❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

Mikrotik firewall - vážná bezpečnostní díra (?)

Návody a problémy s konfigurací.
Odpovědět
Maxik
Příspěvky: 2579
Registrován: 18 years ago
Kontaktovat uživatele:
Kontaktovat uživatele Maxik

Re: Mikrotik firewall - vážná bezpečnostní díra (?)

Příspěvekod Maxik » 17 years ago

mam to na 2.9.27, ostry provoz uz delsi dobu- demo je v sekci dema od meho nicku. Funguje to tak ze podle adress listu povolim forward smerem z LAN do inetu a zpetne povolim jen estabislished+related konexe a tim padem nikdo z venku nema sanci zalozit konexi dovnitr pokud o to nebyl pozadan PC z tve site. To je podle me zaklad nastaveni firewallu pro forward + samozrejme maskarada.
0 x
Nahoru
mpcz
Příspěvky: 2779
Registrován: 19 years ago

Příspěvekod mpcz » 17 years ago

OK, to vypadá docela nadějně a pravděpodobně. Vyzkouším ve všech režimech a ostrém provozu a dám vědět výsledek.
Děkuji.
mpcz
03/05/2008
0 x
Nahoru
Uživatelský avatar
sub_zero
Příspěvky: 1741
Registrován: 19 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:
Kontaktovat uživatele sub_zero

Příspěvekod sub_zero » 17 years ago

mpcz píše:Zrovna tak několik firem, které jsou umístěny na LAN z důvodu zabezpečení v oddělených adaptérech ETH1-3 se vidí navzájem a klidně si můžou studovat data konkurence (pokud jdu z jedné sítě do druhé přes NAT a samozřejmě nemají dostatečně zabezpečené své PC) !!!


no ono je tohle logicky. Mikrotik v defaultu NEMA nastaven zadny firewall. A pokud jsou na jednotlivych adapterech jiny subnety siti a routujes to, je SAMOZREJMOST, ze se uzivatele bezproblemu vidi. Samozrejme ne pres WIN sdileni, ale podle IP nebo domenovyho jmena se na nej bezproblemu pripojis.
Tvuj problem bude nejspis tim, ze jsi na ciste routovane siti jeste zapnul NAT, ale staticke routy mas nastaveny i na WAN, tzn, ze klient pripojeny na WAN se dopinga, pripoji a otevre sluzby na jakemkoli PC uvnitr Tve site. A co se tyka NATu... je NESMYSL, aby pri zadanem scr-natu nebo maskarade, jsi se pomoci IP adresy, na KTEROU NATUJES VEN dostal na klientuv PC uvnitr site. Z principu to ani neni mozne, jelikoz pokud mas udelanou napr. maskaradu vice stroju na jednu WAN adresu, jak Ty vis, na jake PC se chces pripojit nebo pripojis, kdyz se budes pripojovat pres tu WAN adresu? Tohle vse uz se resi dst-natem, pripadne net-mapem, ale to uz je jina kapitola.

Zaver z toho mam takovy, ze se "nejspis" stala chyba mezi klavesnici a zidly :wink: Doporucuji nakonfigurovat FW (napr. podle toho, co tu psal Maxik), je to nejjednodusi zpusob, jak vyresit Tvuj problem + nastavit dropy na forward mezi jednotlivyma ifac, aby se uzivatele na vnitrnich sitich nevideli mezi sebou.
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

PS: Ta fotka je stará, už mám +15kilo..
Nahoru
Petr Vlašic
Příspěvky: 588
Registrován: 19 years ago
Bydliště: Lanžhot
Kontaktovat uživatele:
Kontaktovat uživatele Petr Vlašic

Příspěvekod Petr Vlašic » 17 years ago

sub_zero píše:Z principu to ani neni mozne, jelikoz pokud mas udelanou napr. maskaradu vice stroju na jednu WAN adresu, jak Ty vis, na jake PC se chces pripojit nebo pripojis, kdyz se budes pripojovat pres tu WAN adresu?

Na tuto chvíli jsem tak horečně čekal:Rýp.:-)
0 x
Vždyť je to tak jednoduché…stačilo se zamyslet, špetku toho RTFM et voilà!
Nahoru
Odpovědět

Zpět na „Konfigurace“