Εγω δε λεω οτι ειναι λαθος οι κανονες, αλλα λαθος η σειρα τους. Τεσπα αν βολευεστε ετσι μια χαρα.
Εμφάνιση 1.396-1.410 από 2112
-
27-07-19, 13:40 Απάντηση: Mikrotik IPv4/IPv6 firewall #1396Άλλα Ντάλλα....
-
27-07-19, 14:46 Απάντηση: Mikrotik IPv4/IPv6 firewall #1397
δεν υπάρχει καμία λογική να μπεί το all others πάνω απο τα others!!!!
μα καμία λογική!
επίσης αυτή τη σειρά δίνει και η MK γιατί αυτή είναι η μόνη σωστή και λογική!
Είμαι σίγουρος ότι κάτι έχεις καταλάβει λάθος. Δεν γίνεται αυτός ο κανόνας να μπεί κάπου αλλού!
Αν δε το θυμάσαι τα πακέτα περνάνε έναν έναν κανόνα με τη σειρά. Αν κοπούν κάπου δεν περνάνε στον επόμενο.
-
27-07-19, 18:47 Απάντηση: Mikrotik IPv4/IPv6 firewall #1398
τα πακέτα περνάνε έναν έναν κανόνα με τη σειρά. Αν κοπούν κάπου δεν περνάνε στον επόμενο.See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)
-
27-07-19, 19:34 Απάντηση: Mikrotik IPv4/IPv6 firewall #1399
-
28-07-19, 10:18 Απάντηση: Mikrotik IPv4/IPv6 firewall #1400
Σχετικά με τον έλεγχο της εσωτερικής κίνησης...
Φυσικά και υπάρχει το θέμα με το εάν κολλήσεις κάποιο μαμούνι και αρχίσει να στέλνει αβέρτα κίνηση προς τα έξω.
Αλλά όπως είπα δεν με ενδιαφέρει αυτή η περίπτωση.
Προσωπικά θεωρώ ανούσιο να γεμίσω κανόνες που το μόνο που θα κάνουν είναι να αυξήσουν την πολυπλοκότητα/συντήρηση/ελέγχους χωρίς στην πραγματικότητα να έχω πετύχει σε ικανοποιητικό βαθμό το μπλοκάρισμα της ανεπιθύμητης κίνησης.| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
-
28-07-19, 11:33 Απάντηση: Mikrotik IPv4/IPv6 firewall #1401
Παιδες κολλησαμε κακως στο drop others forward ενω δεν ηταν αυτο το θεμα και δε το εθεσα μαλλον σωστα.
Οταν φτιαχνεις το firewall βαζεις πρωτα ολα τα input και το τελειωνεις με το drop. Μετα ξεκινας τα forward το οποιο επισης τελειωνεις με το drop all others. To drop all others input, επρεπε να ειναι εκει που τελειωνουν οι input rules και ΟΧΙ προτελευταιο μιας και ετσι δε κανει drop μερικα πακετα που γινονται allow απο το allow forward πιο πανω, μιας και ο κανονας ειναι μετα απο αυτους των allow forward (Που δε θα επρεπε). Αρα περνανε πακετα (Μερικα και ισως, οχι παντα) επειδη ακριβως δεν υπαρχει ο κανονας drop all others input αμεσως μετα το τελος των input. Ειναι τρυπα αυτο.
Το ειπα και πριν, αν κολλησει αυτο το πισι ransomware spread, τον ηπιες σε ολο το δικτυο.
Δλδ αν περασει στο input, περναει αυτοματα επειδη δε το κανεις εσυ drop και στο forward και απλα τον πινεις.
Κώδικας:/ip firewall filter add action=accept chain=input comment="Accept Input Established Related Untracked" connection-state=established,related,untracked add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______Add Port scanners to list" protocol=tcp psd=21,3s,3,1 time=0s-1d,sun,mon,tue,wed,thu,fri,sat add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/FIN scan" protocol=tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______SYN/RST scan" protocol=tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=2w chain=input comment="______NMAP NULL scan" protocol=tcp psd=21,3s,3,1 tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=drop chain=input comment="______Drop Port scanners from list" src-address-list="Port Scanners" add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge add action=drop chain=input comment="Drop everything else Input" add action=drop chain=forward comment=Ransomware_Protection_Ports dst-port=67-69,111,135-139,445,3389,2049,3133,12345-12346,20034 protocol=tcp add action=drop chain=forward dst-port=69,111,135-139,445,2049,3133,3389 protocol=udp add action=jump chain=forward comment="Make jumps to ICMP chains" jump-target=icmp protocol=icmp add action=accept chain=forward comment="Accept forward Established Related Untracked" connection-state=established,related,untracked add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp add action=accept chain=icmp comment="host unreachable fragmentation required" icmp-options=3:4 protocol=icmp add action=accept chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp add action=drop chain=icmp comment="deny all other types" add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge add action=drop chain=forward comment="Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat
Τελευταία επεξεργασία από το μέλος macro : 28-07-19 στις 11:48.
Άλλα Ντάλλα....
-
28-07-19, 16:47 Απάντηση: Mikrotik IPv4/IPv6 firewall #1402
-
28-07-19, 20:02 Απάντηση: Mikrotik IPv4/IPv6 firewall #1403
Αφου μετα το routing decision παει στο forward, θα περασει αναγκαστικα και πρεπει να το κοψεις οταν πρεπει και οχι οταν τυχει.
Άλλα Ντάλλα....
-
28-07-19, 22:03 Απάντηση: Mikrotik IPv4/IPv6 firewall #1404
Να το πώ αλλιώς.
Μπορείς να βάλεις πρώτα είτε τους input είτε τους forward κανόνες. Δεν θα αλλάξει κάτι στην πράξη.
Prerouting - input - τέλος
prerouting - forward - postrouting - τέλος
ή input ή forward
Αν το πακέτο προορίζεται για το ΜΚ το ίδιο δεν πάει απο forward αλλά μόνο απο Input
-
29-07-19, 08:30 Απάντηση: Mikrotik IPv4/IPv6 firewall #1405
Αυτο που λες ..... και η ΜΤ να το εγραφε ή να μου το ορκιζοταν οτι γινεται ετσι............... θα πηγαινα τοιχο τοιχο. δλδ μετα το input τι γινονται τα data? εξαφανιζοντε?
Άλλα Ντάλλα....
-
29-07-19, 09:12 Απάντηση: Mikrotik IPv4/IPv6 firewall #1406See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)
-
29-07-19, 09:40 Απάντηση: Mikrotik IPv4/IPv6 firewall #1407
-
29-07-19, 15:03 Απάντηση: Mikrotik IPv4/IPv6 firewall #1408
Και πως περναει στο client τοτε? Παιδια για αυτο το θεμα εχει πεσει απειρη συζητηση για το πως συμβαινει να ξερετε? Εγω ειμαι σιγουρος με αυτο το τροπο παντως.
Άλλα Ντάλλα....
-
29-07-19, 17:22 Απάντηση: Mikrotik IPv4/IPv6 firewall #1409
Υπάρχει documentation και γενικότερα πληροφορία στο internet που εξηγεί τα traffic flows σε σχέση με τα tables/chains (μιας και βασίζεται σε Linux iptables):
-- https://wiki.mikrotik.com/wiki/Manua...irewall/Filter
-- https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
-- https://rlworkman.net/howtos/iptable...html/c962.html
-- http://pld.cs.luc.edu/courses/netmgm.../iptables.html
-- https://wiki.archlinux.org/index.php/iptables
-- https://codefarm.me/2018/04/20/firew...lter-iptables/
-- https://www.youtube.com/watch?v=yE82upHCxfUΤελευταία επεξεργασία από το μέλος ios46 : 29-07-19 στις 17:48.
-
30-07-19, 09:08 Απάντηση: Mikrotik IPv4/IPv6 firewall #1410
Τα πράγμα είναι αρκετά απλά σε πρώτο επίπεδο.
Input -> κίνηση που έχει dst το ίδιο το router
Forward -> κίνηση που περνάει μέσα από το router
Output -> κίνηση που έχει γίνει originate από το ίδιο το router
Παρόμοια Θέματα
-
Mikrotik IPv6 σε PPPoE client με modem σε bridge mode
Από deniSun στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 136Τελευταίο Μήνυμα: 24-05-23, 22:17 -
Έναρξη πιλοτικής λειτουργίας IPv4/IPv6 dual stack από τον ΟΤΕ
Από SfH στο φόρουμ ΕιδήσειςΜηνύματα: 493Τελευταίο Μήνυμα: 18-05-19, 17:35 -
Mikrotik 2011 DHCP lease failed without success Point to Multipoint
Από jvam στο φόρουμ NetworkingΜηνύματα: 2Τελευταίο Μήνυμα: 18-10-14, 21:56 -
IPV6 + IPV4 SPEED TEST
Από babis3g στο φόρουμ ADSLΜηνύματα: 7Τελευταίο Μήνυμα: 05-09-14, 18:00
Bookmarks