Mikrotik IPv4/IPv6 firewall [Αρχείο] - Σελίδα 35

Επιστροφή στο Forum : Mikrotik IPv4/IPv6 firewall

Σελίδες : 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 [35] 36 37 38 39 40 41 42 43 44

macro

27-09-20, 18:14

ipv6 firewall with Filter rules + Raw + Address Lists

/ipv6 firewall raw
add action=accept chain=prerouting comment="defconf: enable for transparent firewall" disabled=yes
add action=drop chain=prerouting comment="defconf: drop bogon IP's" src-address-list=bad_ipv6
add action=drop chain=prerouting comment="defconf: drop bogon IP's" dst-address-list=bad_ipv6
add action=drop chain=prerouting comment="defconf: drop packets with bad SRC ipv6" src-address-list=bad_src_ipv6
add action=drop chain=prerouting comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_dst_ipv6
add action=drop chain=prerouting comment="defconf: drop non global from WAN" src-address-list=not_global_ipv6 in-interface-list=WAN
add action=jump chain=prerouting comment="defconf: jump to ICMPv6 chain" jump-target=icmp6 protocol=icmpv6
add action=accept chain=prerouting comment="defconf: accept local multicast scope" dst-address=ff02::/16
add action=drop chain=prerouting comment="defconf: drop other multicast destinations" dst-address=ff00::/8
add action=accept chain=prerouting comment="defconf: accept everything else from WAN" in-interface-list=WAN
add action=accept chain=prerouting comment="defconf: accept everything else from LAN" in-interface-list=LAN
add action=drop chain=prerouting comment="defconf: drop the rest"

/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept ICMPv6 after RAW" protocol=icmpv6
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/16
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept IPSec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept IPSec ESP" protocol=ipsec-esp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop src-address-list=no_forward_ipv6 comment="defconf: drop bad forward IPs"
add action=drop dst-address-list=no_forward_ipv6 comment="defconf: drop bad forward IPs"
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6 after RAW" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" protocol=udp dst-port=500,4500
add action=accept chain=forward comment="defconf: accept AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches IPSec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN

/ipv6 firewall address-list
add address=fe80::/10 comment="defconf: RFC6890 Linked-Scoped Unicast" list=no_forward_ipv6
add address=ff00::/8 comment="defconf: multicast" list=no_forward_ipv6
add address=::1/128 comment="defconf: RFC6890 lo" list=bad_ipv6
add address=::ffff:0:0/96 comment="defconf: RFC6890 IPv4 mapped" list=bad_ipv6
add address=2001::/23 comment="defconf: RFC6890" list=bad_ipv6
add address=2001:db8::/32 comment="defconf: RFC6890 documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: RFC6890 orchid" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=::224.0.0.0/100 comment="defconf: other" list=bad_ipv6
add address=::127.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::0.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=::255.0.0.0/104 comment="defconf: other" list=bad_ipv6
add address=100::/64 comment="defconf: RFC6890 Discard-only" list=not_global_ipv6
add address=2001::/32 comment="defconf: RFC6890 TEREDO" list=not_global_ipv6
add address=2001:2::/48 comment="defconf: RFC6890 Benchmark" list=not_global_ipv6
add address=fc00::/7 comment="defconf: RFC6890 Unique-Local" list=not_global_ipv6
add address=::/128 comment="defconf: unspecified" list=bad_dst_ipv6
add address=::/128 comment="defconf: unspecified" list=bad_src_ipv6
add address=ff00::/8 comment="defconf: multicast" list=bad_src_ipv6

- - - Updated - - -

Ναι τα έχω διαβάσει και υλοποιήσει εδώ και πολύ καιρό. Thanks

- - - Updated - - -

Όσο αφορά τους νέους κανόνες drop στο ipv4 (σχετικά με τις λίστες) παρατήρησα ότι κόβει διευθύνσεις (υπάρχει κίνηση και το είδα από το log) μόνο στους 2 κανόνες που αναφέρονται ips στο Dst. Address List

Στο filter το icmpv6-forward δε δουλευει χωρις να ειμαι και σιγουρος. Θα μπορουσες ολα αυτα να τα βαλεις raw και να αφησεις μονο τα established και τα drop all others στο filter. Τα αλλα θα τα κοιταξω αλλη στιγμη.

jkarabas

27-09-20, 18:50

Έχω κάνει κάποιες τροποποιήσεις σε προβλήματα που διαπίστωσα:

1. Το 127.0 δεν μπορεί να είναι στο BadIP γιατί δεν θα μπορούν να συνδεθούν οι χρήστες του ασύρματου.
Τουλάχιστον σε εμένα με caps απλά έψαχνε για δίκτυο και δεν εμφανιζόταν ποτέ.
Θα πρέπει να μεταφερθεί στο BadDstIP όπου και κάνει την ίδια δουλειά και ξεμπλοκάρει και το θέμα του ασύρματου.
Αντίστοιχα και για το ν6.

Σε εμένα δεν συνέβηκε. Μήπως επειδή δεν έχω στήσει caps;

- - - Updated - - -

Στο filter το icmpv6-forward δε δουλευει χωρις να ειμαι και σιγουρος. Θα μπορουσες ολα αυτα να τα βαλεις raw και να αφησεις μονο τα established και τα drop all others στο filter. Τα αλλα θα τα κοιταξω αλλη στιγμη.

Εννοείς για τον κανόνα: add action=accept chain=forward comment="defconf: accept ICMPv6 after RAW" protocol=icmpv6;
Εαν ΝΑΙ δουλεύει κανονικά.

deniSun

27-09-20, 20:19

Σε εμένα δεν συνέβηκε. Μήπως επειδή δεν έχω στήσει caps;

Έβγαλες την 127 από την BadIP;

teodor_ch

27-09-20, 21:20

/ip firewall raw
add action=accept chain=prerouting comment="defconf: accept everything else from LAN" in-interface-list=LAN
add action=accept chain=prerouting comment="defconf: accept everything else from WAN" in-interface-list=WAN
add action=drop chain=prerouting comment="defconf: drop the rest"

Ξεκίνησα να το μελετάω αλλά είδα αυτό απο πάνω και επειδή δεν έχω χρόνο σταμάτησα.

Το defconf: accept everything else from WAN δεν μου κάθεται καθόλου καλά!
Προτιμώ τη φιλοσοφία του να αφήνουμε μόνο ότι θέλουμε και να κόβουμε όλα τα υπόλοιπα (συν μερικά έξτρα).

Το ίδιο και στο ipv6

deniSun

27-09-20, 21:50

Ξεκίνησα να το μελετάω αλλά είδα αυτό απο πάνω και επειδή δεν έχω χρόνο σταμάτησα.

Το defconf: accept everything else from WAN δεν μου κάθεται καθόλου καλά!
Προτιμώ τη φιλοσοφία του να αφήνουμε μόνο ότι θέλουμε και να κόβουμε όλα τα υπόλοιπα (συν μερικά έξτρα).

Το ίδιο και στο ipv6

Στην δικιά του φιλοσοφία παίζουν ρόλο.
Εγώ στο δικό μου το υλοποίησα χωρίς αυτά.

jkarabas

27-09-20, 22:39

Έβγαλες την 127 από την BadIP;

Όχι διότι όπως σου είπα δεν είχα θέμα με το ασύρματο.

Επίσης ανέβασε και το δικό σου ipv6 μαζί με RAW και address list να του ρίξω μια ματιά. Αν δεν έχεις θέμα.

deniSun

27-09-20, 22:49

/ipv6 firewall address-list

add address=::1/128 comment=Loopback list=BadDstIP
add address=::ffff:0.0.0.0/96 comment="IPv4 translated" list=BadIP
add address=2001:db8::/32 comment="Documentation prefix" list=BadIP
add address=2001:20::/28 comment=ORCHIDv2 list=BadIP
add address=100::/64 comment="Discard prefix" list=NotGlobalIP
add address=2001::/32 comment="Teredo tunneling" list=NotGlobalIP
add address=fc00::/7 comment="Unique local" list=NotGlobalIP
add address=::/128 comment=Unspecified list=BadDstIP
add address=::/128 comment=Unspecified list=BadSrcIP
add address=ff00::/8 comment=Multicast list=BadSrcIP
add address=2001:10::/28 comment=ORCHID list=BadIP
add address=ff00::/8 comment=Multicast list=NotGlobalIP
add address=fe80::/10 comment="Link local" list=NoForwardIP

/ipv6 firewall raw

add action=drop chain=prerouting comment="Drop bad IP" src-address-list=BadIP
add action=drop chain=prerouting comment="Drop bad IP" dst-address-list=BadIP
add action=drop chain=prerouting comment="Drop bad src IP" src-address-list=\
BadSrcIP
add action=drop chain=prerouting comment="Drop bad dst IP" dst-address-list=\
BadDstIP
add action=accept chain=prerouting comment="Accept local multicast" \
dst-address=ff02::/16
add action=drop chain=prerouting comment="Drop other multicast" dst-address=\
ff00::/8
add action=drop chain=prerouting comment="Drop non global IP" in-interface=\
pppoe-out1 src-address-list=NotGlobalIP
add action=jump chain=prerouting comment="Check all PPP" in-interface=\
pppoe-out1 jump-target=ppp-in src-address-list=!BlockedAddress
add action=jump chain=ppp-in comment="Check ICMPv6" jump-target=icmpv6 limit=\
1k,100:packet protocol=icmpv6
add action=accept chain=icmpv6 comment="______Accept router solicitation" \
icmp-options=133:0-255 protocol=icmpv6
add action=accept chain=icmpv6 comment="______Accept router advertisement" \
icmp-options=134:0-255 protocol=icmpv6
add action=accept chain=icmpv6 comment="______Accept neighbor solicitation" \
icmp-options=135:0-255 protocol=icmpv6
add action=accept chain=icmpv6 comment="______Accept neighbor advertisement" \
icmp-options=136:0-255 protocol=icmpv6
add action=accept chain=icmpv6 comment="______Accept destination-unreachable" \
icmp-options=1:0-255 protocol=icmpv6
add action=accept chain=icmpv6 comment="______Accept packet-too-big" \
icmp-options=2:0-255 protocol=icmpv6
add action=accept chain=icmpv6 comment="______Accept time-exceeded" \
icmp-options=3:0-255 protocol=icmpv6
add action=accept chain=icmpv6 comment="______Accept bad-header" \
icmp-options=4:0 protocol=icmpv6
add action=accept chain=icmpv6 comment="______Accept unknown-header-type" \
icmp-options=4:1 protocol=icmpv6
add action=accept chain=icmpv6 comment="______Accept echo-request" \
icmp-options=128:0-255 protocol=icmpv6
add action=accept chain=icmpv6 comment="______Accept echo-reply" \
icmp-options=129:0-255 protocol=icmpv6
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=2w chain=icmpv6 comment=\
"______Block all others icmp" log=yes
add action=jump chain=ppp-in comment="Check TCP" jump-target=tcp protocol=tcp
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=2w chain=tcp comment=\
"______Block NMAP FIN Stealth scan" log=yes protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=2w chain=tcp comment="______Block SYN/FIN scan" log=\
yes protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=2w chain=tcp comment="______Block SYN/RST scan" log=\
yes protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=2w chain=tcp comment="______Block FIN/PSH/URG scan" \
log=yes protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=2w chain=tcp comment="______Block ALL/ALL scan" log=\
yes protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=BlockedAddress \
address-list-timeout=2w chain=tcp comment="______Block NMAP NULL scan" \
log=yes protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=prerouting comment="Drop BlockedAddress" in-interface=\
pppoe-out1 src-address-list=BlockedAddress

/ipv6 firewall filter

add action=accept chain=input comment=\
"Input accept established, related connections" connection-state=\
established,related
add action=drop chain=input comment="Input drop invalid connections" \
connection-state=invalid
add action=accept chain=input comment="Input accept raw ICMP" protocol=icmpv6
add action=accept chain=input comment="Input accept DHCPv6 client" dst-port=\
546 protocol=udp
add action=drop chain=input comment="Input drop all not from LAN" \
in-interface=pppoe-out1
add action=accept chain=forward comment=\
"Forward accept established, related connections" connection-state=\
established,related
add action=drop chain=forward comment="Forward drop invalid connections" \
connection-state=invalid
add action=accept chain=forward comment="Forward accept raw ICMP" protocol=\
icmpv6
add action=accept chain=forward comment="Forward accept DHCPv6 client" \
dst-port=546 protocol=udp
add action=drop chain=forward comment="Drop no forward IP" dst-address-list=\
NoForwardIP out-interface=pppoe-out1
add action=drop chain=forward comment="Forward drop all not from LAN" \
in-interface=pppoe-out1

jkarabas

28-09-20, 09:02

Καλημέρα
Το untracted στον 1ο κανόνα του filter rules δεν πρέπει να είναι τικαρισμένο;

Η ερμηνεία του είναι:
UNTRACKED - A packet that was set to bypass connection tracking in the Firewall RAW table

macro

28-09-20, 09:32

teodor_ch

28-09-20, 10:05

Είδα και μου κόβει το wireguard που έχω dst-nat προς το σερβερ μου και την ανοιχτή πόρτα του winbox ο παρακάτω κανόνας (δεν έχω πάρει χαμπάρι τί άλλο κόβει)

/ip firewall raw add action=add-src-to-address-list address-list=BlockedAddress address-list-timeout=2w chain=icmp comment="______Block all others icmp" disabled=yes log=yes

icmp: in:pppoe-out1 out:(unknown 0), src-mac ac:00:00:00:00:00, proto ICMP (type 3, code 3), 94.71.000.000->94.64.000.000, len 576

Μήπως στο prerouting δε ξέρει ακόμα ποιά πόρτα είναι ανοιχτή στο input και στο dst-nat?
Το έχει παρατηρήσει κάποιος άλλος?

--------------------------

Επίσης πρόσθεσα αυτό τον κανόνα στο firewall μιας και είχα κίνηση απο ether-to-ether που δεν είναι σε bridge και είχα +10-15% χρήση επεξεργαστή. Με το fasttrack έπεσε.

/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked dst-address=192.168.0.0/16 src-address=192.168.0.0/16

add action=accept chain=forward comment="Established, Related" connection-state=established,related

jkarabas

28-09-20, 12:59

Οχι δε πρεπει να ειναι το untracked τικαρισμενο εκτος και αν εχεις δηλωσει εσυ στα mangles.

- - - Updated - - -

Deni βαλτα και εσυ ολα στο raw και στο filter ασε μονο τα established, related με τα drop invalid & everything else. Icmp, dhcpv6 client κ.λ.π. δε χρειαζονται να ειναι στο filter.

@teodor_ch δεν εχεις φτιαξει τπτ σε ipv6?

Όχι δεν έχω mangles.

Μπορείς να δώσεις εδώ (copy) ποιους κανόνες εννοείς;

Εννοείς τους παρακάτω κανόνες του Deni να μεταφερθούν στο RAW;
add action=accept chain=input comment="Input accept raw ICMP" protocol=icmpv6
add action=accept chain=input comment="Input accept DHCPv6 client" dst-port=546 protocol=udp
add action=accept chain=forward comment="Forward accept raw ICMP" protocol=icmpv6
add action=accept chain=forward comment="Forward accept DHCPv6 client" dst-port=546 protocol=udp
add action=drop chain=forward comment="Drop no forward IP" dst-address-list=NoForwardIP out-interface=pppoe-out1
add action=drop chain=forward comment="Forward drop all not from LAN" in-interface=pppoe-out1

macro

28-09-20, 13:37

Ναι με δοκιμες γιατι ισως καποιοι που παιρνουν μερος μετα το connection state να μη δουλευουν και να πρεπει να παραμεινουν στο filter. O Forward drop all not from LAN, ο τελευταιος δλδ........... σιγουρα δε θα δουλευει.

deniSun

28-09-20, 16:52

Deni βαλτα και εσυ ολα στο raw και στο filter ασε μονο τα established, related με τα drop invalid & everything else. Icmp, dhcpv6 client κ.λ.π. δε χρειαζονται να ειναι στο filter.

Δεν γίνεται να μπει μόνο στο raw. Τουλάχιστον όχι στο δικό μου setup.
Εκτός και αν κάτι μου διαφεύγει.
Στο ν4 αν βάλω το icmp μόνο στο raw τότε δεν θα απαντάει ο ρούτερ από έξω σε ping.

Το ίδιο και στο v6 όπου αν δεν βάλω ΚΑΙ στο forward τότε όλα τα v6 test θα βλέπουν ότι το icmp γίνεται filter.
Το μόνο που δεν χρειάζεται είναι το dhcpv6 στο filter forward.

Παρατήρηση.
Έχω σβήσει όλους τους κανόνες των icmp από το raw.
Νομίζω ότι πλέον είναι άχρηστοι.
Για εμένα είναι κατάλοιπο από μια εποχή που έκοβα τα ping στο ρούτερ από έξω.
Είχα δει όμως ότι κάτι τέτοιο μόνο προβλήματα δημιουργούσε.
Οπότε θεωρώ ότι δεν χρειάζεται τόση φασαρία για το ποια icmp θα δέχομαι.

macro

28-09-20, 19:25

Ασε που δε νομιζω να χρειαζεται τοσο συνθετο ipv6 firewall.

deniSun

28-09-20, 19:55

Ασε που δε νομιζω να χρειαζεται τοσο συνθετο ipv6 firewall.

Αυτό με τα πακέτα icmp σου δουλεύει;
Όπως το έχεις φαίνεται ότι περνάνε από το raw αλλά δεν γίνονται από πουθενά δεκτά στο filter.
Οπότε δεν θα πρέπει να απαντάει ο ρούτερ σε Ping γιατί τα ρίχνει το drop που έχεις στο input.

Στο ν6 επίσης.

macro

29-09-20, 12:46

deniSun

29-09-20, 14:54

Ενω φαινεται να γραφει το icmp οντως δε κανει ping απ' εξω τη public.

Ενω φαινεται να δουλευει κανονικα στο filter αλλα πανω πανω και στο jump state input. Σε forward παλι δε δουλευει.

Για ν4 δεν χρειάζεται να περάσεις κάτι στο forward στο filter γιατί οι clients είναι πίσω από ΝΑΤ.
Οπότε δεν μπορεί ποτέ να γίνει Ping από έξω προς τα μέσα με διεύθυνση εσωτερικού δικτύου.
Στο input του filter αν δεν κάνεις accept ότι αφήνεις να περάσουν από το raw,
τότε όλα πάνε στο drop που έχεις.

Στο ν6 θα πρέπει να βάλεις κανόνα για τα icmp και στο forward ώστε να δέχονται Ping οι client.
Όπως είπα τα ν6 test θεωρούν απαραίτητα να τα έχεις ανοιχτά τα Ping προς τους client για την σωστή λειτουργία του ν6.

macro

29-09-20, 19:37

Δε διαφωνω αν και η μικροτικ στο documentation το δhλωνει σα forward.

BillyVan

02-01-21, 02:04

Καλή χρονιά!
@macro
1 Για το Ping απ εξω βρήκες λυση?
2 Στο http://www.shieldtest.com/ πως καταφερες και τα πηρες ολα pass? (3 στα 7 παιρνω οτι δοκιμες κι αν εχω κανει ρε γμτ)

υ.γ.
Αν βαλω 1 κανονα το παρακατω παιζει αλλα είναι μια λύση πρόχειρη.
/ip firewall filter
add chain=input comment="Allow all ICMP" protocol=icmp

deniSun

02-01-21, 09:49

Γιατί να φιλτράρεις τα icmp;
Δεν υπάρχει λόγος.

BillyVan

02-01-21, 11:03

Δεν αφηνει το ping να περασει και να απαντησει αν δεν μπει αυτος ο κανονας Deni.

Μηπως εννοεις κατι άλλο;

deniSun

02-01-21, 11:06

Δεν αφηνει το ping να περασει και να απαντησει αν δεν μπει αυτος ο κανονας Deni.

Μηπως εννοεις κατι άλλο;

Στο δικό μου conf δεν φιλτράρω icmp στο raw ούτε στο rules.
Έτσι περνάνε χωρίς πρόβλημα και χωρίς κάποια άλλη δήλωση.
Τα αφήνω να περάσουν στο rules με input.

Παλιότερα τα φίλτραρα και εγώ.
Αλλά δεν υπάρχει λόγος.
Νομίζω είχα παραθέσει και Link από ΜΤ γιατί δεν χρειάζεται να ανησυχούμε πλέον για τα icmp.

BillyVan

02-01-21, 11:50

macro

02-01-21, 11:57

Εχω τους κανονες στο raw και τους κανω allow στο filter για να περασει το icmp.

deniSun

02-01-21, 12:04

Ναι στο δικο σου οντως ειναι οπως το λες.

Το εχω στο ac2 και δεν το πειραζω.

Απλα εχω κανει 2 ακομη pppoe με αλλα Μικροτικ απ το σπιτι μου και δοκιμαζω διαφορετικα σεναρια.

Γι αυτο και ρωτησα τον Μακρο.

Μου φαίνεται περίεργο στο δικο του fw ενω το αφηνει να το κοβει μετα το Μικροτικ.

Με την ευκαιρια οποτε εχετε χρόνο βάλτε το fw που εχετε καταλήξει οτι σας δουλευει καλα.

Ότι κόβεις στο raw σταματάνε εκεί και δεν περνάνε πουθενά αλλού.
Ότι δεν κόβεις στο raw σημαίνει ότι αφήνεις και περνάνε παραμέσα.
Τώρα θέλει προσοχή στο rules.
Αν στο input έχεις δηλωμένο drop all others,
ότι περνάνε από το raw και δεν γίνονται allow από το input στο rules
θα κόβονται από το drop all others.
πχ εδώ δηλώνεις αν θέλεις να περάσουν icmp, vpn κλπ.

BillyVan

02-01-21, 12:48

Θα το πιασω παλι αυριο με καθαροτερο μυαλο.

Είμαι σιγουρος ομως οτι στου Μακρο δεν απανταει σε ping.

Θα επανέλθω.

Σας ευχαριστώ.

macro

02-01-21, 12:56

Ναι αυτο που εχω ποσταρει ειναι ελλειπες. Το ειχα συζητησει και με το deni πιο πριν. Παρτο ετοιμο......

/ip firewall filter
add action=accept chain=input comment="Accept ICMP after RAW" protocol=icmp

/ip firewall raw
add action=jump chain=prerouting comment="Jump to ICMP chain" jump-target=\
icmp4 protocol=icmp
add action=accept chain=icmp4 comment="echo reply" icmp-options=0:0 limit=\
5,10:packet protocol=icmp
add action=accept chain=icmp4 comment="net unreachable" icmp-options=3:0 \
protocol=icmp
add action=accept chain=icmp4 comment="host unreachable" icmp-options=3:1 \
protocol=icmp
add action=accept chain=icmp4 comment="protocol unreachable" icmp-options=3:2 \
protocol=icmp
add action=accept chain=icmp4 comment="port unreachable" icmp-options=3:3 \
protocol=icmp
add action=accept chain=icmp4 comment="fragmentation needed" icmp-options=3:4 \
protocol=icmp
add action=accept chain=icmp4 comment=echo icmp-options=8:0 limit=5,10:packet \
protocol=icmp
add action=accept chain=icmp4 comment="time exceeded " icmp-options=11:0-255 \
protocol=icmp
add action=drop chain=icmp4 comment="drop other icmp" protocol=icmp

deniSun

02-01-21, 13:06

Θα το πιασω παλι αυριο με καθαροτερο μυαλο.

Είμαι σιγουρος ομως οτι στου Μακρο δεν απανταει σε ping.

Θα επανέλθω.

Σας ευχαριστώ.

Προσοχή στο ν6.
Θέλει και στο froward.
Επιμένω όμως ότι δεν χρειάζεται να μπαίνει κανείς στην διαδικασία φιλτραρίσματος των icmp.

macro

02-01-21, 13:19

Για πιο λογο?

deniSun

02-01-21, 13:30

Για πιο λογο?

Εδώ (https://help.mikrotik.com/docs/display/ROS/Building+Advanced+Firewall) λέει:

And another chain for ICMP. Note that if you want a very strict firewall then such strict ICMP filtering can be used, but in most cases, it is not necessary and simply adds more load on the router's CPU. ICMP rate limit in most cases is also unnecessary since the Linux kernel is already limiting ICMP packets to 100pps.

macro

02-01-21, 19:30

100 πακετα ειναι πολλα. Εγω το κανω limit στα 10. Οχι οτι κινδυνευεις απο κατι τη σημερον ημερα.............

deniSun

02-01-21, 19:42

Σε εποχές adsl το είχα κλειστό τελείως το icmp.
Και σε κάποια υλοποίηση με ΜΤ επίσης.
Είχα δει όμως ότι πρέπει να το έχεις ανοιχτό γιατί από το dslam ερχόταν κατά διαστήματα πακέτα για έλεγχο της σύνδεσης.

Αργότερα είχα εφαρμόσει κάποια φίλτρα.
Προσθέτοντας και άλλα και βάζοντας limit είδα ότι χανόταν διάφορα (ακίνδυνα).
Οπότε μπήκα στην διαδικασία να το ελέγχο συνέχεια και να αλλάζω τα limits ή να προσθέτω και άλλους κανόνες.

Ειδικά με το ν6 γινόταν χαμός.

Οπότε διαβάζοντας και το παραπάνω αποφάσισα να το ξεφορτωθώ.
Τζάμπα φόρτος και κόπος για εμένα.

Ειδικά με το ddos και τις υπόλοιπες δηλώσεις στο fw νομίζω ότι είμαστε αρκετά προστατευμένοι.

macro

02-01-21, 20:49

Δεν εχεις αδικο σε αυτο μιας και το fw ddos καλυπτει εν πολυ μερει και το icmp spoofing.

atux_null

03-01-21, 13:46

χαίρεται και καλή χρονιά. Έχω το firewall από το https://www.adslgr.com/forum/threads/858118-Mikrotik-IPv4-IPv6-firewall?p=6889489#post6889489 και 2 θέματα:
-Δεν μπορω να κάνω πουθενά ssh (εξερχόμενο) όταν η πόρτα είναι 22
-Πρόβλημα με τα connections στα torrents. Με το που βάλω ένα torrent για λίγη ώρα (~5 λεπτά) δουλεύει. Κατόπιν σταματάει και δεν έχω κανένα connection, αλλά μου κόβεται και το Internet στο δίκτυο μου. Κανένα PC δεν βγαίνει ούτε ping. Η address list (ip>firewall>address list) γεμίζει με ατελείωτες εγγραφές. Η μόνη λύση για να αποκτήσω Internet πάλι είναι να κάνω επανεκκίνηση στο Mikrotik.

Πως μπορώ να διορθώσω τα παραπάνω προβλήματα?

macro

03-01-21, 15:04

Αν δεις στο πρωτο κανονα υπαρχει η πορτα 22. Εσυ πρεπει να τη βγαλεις για να μπορεις να συνδεεσαι, Οσων αφορα τα τορρεντς πρεπει να προσθεσεις στο port scanners εκει που εγω εχω το !LAN εσυ να βαλεις το !bridge1, ή οπως αλλιως εχεις ονομασει τη θυρα bridge.

atux_null

03-01-21, 18:45

macro

03-01-21, 19:55

Ακομη να βαλεις για icmp αυτο που ποσταρα στο φιλο λιγο πιο πισω, για ποσταρε το filter και το raw λιγο να το δω.

atux_null

03-01-21, 20:07

Ακομη να βαλεις για icmp αυτο που ποσταρα στο φιλο λιγο πιο πισω, για ποσταρε το filter και το raw λιγο να το δω.

Το filter

[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; NTP Allow
chain=forward action=accept protocol=udp dst-port=123 log=no
log-prefix=""

1 ;;; Accept Input Established Related
chain=input action=accept connection-state=established,related

2 X ;;; Block Internet access to Lenovo's_Tablet IP:194
chain=forward action=drop connection-state=established,new
src-address=192.168.177.194 out-interface=pppoe-out1 log=no log-prefix=""

3 X ;;; Block Internet access to Samsung_Tablet IP:195
chain=forward action=drop connection-state=established,new
src-address=192.168.177.195 out-interface=pppoe-out1 log=no log-prefix=""

4 X ;;; Block Internet to Nokia's_Phone IP:196
chain=forward action=drop connection-state=established,new
src-address=192.168.177.196 out-interface=pppoe-out1 log=no log-prefix=""

5 ;;; allow IPsec NAT
chain=input action=accept protocol=udp dst-port=4500

6 ;;; allow IKE
chain=input action=accept protocol=udp dst-port=500

7 ;;; allow l2tp
chain=input action=accept protocol=udp dst-port=1701

8 ;;; allow pptp
chain=input action=accept protocol=tcp dst-port=1723

9 ;;; allow sstp
chain=input action=accept protocol=tcp dst-port=443

10 ;;; Drop Invalid connections
chain=input action=drop connection-state=invalid

11 ;;; Allow all input from LAN
chain=input action=accept in-interface=bridge1

12 ;;; Drop everything else Input
chain=input action=drop

13 ;;; Accept forward Established Related
chain=forward action=accept connection-state=established,related

Σχετικά με το icmp εννοείς αυτό εδώ https://www.adslgr.com/forum/threads/858118-Mikrotik-IPv4-IPv6-firewall?p=6960833#post6960833?

macro

03-01-21, 21:01

Ναι αυτο λεω..... το raw θελω.

atux_null

03-01-21, 21:19

το RAW:

[admin@MikroTik] /ip firewall raw> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; ______Add Port scanners to list
chain=prerouting action=add-src-to-address-list time=0s-1d,sun,mon,tue,wed,thu,fri,sat protocol=tcp psd=21,3s,3,1 address-list=Port Scanners address-list-timeout=2w

1 ;;; ______NMAP FIN Stealth scan
chain=prerouting action=add-src-to-address-list tcp-flags=fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=Port Scanners address-list-timeout=2w

2 ;;; ______SYN/FIN scan
chain=prerouting action=add-src-to-address-list tcp-flags=fin,syn protocol=tcp address-list=Port Scanners address-list-timeout=2w

3 ;;; ______SYN/RST scan
chain=prerouting action=add-src-to-address-list tcp-flags=syn,rst protocol=tcp address-list=Port Scanners address-list-timeout=2w

4 ;;; ______FIN/PSH/URG scan
chain=prerouting action=add-src-to-address-list tcp-flags=fin,psh,urg,!syn,!rst,!ack protocol=tcp address-list=Port Scanners address-list-timeout=2w

5 ;;; ______ALL/ALL scan
chain=prerouting action=add-src-to-address-list tcp-flags=fin,syn,rst,psh,ack,urg protocol=tcp address-list=Port Scanners address-list-timeout=2w

6 ;;; ______NMAP NULL scan
chain=prerouting action=add-src-to-address-list tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg protocol=tcp psd=21,3s,3,1 address-list=Port Scanners
address-list-timeout=2w

7 ;;; ______Drop Port scanners from list
chain=prerouting action=drop src-address-list=Port Scanners

8 ;;; ______ddos_Protection
chain=prerouting action=jump jump-target=block-ddos tcp-flags=syn protocol=tcp

9 chain=prerouting action=drop src-address-list=ddoser dst-address-list=ddosed

10 chain=block-ddos action=return dst-limit=50,50,src-and-dst-addresses/10s

11 chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m

12 chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m

13 ;;; ______Make jumps to ICMP chains
chain=prerouting action=jump jump-target=icmp protocol=icmp

14 ;;; ______Echo reply
chain=icmp action=accept icmp-options=0:0 protocol=icmp

15 ;;; ______Net unreachable
chain=icmp action=accept icmp-options=3:0 protocol=icmp

16 ;;; ______Host unreachable
chain=icmp action=accept icmp-options=3:1 protocol=icmp

17 ;;; ______Host unreachable fragmentation required
chain=icmp action=accept icmp-options=3:4 protocol=icmp

18 ;;; ______Allow source quench
chain=icmp action=accept icmp-options=4:0 protocol=icmp

19 ;;; ______Allow echo request
chain=icmp action=accept icmp-options=8:0 protocol=icmp

20 ;;; ______Allow time exceed
chain=icmp action=accept icmp-options=11:0 protocol=icmp

21 ;;; ______Allow parameter bad
chain=icmp action=accept icmp-options=12:0 protocol=icmp

22 ;;; ______Deny all other ICMP types
chain=icmp action=drop

23 ;;; ______Blocked Ports TCP
chain=prerouting action=drop port=0,20,21,22,23,67-69,161-162,135-139,444-445,1080,1900 protocol=tcp

24 ;;; ______Blocked Ports UDP
chain=prerouting action=drop port=0,20,21,22,23,161-162,135-139,444-445,1080,1900 protocol=udp

25 ;;; Jump to ICMP chain
chain=prerouting action=jump jump-target=icmp4 protocol=icmp

26 ;;; echo reply
chain=icmp4 action=accept icmp-options=0:0 limit=5,10:packet protocol=icmp

27 ;;; net unreachable
chain=icmp4 action=accept icmp-options=3:0 protocol=icmp

28 ;;; host unreachable
chain=icmp4 action=accept icmp-options=3:1 protocol=icmp

29 ;;; protocol unreachable
chain=icmp4 action=accept icmp-options=3:2 protocol=icmp

30 ;;; port unreachable
chain=icmp4 action=accept icmp-options=3:3 protocol=icmp

31 ;;; fragmentation needed
chain=icmp4 action=accept icmp-options=3:4 protocol=icmp

32 ;;; echo
chain=icmp4 action=accept icmp-options=8:0 limit=5,10:packet protocol=icmp

33 ;;; time exceeded
chain=icmp4 action=accept icmp-options=11:0-255 protocol=icmp

34 ;;; drop other icmp
chain=icmp4 action=drop protocol=icmp

[admin@MikroTik] /ip firewall raw>

BillyVan

04-01-21, 01:17

Βγαλε την 22 πορτα απ τον 23 κανονα.

Οσο αναφορα για το δικο μου θεμα με το Ping...

Ειμαι οκ με τους κανονες που μου εδωσε ο Μακρο κι ευχαριστώ.

Κατι προβληματα με το VPN θα τα δω απο αύριο.

macro

04-01-21, 11:32

Πρεπει να βαλεις στο πρωτο κανονα των port scanner in-interface=!bridge1, ετσι ωστε να εξαιρεις τον εαυτο σου απο τα torrents. Ειπες οτι το εχεις βαλει αλλα δεν υπαρχει πουθενα η δηλωση.

Και σβησε και τους παλιους icmp κανονες.

jkarabas

05-01-21, 15:09

Και σβησε και τους παλιους icmp κανονες.

Καλημέρα σε όλους και Καλή Χρονιά με υγεία!!
Από τότε που έγινε η κουβέντα με τον Denisun για το icmp και ψάχνοντάς το λίγο, τους κανόνες (https://www.adslgr.com/forum/threads/858118-Mikrotik-IPv4-IPv6-firewall?p=6960833#post6960833) που έχεις macro εδώ τους έσβησα και εγώ κρατώντας αυτούς για το ddos.
Το ίδιο ισχύει και για τους κανόνες στο ipv6.

atux_null

12-01-21, 13:38

macro

12-01-21, 13:41

Γυρνα κανα 2 σελιδες πιο πισω.

atux_null

12-01-21, 14:32

Γυρνα κανα 2 σελιδες πιο πισω.

Αυτό https://www.adslgr.com/forum/threads/858118-Mikrotik-IPv4-IPv6-firewall?p=6896823#post6896823? και το ρίχνω?

macro

12-01-21, 14:39

Αυτο και σβηνεις τους παλιους κανονες.........

/ip firewall filter
add action=accept chain=input comment="Accept ICMP after RAW" protocol=icmp

/ip firewall raw
add action=jump chain=prerouting comment="Jump to ICMP chain" jump-target=\
icmp4 protocol=icmp
add action=accept chain=icmp4 comment="echo reply" icmp-options=0:0 limit=\
5,10:packet protocol=icmp
add action=accept chain=icmp4 comment="net unreachable" icmp-options=3:0 \
protocol=icmp
add action=accept chain=icmp4 comment="host unreachable" icmp-options=3:1 \
protocol=icmp
add action=accept chain=icmp4 comment="protocol unreachable" icmp-options=3:2 \
protocol=icmp
add action=accept chain=icmp4 comment="port unreachable" icmp-options=3:3 \
protocol=icmp
add action=accept chain=icmp4 comment="fragmentation needed" icmp-options=3:4 \
protocol=icmp
add action=accept chain=icmp4 comment=echo icmp-options=8:0 limit=5,10:packet \
protocol=icmp
add action=accept chain=icmp4 comment="time exceeded " icmp-options=11:0-255 \
protocol=icmp
add action=drop chain=icmp4 comment="drop other icmp" protocol=icmp

atux_null

13-01-21, 08:34

Για IPv6 χρησιμοποιώ το εξής:

/ipv6 firewall filter
add action=accept chain=input comment="Router - Allow IPv6 ICMP" disabled=no protocol=icmpv6
add action=accept chain=input comment="Router - Accept established connections" connection-state=established disabled=no
add action=accept chain=input comment="Router - Accept related connections" connection-state=related disabled=no
add action=drop chain=input comment="Router - Drop invalid connections" connection-state=invalid disabled=no
add action=accept chain=input comment="Router- UDP" disabled=no protocol=udp
add action=accept chain=input comment="Router - From our LAN" disabled=no in-interface=bridge1
add action=drop chain=input comment="Router - Drop other traffic" disabled=no
add action=drop chain=forward comment="LAN - Drop invalid Connections" connection-state=invalid disabled=no
add action=accept chain=forward comment="LAN - Accept UDP" disabled=no protocol=udp
add action=accept chain=forward comment="LAN - Accept ICMPv6" disabled=no protocol=icmpv6
add action=accept chain=forward comment="LAN - Accept established Connections" connection-state=established disabled=no
add action=accept chain=forward comment="LAN - Accept related connections" connection-state=related disabled=no
add action=accept chain=forward comment="LAN - Internal traffic" disabled=no in-interface=bridge1
add action=reject chain=forward comment="LAN - Drop everything else" connection-state=new disabled=no in-interface=pppoe-out1 reject-with=icmp-no-route
Είναι αυτό που είχε ξεκινήσει ο denisun. Έχουμε προσθήκες?

Mageirus

23-01-21, 10:30

Καλημέρα στην παρέα,
μια καλή προσθήκη σε θέμα IPV4 firewall που εχω βρει μέχρι τώρα ειναι εδω:

https://rickfreyconsulting.com/rfc-mikrotik-firewall-6-1-for-ipv4-free-version/

Προσοχή γιατί είναι λίγο βαρύ για παλιά router (smips).

Μπας και έχει κανείς καμιά λίστα από L7 patterns για malware/virus για να μπουν στην λίστα?

deniSun

23-01-21, 21:51