Router OS CHR Firewall rules

[TearDrop]

Καλησπέρα

Εστησα πρόσφατα ενα CHR πάνω σε Proxmox και χρειάζομαι μια μικρή βοήθεια με τα firewall rules. Απο default δεν έχει κανένα rule, είναι κενό. Με μια αναζήτηση στο forum της Mikrotik έβαλα τα παρακάτω, είμαι ΟΚ απο θέμα ασφάλειας ή χρειάζομαι και κάτι άλλο? Απλή χρήση home based με PPPoE

[x_undefined]

Πριν το 4 μπορείς να βάλεις ένα fasttrack connection για τα established, related στο chain forward. Έτσι είναι και στο default config. Αν θες να περνάνε όλα τα πακέτα από CPU (και το αντέχει) το αφήνεις όπως έχεις.

Το τελευταίο rule δεν χρειάζεται. By default δεν υπάρχει externally initiated (connection state: new) access σε clients πίσω από το NAT, εκτός αν έχεις κάνει εσύ explicitly port forward (dstnat).

[BillyVan]

Καλημερα, να συμπληρωσω οτι αν εχεις να δωσεις πορους δωσε και μη δουλευεις το fast.

Προσωπικα αν εχω voip, wifi call κλπ δεν το δουλευω σε σχετικα καλα ρουτερ.

Σε αδυναμα ρουτερακια παιζει παντα ρολο και η γραμμη ιντερνετ για να τα ζυγισω και να αποφασισω.

Επισης βασικο για το firewall κατα τη γνωμη μου ειναι αν εχεις public ip τοτε ναι καλο ειναι να εχεις τουλαχιστον το μαμα.

Αν δεν εχεις public εχει μικρη σημασια γιατι εισαι πισω απο cgnat και δεν εισαι εκτεθειμενος αμεσα.

[K1m0n]

Μια καλή αρχή για να δεις ένα default, zone-based firewall,
θα ήταν το default firewall των soho mktik.
Εγώ θα ξεκίναγα με το παραπάνω, θα όριζα τα σχετικά zones,
και μετά ενδεχομένως θα έκοβα/έραβα στα σημεία.

edit:
εδώ έχει επιπλέον hints
https://help.mikrotik.com/docs/displ...ng+your+router

και σε άλλα (παλαιότερα) άρθρα στο παλιό wiki τους.

[xaris2335]

Καλησπέρα

Εστησα πρόσφατα ενα CHR πάνω σε Proxmox και χρειάζομαι μια μικρή βοήθεια με τα firewall rules. Απο default δεν έχει κανένα rule, είναι κενό. Με μια αναζήτηση στο forum της Mikrotik έβαλα τα παρακάτω, είμαι ΟΚ απο θέμα ασφάλειας ή χρειάζομαι και κάτι άλλο? Απλή χρήση home based με PPPoE

Να ακολουθείς αυτό το κανάλι έχει χρήσιμες συμβουλές.


- - - Updated - - -

https://www.youtube.com/watch?v=76nK...4T-xzL3VrYtsKS

[macro]

Παλαιοτερα που το εξαψα λιγο για το df fw config, συνειδητοποιησα οτι το default ειναι ακριβως αυτο που χρειαζεται καποιος για απλο ιντερνετ setup. Αφηνει να περασει μονο οτι valid request ρωτας και ριχνει ολα τα αλλα.

[xaris2335]

εγώ πάντως θα πρόσθετα και τα παρακάτω rules ειδικά του shodan

Spoiler:

Κώδικας:

/interface list
add name=WAN 

/interface list member 
add interface=ether1-GW1 list=WAN
add interface=ether5-GW2 list=WAN

/ip settings

 

/ip firewall address-list

add address=192.168.88.0/24 list=MyIpaddresses
add address=x.x.x.x/32 list=MyIpaddresses


add address=8.8.8.8 list=DNS

add address=8.8.4.4 list=DNS

add address=1.1.1.1 list=DNS

add address=198.20.69.72/29 list=shodan

add address=198.20.69.96/29 list=shodan

add address=198.20.70.112/29 list=shodan

add address=198.20.99.130 list=shodan

add address=93.120.27.62 list=shodan

add address=66.240.236.119 list=shodan

add address=71.6.135.131 list=shodan

add address=66.240.192.138 list=shodan

add address=71.6.167.142 list=shodan

add address=82.221.105.6 list=shodan

add address=82.221.105.7 list=shodan

add address=71.6.165.200 list=shodan

add address=216.117.2.180 list=shodan

add address=85.25.43.94 list=shodan

add address=85.25.103.50 list=shodan

add address=188.138.9.50 list=shodan

add address=209.126.110.38 list=shodan

add address=104.236.198.48 list=shodan

add address=104.131.0.69 list=shodan

add address=www.shodan.io list=shodan

add address=shodan.io list=shodan

 

/ip dns

set allow-remote-requests=yes

 

/ip firewall filter

add action=accept chain=forward comment="Allow Est, Rel" connection-state=established,related

add action=accept chain=input comment="Allow Est, Rel" connection-state=established,related

add action=accept chain=input comment=SSH dst-port=22 protocol=tcp src-address-list=MyIpaddresses



add action=accept chain=input comment=WinBox dst-port=8291 protocol=tcp src-address-list=MyIpaddresses

add action=accept chain=input comment="Allow ICMP" protocol=icmp src-address-list=MyIpaddresses



add action=drop chain=forward comment="Drop Inv." connection-state=invalid

add action=drop chain=input comment="Drop Inv." connection-state=invalid

add action=drop chain=input comment="Drop !DNS" dst-port=53 protocol=tcp src-address-list=!DNS

add action=drop chain=input comment="Drop !DNS" dst-port=53 protocol=udp src-address-list=!DNS


add action=accept chain=input comment="IN-Allow ping 1468b until 5 in seconds" limit=5,1:packet packet-size=1468 protocol=icmp

add action=add-src-to-address-list address-list=pingers address-list-timeout=1d chain=input comment="IN-List ICMP which dont match criteria" in-interface-list=WAN log-prefix=Ping@IN protocol=icmp src-address-list=""

add action=add-src-to-address-list address-list=@Service_Phase1 address-list-timeout=30m chain=input comment=Phase1 dst-port=21,22,23,69,80,443,5060,8080 in-interface-list=WAN protocol=tcp

add action=add-src-to-address-list address-list=@Service_Phase1 address-list-timeout=30m chain=input comment=Phase1-UDP dst-port=21,22,23,69,80,443,5060,8080 in-interface-list=WAN protocol=udp

add action=add-src-to-address-list address-list=@Service_Phase2 address-list-timeout=30m chain=input comment=Phase2 dst-port=21,22,23,69,80,443,5060,8080 in-interface-list=WAN protocol=tcp src-address-list=@Service_Phase1

add action=add-src-to-address-list address-list=@Service_Phase2 address-list-timeout=30m chain=input comment=Phase2-UDP dst-port=21,22,23,69,80,443,5060,8080 in-interface-list=WAN protocol=udp src-address-list=@Service_Phase1

add action=add-src-to-address-list address-list=@Service_Phase3 address-list-timeout=1w chain=input comment=Phase3 dst-port=21,22,23,69,80,443,5060,8080 in-interface-list=WAN protocol=tcp src-address-list=@Service_Phase2

add action=add-src-to-address-list address-list=@Service_Phase3 address-list-timeout=1w chain=input comment=Phase3-UDP dst-port=21,22,23,69,80,443,5060,8080 in-interface-list=WAN protocol=udp src-address-list=@Service_Phase2


add action=drop chain=input comment="IN-Block Shodan" src-address-list=shodan

add action=drop chain=input comment="defend from pingers" src-address-list=pingers


 


/ip service

set telnet disabled=yes

set ftp disabled=yes

set www disabled=yes

set ssh address="192.168.88.0/24,x.x.x.x/32"

set api disabled=yes

set winbox address="192.168.88.0/24,x.x.x.x/32"

set api-ssl disabled=yes