classic.ISPforum.cz

Snažím sa nastaviť v Mikrotiku pravidla vo firewallu podľa seba.
Tovarenske pravidla vymažem a pridám svoje:

/ip firewall filter
add chain=forward action=drop in-interface=ether1 --- zakázal som všetky prichádzajúce data
add chain=forward action=accept protocol=tcp dst-port=80 --- povolil som prezeranie stránok cez http
add chain=forward action=accept protocol=tcp dst-port=443 --- povolil som prezeranie stránok cez https
add chain=forward action=accept out-interface=ether1 --- povolil som data von zo siete
add chain=forward action=accept protocol=icmp in-interface=ether1

Keď pridám svoje pravidla vo firewalli, tak internet mi úplne prestane fungovať, nenačítajú sa webové stránky cez http, ani https.
Internet mi spať nabehne až keď Mikrotik resetujem do pôvodných továrenských nastavení.
Viete mi poradiť kde robím chybu keď mi po zadaní mojich pravidiel nejde internet?
Mal by som pridať, zmeniť, alebo odstrániť niektoré z pravidiel aby sa mi internet korektne načítaval?
Ako by ste tieto pravidla vy vylepšili? Je jedno v akom poradí zadávam jednotlive pravidla do Mikrotiku, alebo musí to mať nejakú postupnosť?

" If a packet matches the criteria of the rule, then the specified action is performed on it, and no more rules are processed in that chain (the exception is the passthrough action) "
Takze jestli mas Drop vseho prvni mohl by byt problem.... A co treba DNS to na funkcnost "internetu" nepotrebujes ?

Takže stačí v pravidla povoliť port pre DNS ?
Takéto pravidlo by mohlo pomoc ?

add chain=forward action=accept protocol=tcp dst-port=53
alebo
add chain=forward action=accept protocol=udp dst-port=53

Ktoré z týchto dvoch pravidiel je správne? Pri DNS preba použiť tcp protokol, alebo udp protokol, alebo dokonca oba?

Podle mě by měl stačit UDP, ale povolil bych oba.
Jestli se dobře dívám, tak všechno zakážeš a pak se snažíš povolovat. Podle mě by to mělo být naopak. Napřed povolit a zbytek zakázat.

Zkusil jsi si přečíst nějaké návody, manuály, teorie?

a) měl bys firewallovat i input
b) nejdřív se povoluje, pak zakazuje. Takové základní pravidlo (pro koncová zařízení).

Na začátek se dává pravidlo ACCEPT ESTABLISHED, RELATED. Tedy aby propustil již navázaná spojení. Pak povolíš vše z LAN strany (in-interface - zkoušíme ... nerýpat). A jako poslední zakážeš naprosto vše. V tomto stavu tedy internet pro tebe funguje, ale dovnitř nejde nic.

/ip firewall filter
add chain=forward connection-state=established
add chain=forward connection-state=related
add chain=forward in-interface=LAN
add chain=forward action=drop

Pokud chceš povolovat jen něco, tak vlastně nahrazuješ ten třetí řádek přesnější definicí. Např.
add chain=forward in-interface=LAN protocol=tcp dst-port=80,443

atd, atp. Jak předřečníci říkali, v takovém případě nezapomenout na DNS (tedy dst-port=53 tcp i udp, pokud ovšem nepoužíváš DNS z toho mikrotiku) a hodí se i icmp. Ono je toho dost, co potřebuješ ... smtp (v X variantách), nejspíš POP3 nebo IMAP, atd. Ze strany LAN bych tedy zase tak výrazně neomezoval (nemáš-li extra důvod).

Pokud jen něco málo chceš zakázat, vložíš ten zákaz na třetí řádek, např:
add action=drop chain=forward comment="blokace exploitable services" connection-state=new dst-port=1900 log=yes log-prefix="DDOS: " protocol=udp
add action=drop chain=forward connection-state=new dst-port=19 log=yes log-prefix="DDOS: " protocol=udp
add action=drop chain=forward connection-state=new dst-port=19 log=yes log-prefix="DDOS: " protocol=tcp
add action=drop chain=forward connection-state=new dst-port=17 log=yes log-prefix="DDOS: " protocol=tcp
add action=drop chain=forward connection-state=new dst-port=17 log=yes log-prefix="DDOS: " protocol=udp