problém s filter rules

[vohralik.t]

Ahoj, chci se zeptat, snažím se na svém MK nastavit firewall ale trochu s tím bojuju.
Na mém mikrotiku mám nakonfigurované DNS se statickými adresami pro vnitřní sít. Vše funguje tak jak chci, až do chvíle než si nastavím filter rules. Pak mi přestane fungovat primární DNS které mám nastavené na můj MK a DNS začne běhat po sekundárním které mám nastavené na ISP tím pádem mi přestanou fungovat statické DNS záznamy které mám nastavené na svém MK.
Firewall mám nastavený tak že poslední dvě pravidla zakazujou všechen provoz, tak to chci. Ale před těmi pravidly mám nastavené povolení na DNS, které přes to nefunguje. Když zakážu poslední dvě pravidla co zakazujou všechno tak Primární DNS zase funguje. Nějaké rady ? díky

/ip firewall filter
add chain=forward comment="allow established connections" connection-state=\
established
add chain=forward comment="allow related connections" connection-state=\
related
add action=drop chain=forward comment="drop invalid connections" \
connection-state=invalid
add action=drop chain=forward comment="drop port scanners from blacklist" \
src-address-list="port scanners"
add action=drop chain=input comment="drop port scanners from blacklist" \
src-address-list="port scanners"
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input comment=\
"add port scanners to blacklist" protocol=tcp psd=21,3s,3,1
add chain=forward disabled=yes dst-port=53 protocol=udp
add chain=forward disabled=yes dst-port=53 protocol=tcp
add chain=input disabled=yes dst-port=53 protocol=udp
add chain=input disabled=yes dst-port=53 protocol=tcp
add action=drop chain=input comment=drop in-interface=ether2-internet
add action=drop chain=forward in-interface=ether2-internet

[mirek.k]

Ta dvě pravidla pro DNS jsou zakázaná a chybí jim akce - ta by měla být allow.
Mirek

[ludvik]

action=accept je default a jako takový ve výpisu není uváděn.

[ludvik]

Ten DNS je přesně kde?

[vohralik.t]

Ten DNS je přesně kde?

jestli správně chápu dotaz tak DNS je přímo na MK co dělá router do internetu

[vohralik.t]

ještě sem přidal dvě pravidla i na input a stejně nic

add chain=input disabled=yes dst-port=53 protocol=udp
add chain=input disabled=yes dst-port=53 protocol=tcp

[ludvik]

Přidávat disablované pravidla nemá moc smyslu.

[ludvik]

Pokud tyhle dvě pravidla (enablovaná) přidáš na začátek (resp jako čtvrté, za to "invalid"), tak prostě DNS jít musí.

Bys nám také mohl trochu pomoci a dát sem výpis trochu lépe čitelný. Ale co už ...

Pokud je LAN strana jinde, než ether2, tak jediné pravidlo co ti může zakázat přístup na DNS server na tomto routeru je ta podivnost ohledně port scanneru.

Je to holt nedodržení štábní kultury. Na začátek každého chainu (INPUT, FORWARD) dej to established, related. Pak případně stále platná zákazová pravidla (např. to invalid). Poté povol co potřebuješ, aby bylo přístupné a na konci vše zakaž. Mluvím o INPUT.
Forward můžeš chtít obráceně ...

Mám takový pocit, že přesně tohle jsem zde psal už včera nebo předevčírem.

[vohralik.t]

DNS pravidla jsem tedy dal za jako 4té pravidlo za "invalid" nepomohlo, zkusil jsem vypnout pravidla na portscanner a taky nepomohlo. Eth1-lan_sít a Eth2-internet
Bohužel dělám pravidla přes winbox, a tohle je přes export firewallu přes terminál proto je to tak "nečitelné".

Filter rules po úpravě a bez portscanneru a stejně nic

/ip firewall filter
add action=accept chain=forward connection-state=established comment="allow established connections"
add action=accept chain=forward connection-state=related comment="allow related connections"
add action=drop chain=forward connection-state=invalid comment="drop invalid connections"
add action=accept chain=forward disabled=yes dst-port=53 protocol=udp
add action=accept chain=input disabled=yes dst-port=53 protocol=udp
add action=drop chain=input in-interface=ether2-internet
add action=drop chain=forward in-interface=ether2-internet

[Majklik]

A s tímto firewallem ti to dělá co? Řekl bych, že když se klient obrátí na Mikrotik, tak mu vrátí ty statické záznamy, ale nebude schopen vrátit odpověď na něco z venku, protože předposlední pravidlo:
add action=drop chain=input in-interface=ether2-internet
způsobí, že DNS dotaz pře poslaný z toho RB směrem ven jeho interním DNS forwarderem, tak nedostane zpět odpověď. Jednoduchý test, na tom RB si pusť terminál a zkus dát ping na nějaké jméno: /ping www.porno.cz
Pokud ti to hodí, že nejde přeložit, tak máš problém (nebo vůbec nemáš na RB natavenu adresu DNS serveru, kam přeposílat neznámé dotazy od /ip dns).
Hodilo by se tma ještě na začátku mít pravidlo typu:
/ip firewall filter
add chain=input connection-state=established,related action=accept

[ludvik]

Což jsem mu radil ...

Hodilo by se tma ještě na začátku mít pravidlo typu:
/ip firewall filter
add chain=input connection-state=established,related action=accept

Holt je potřeba pořádný popis problému. Nemožnost překladu mikrotikem jsem přehlédl.

[vohralik.t]

A s tímto firewallem ti to dělá co? Řekl bych, že když se klient obrátí na Mikrotik, tak mu vrátí ty statické záznamy, ale nebude schopen vrátit odpověď na něco z venku, protože předposlední pravidlo:
add action=drop chain=input in-interface=ether2-internet
způsobí, že DNS dotaz pře poslaný z toho RB směrem ven jeho interním DNS forwarderem, tak nedostane zpět odpověď. Jednoduchý test, na tom RB si pusť terminál a zkus dát ping na nějaké jméno: /ping http://www.porno.cz
Pokud ti to hodí, že nejde přeložit, tak máš problém (nebo vůbec nemáš na RB natavenu adresu DNS serveru, kam přeposílat neznámé dotazy od /ip dns).
Hodilo by se tma ještě na začátku mít pravidlo typu:
/ip firewall filter
add chain=input connection-state=established,related action=accept

super teď to vypadá dobře. Zkusil jsem z terminalu pingnout porno.cz s zapnutým předposledním pravidlem a bez výsledku. Zkusil jsem ho zakázat a ping se rozběhl. Tak jsem předposlední pravidlo zase povolil a přidal add chain=input connection-state=established,related action=accep a už to běží jak si představuji. Děkuji za pomoc