

Έτσι όπως το έθιξες νόμιζα ότι ήδη τον είχες και δεν σου δούλευε. Τεσπα.
Αλήθεια πως τον πρόσθεσες το κανόνα από τη στιγμή που δεν είχες πρόσβαση από το σπίτι σου?
Το ξαναλέω ανέβασε τα filter rules εδώ μέσα για να δούμε τη σειρά.

**kostasandr** · 05-03-19, 22:28

Μπηκα με AnyDesk και τον προσεθεσα.

/ip firewall filter
add action=accept chain=input comment="Allow Winbox" dst-port=8291 protocol=\
tcp
add action=accept chain=input comment=\
"Accept input established, related connections" connection-state=\
established,related
add action=drop chain=input comment="______Drop input invalid connections" \
connection-state=invalid
add action=accept chain=forward comment=\
"Allow forward forward established, related connections" \
connection-state=established,related
add action=drop chain=forward comment=\
"______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Add port scanners to list" \
in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/RST scan" \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" \
src-address-list="port scanners"
add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 \
in-interface=all-ppp protocol=tcp
add action=accept chain=forward in-interface=all-ppp src-address=\
!192.168.1.0/24
add action=accept chain=input comment="Allow all input from LAN" \
in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" \
in-interface=!all-ppp
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"

**deniSun** · 05-03-19, 22:36

Δες αυτό για το openvpn.
Αλλάζεις την πόρτα για το winbox και την ΙΡ στο src-address για το εσωτερικό σου.

...
add action=drop chain=input comment="______Drop port scanners from list" \
src-address-list="port scanners"

add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 \
in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward in-interface=pppoe-out1 src-address=\
192.168.5.0/24

...

**jkarabas** · 05-03-19, 22:39

Αρχικό μήνυμα από kostasandr

Μπηκα με AnyDesk και τον προσεθεσα.

/ip firewall filter
add action=accept chain=input comment="Allow Winbox" dst-port=8291 protocol=\
tcp
add action=accept chain=input comment=\
"Accept input established, related connections" connection-state=\
established,related
add action=drop chain=input comment="______Drop input invalid connections" \
connection-state=invalid
add action=accept chain=forward comment=\
"Allow forward forward established, related connections" \
connection-state=established,related
add action=drop chain=forward comment=\
"______Drop forward invalid connections" connection-state=invalid
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Add port scanners to list" \
in-interface=all-ppp protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/RST scan" \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" \
src-address-list="port scanners"
add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 \
in-interface=all-ppp protocol=tcp
add action=accept chain=forward in-interface=all-ppp src-address=\
!192.168.1.0/24
add action=accept chain=input comment="Allow all input from LAN" \
in-interface=!all-ppp
add action=accept chain=forward comment="Allow all forward from LAN" \
in-interface=!all-ppp
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"

Βάλτον μετά τον κανόνα “allow open vpn”

**kostasandr** · 05-03-19, 22:41

Δεν εχω στησει VPN και δεν νομιζω να μου χρειαζεται. Με τον πρωτο κανονα επαιξε. Τι διαφορα θα εχει με αυτο που προτεινεις;

Τον εβαλα μετα το allow open vpn.

**deniSun** · 05-03-19, 22:46

Αρχικό μήνυμα από kostasandr

Δεν εχω στησει VPN και δεν νομιζω να μου χρειαζεται. Με τον πρωτο κανονα επαιξε. Τι διαφορα θα εχει με αυτο που προτεινεις;

Τον εβαλα μετα το allow open vpn.

Αν δεν έχεις vpn γιατί ανοίγεις την αντίστοιχη πόρτα;

**kostasandr** · 05-03-19, 22:53

Ελα ντε, καλη ερωτηση τωρα που το συζηταμε. Οπως ηταν το config σου το περασα. Χωρις και πολυ μελετη.
Τωρα που προεκυψε το προβλημα το συζηταμε.
Το σβηνω και παμε παρακατω

Και ο αλλος κανονας κατω απο το allow openvpn, αφορα vpn;
"add action=accept chain=forward in-interface=all-ppp src-address=\
!192.168.1.0/24"

**deniSun** · 05-03-19, 22:59

Αρχικό μήνυμα από kostasandr

Ελα ντε, καλη ερωτηση τωρα που το συζηταμε. Οπως ηταν το config σου το περασα. Χωρις και πολυ μελετη.
Τωρα που προεκυψε το προβλημα το συζηταμε.
Το σβηνω και παμε παρακατω

Και ο αλλος κανονας κατω απο το allow openvpn, αφορα vpn;
"add action=accept chain=forward in-interface=all-ppp src-address=\
!192.168.1.0/24"

Όχι.
Αφορά ότι κάνεις accept από το Input.
Για να περάσουν παρά κάτω θα πρέπει να το κάνεις accept και στο forward.
Αρκεί μόνο μια τέτοια δήλωση για όλες τις δηλώσεις των input από πάνω.

**kostasandr** · 05-03-19, 23:02

Επειδη με μπερδεψες λιγο τωρα. Και δεν ειμαι σε τελεια φαση σημερα.
Διαγραφοντας τον τον "allow open vpn", και προσθετοντας τον "allow winbox",
χρειαζεται να κανω καμμια αλλη μεταβολη.

**deniSun** · 05-03-19, 23:09

Αρχικό μήνυμα από kostasandr

Επειδη με μπερδεψες λιγο τωρα. Και δεν ειμαι σε τελεια φαση σημερα.
Διαγραφοντας τον τον "allow open vpn", και προσθετοντας τον "allow winbox",
χρειαζεται να κανω καμμια αλλη μεταβολη.

Στο configuration που έχεις... όχι.
Αλλά έχω κάνει κάποιες αλλαγές και το έχω κάνει περισσότερο "σφικτό".
Αν θυμάμαι καλά... το έχω ποστάρει.

**kostasandr** · 05-03-19, 23:12

Δεν νομιζω να το εχεις ποσταρει. Προ καιρου που εψαξα ολες τις σελιδες απο τελος προς αρχη και βρηκα αυτο που ποσταρα παραπανω.
Δεν βαζω και το χερι στη φωτια βεβαια.

**deniSun** · 05-03-19, 23:17

1. Δεν πετάμε τους κανόνες όπου να είναι.
Έχει σημασία η σειρά.
2. Δεν βάζουμε all-ppp αλλά δηλώνουμε επακριβώς το interface πχ pppoe-out1.

Spoiler:

/ip firewall filter
add action=accept chain=input comment=\
"Accept input established, related connections" connection-state=\
established,related
add action=drop chain=input comment="______Drop input invalid connections" \
connection-state=invalid
add action=accept chain=forward comment=\
"Allow forward established, related connections" connection-state=\
established,related
add action=drop chain=forward comment=\
"______Drop forward invalid connections" connection-state=invalid
add action=jump chain=input comment="Check ICMP input" in-interface=\
pppoe-out1 jump-target=icmp limit=5/5s,5

acket protocol=icmp
add action=accept chain=icmp comment="______Allow echo reply (no code)" \
icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment=\
"______Allow destination (net) unreachable" icmp-options=3:0 protocol=\
icmp
add action=accept chain=icmp comment=\
"______Allow destination (host) unreachable" icmp-options=3:1 protocol=\
icmp
add action=accept chain=icmp comment=\
"______Allow destination (fragmentation required) unreachable " \
icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="______Allow source quench (no code)" \
icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="______Allow echo request" icmp-options=\
8:0-255 protocol=icmp
add action=accept chain=icmp comment="______Allow time (limit) exceed" \
icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="______Allow parameter (header) problem" \
icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="______Drop all other ICMP types"
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="Add port scanners to list" \
in-interface=pppoe-out1 protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/FIN scan" \
protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______SYN/RST scan" \
protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" \
protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______ALL/ALL scan" \
protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment="______NMAP NULL scan" \
protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="______Drop port scanners from list" \
src-address-list="port scanners"
add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 \
in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward in-interface=pppoe-out1 src-address=\
192.168.5.0/24
add action=accept chain=input comment="Allow all input from LAN" \
in-interface=!pppoe-out1
add action=accept chain=forward comment="Allow all forward from LAN" \
in-interface=!pppoe-out1
add action=accept chain=forward dst-address=192.168.1.0/24 src-address=\
192.168.5.0/24
add action=drop chain=input comment="Drop input everything else"
add action=drop chain=forward comment="Drop forward everything else"

**kostasandr** · 05-03-19, 23:23

Στην δουλεια εχω 3 WAN. Να εχω 3 κανονες ξεχωριστους;

Βεβαια διαβαζοντας το τωρα. Εχει αρκετους κανονες που ειναι μονο για το configuration σου.

Δεν ειναι "generic".
Για παραδειγμα: allow open vpn, add action=accept chain=forward dst-address=192.168.1.0/24 src-address=\
192.168.5.0/24.

Και ο chech icmp input εχει ενα λαθακι...

Θέμα: Mikrotik IPv4/IPv6 firewall

Παρόμοια Θέματα

Mikrotik IPv6 σε PPPoE client με modem σε bridge mode

Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ

Mikrotik 2011 DHCP lease failed without success Point to Multipoint

IPV6 + IPV4 SPEED TEST

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές