Konfigurácia firewallu podla seba

maetoo

Snažím sa nastaviť v Mikrotiku pravidla vo firewallu podľa seba.

Tovarenske pravidla vymažem a pridám svoje:

/ip firewall filter

add chain=forward action=drop in-interface=ether1 --- zakázal som všetky prichádzajúce data

add chain=forward action=accept protocol=tcp dst-port=80 --- povolil som prezeranie stránok cez http

add chain=forward action=accept protocol=tcp dst-port=443 --- povolil som prezeranie stránok cez https

add chain=forward action=accept out-interface=ether1 --- povolil som data von zo siete

add chain=forward action=accept protocol=icmp in-interface=ether1

Keď pridám svoje pravidla vo firewalli, tak internet mi úplne prestane fungovať, nenačítajú sa webové stránky cez http, ani https.

Internet mi spať nabehne až keď Mikrotik resetujem do pôvodných továrenských nastavení.

Viete mi poradiť kde robím chybu keď mi po zadaní mojich pravidiel nejde internet?

Mal by som pridať, zmeniť, alebo odstrániť niektoré z pravidiel aby sa mi internet korektne načítaval?

Ako by ste tieto pravidla vy vylepšili? Je jedno v akom poradí zadávam jednotlive pravidla do Mikrotiku, alebo musí to mať nejakú postupnosť?

brody

" If a packet matches the criteria of the rule, then the specified action is performed on it, and no more rules are processed in that chain (the exception is the passthrough action) "

Takze jestli mas Drop vseho prvni mohl by byt problem.... A co treba DNS to na funkcnost "internetu" nepotrebujes ? ;-)

maetoo

Takže stačí v pravidla povoliť port pre DNS ?

Takéto pravidlo by mohlo pomoc ?

add chain=forward action=accept protocol=tcp dst-port=53

alebo

add chain=forward action=accept protocol=udp dst-port=53

Ktoré z týchto dvoch pravidiel je správne? Pri DNS preba použiť tcp protokol, alebo udp protokol, alebo dokonca oba?

kysa

Podle mě by měl stačit UDP, ale povolil bych oba.

Jestli se dobře dívám, tak všechno zakážeš a pak se snažíš povolovat. Podle mě by to mělo být naopak. Napřed povolit a zbytek zakázat.

ludvik

Zkusil jsi si přečíst nějaké návody, manuály, teorie?

a) měl bys firewallovat i input

b) nejdřív se povoluje, pak zakazuje. Takové základní pravidlo (pro koncová zařízení).

Na začátek se dává pravidlo ACCEPT ESTABLISHED, RELATED. Tedy aby propustil již navázaná spojení. Pak povolíš vše z LAN strany (in-interface - zkoušíme ... nerýpat). A jako poslední zakážeš naprosto vše. V tomto stavu tedy internet pro tebe funguje, ale dovnitř nejde nic.

/ip firewall filter

add chain=forward connection-state=established

add chain=forward connection-state=related

add chain=forward in-interface=LAN

add chain=forward action=drop

Pokud chceš povolovat jen něco, tak vlastně nahrazuješ ten třetí řádek přesnější definicí. Např.

add chain=forward in-interface=LAN protocol=tcp dst-port=80,443

atd, atp. Jak předřečníci říkali, v takovém případě nezapomenout na DNS (tedy dst-port=53 tcp i udp, pokud ovšem nepoužíváš DNS z toho mikrotiku) a hodí se i icmp. Ono je toho dost, co potřebuješ ... smtp (v X variantách), nejspíš POP3 nebo IMAP, atd. Ze strany LAN bych tedy zase tak výrazně neomezoval (nemáš-li extra důvod).

Pokud jen něco málo chceš zakázat, vložíš ten zákaz na třetí řádek, např:

add action=drop chain=forward comment="blokace exploitable services" connection-state=new dst-port=1900 log=yes log-prefix="DDOS: " protocol=udp

add action=drop chain=forward connection-state=new dst-port=19 log=yes log-prefix="DDOS: " protocol=udp

add action=drop chain=forward connection-state=new dst-port=19 log=yes log-prefix="DDOS: " protocol=tcp

add action=drop chain=forward connection-state=new dst-port=17 log=yes log-prefix="DDOS: " protocol=tcp

add action=drop chain=forward connection-state=new dst-port=17 log=yes log-prefix="DDOS: " protocol=udp