❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

Nastavenie firewallu pre obmedzenie administrácie RB

Místo, kde žádná otázka není hloupá.
mirmo80
Příspěvky: 8
Registrován: 4 years ago

Nastavenie firewallu pre obmedzenie administrácie RB

Příspěvekod mirmo80 » 4 years ago

Dobrý deň všetkým, Ahoj
Som nový (laický, domáci) užívateľ RB Mikrotik CRS326 a zároveň novým členom fóra a týmto všetkých pozdravujem.
Dokázal som si svojpomocne nastaviť veci tak, ako som zhruba chcel. Tj. nastaviť PPPoE WAN pripojenie, vytvoriť dve siete LAN a VLAN10 (guest), prideliť k ním jednotlivé porty, obmedziť rýchlosť download na VLAN, nastaviť pravidlá aby sa siete medzi sebou nevideli. Po tento bod všetko ok, no ešte by som potreboval donastaviť pár vecí a už sa mi nedarí dogoogliť, alebo nájsť na YT. Dokázal som nastaviť pravidlo aby sa siete medzi sebou navzájom nevideli:

Kód: Vybrat vše

add action=drop chain=forward in-interface=LAN out-interface=VLAN10
add action=drop chain=forward in-interface=VLAN10 out-interface=LAN
Neviem či je 100%-tne ok ale funguje mi to. Ak by ste vedeli lepšie, tak budem rád za tip.

Ja by som však ešte chcel nastaviť, aby som sa do administrácie cez winbox dokázal prihlsiť iba ja. Aby to nešlo z VLAN pripojenia, aby to nešlo z vonku a ideálne (ako som zistil, že je možné) len z jedinej IP adresy - niečo podobné ako sa pýta kolega tu Nastavení firewall prot scanu portu. Prečítal som si stavime firewall a v princípe chápem čo to robí, no je tam na mňa veľa premenných aby som si s tým poradil.

Ten prístup z vonku som (asi) zamedzil:

Kód: Vybrat vše

add action=drop chain=input dst-port=8291 in-interface=WAN protocol=tcp
Ale to som len slepo okopíroval z postu https://ispforum.cz/viewtopic.php?p=271858#p271858. Nedarí sami v RB nikde nájsť aký port má WAN.

Rád by som vás teda poprosil, akým pravidlom nastavím:
1) Prístup do administrácie len z LAN
2) Prístup do administrácie len cez jeden port (napr. ether1)
3) Prístup do administrácie len z jednej IP adresy (pridelím ju staticky pre môj notebook)
4) Ak to mám zle, alebo nedostatočne, tak ako zakázať prístupu z vonku do RB
5) Ak to mám zle, alebo nedostatočne, tak ako nastaviť aby LAN a VLAN medzi sebou nekomunikovali

Ďakujem,
m
0 x
MikroTik CRS326

rsaf
Příspěvky: 1669
Registrován: 18 years ago

Příspěvekod rsaf » 4 years ago

Administrace jen z LAN +/- takto:

Kód: Vybrat vše

add action=drop chain=input dst-port=8291 in-interface=!LAN protocol=tcp

tedy na inputu zahoď vše na port winboxu, co není z LAN.
Správně by chain input měl vypadat nějak takto (+ možná ještě nějaké pravidlo pro DNS z VLAN10):

Kód: Vybrat vše

add action=accept chain=input connection-state=established,related,untracked
add action=drop chain=input connection-state=invalid
add action=accept chain=input protocol=icmp      (povolí ping i z wan)
add action=drop chain=input in-interface=!LAN

Tedy postupně:
- povolit navázaná spojení
- zahodit invalid spojení
- povolit co je potřeba povolit odjinud než z LAN (ping z venčí, dns, management z konkrétních adres zvenčí...)
- zahodit vše ostatní co není z LAN
1 x

mirmo80
Příspěvky: 8
Registrován: 4 years ago

Příspěvekod mirmo80 » 4 years ago

Super, vyskusam. Dakujem.
0 x
MikroTik CRS326

Daxxim
Příspěvky: 416
Registrován: 12 years ago
Kontaktovat uživatele:

Příspěvekod Daxxim » 4 years ago

První co mě dostalo je CRS326, to jako routuješ na switchi?
Dej před to jakýkoliv router, třeba HEX nebo hAp a firewall, NAT, shaping řeš na něm.
0 x
Citace: Ubiquiti jsou produkty pro lidi, kteří neumí a nerozumí sítím a chtějí aby “vše na jeden klik fungovalo”. Pokud po Ubiquiti produktech chceme obecně něco více, je to opravdu ZLO. Navíc tupé zlo, jen je designově hezké.

Uživatelský avatar
hapi
Příspěvky: 12989
Registrován: 17 years ago

Příspěvekod hapi » 4 years ago

a proč by nemohl? je to CRS, neni to CCS. Věnuj se rozjímání nad svým podpisem a běž si řešit své přesvědčení jinam.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků

Sidi
Příspěvky: 510
Registrován: 8 years ago

Příspěvekod Sidi » 4 years ago

Daxxim píše:První co mě dostalo je CRS326, to jako routuješ na switchi?
Dej před to jakýkoliv router, třeba HEX nebo hAp a firewall, NAT, shaping řeš na něm.


Záleží na rychlosti přípojky. Pokud má jen pár desítek Mbit, tak to zvládne i CRS. Cpát mu hned další router je trochu zbrklý (ne, že by CRS bylo vhodný, ale základ zvládne).
0 x

mirmo80
Příspěvky: 8
Registrován: 4 years ago

Příspěvekod mirmo80 » 4 years ago

Áno, je to CRS, teda aj router, nie len switch.
Ale pravidlá mi zatiaľ nefungujú, asi niečo robím nesprávne pretože sa do administrácie dostanem aj z LAN aj z VLAN10. Ale hľadám a skúšam kolo toho ďalej.

PS: toto fórum nenájdem v tapatalk? Skúšal som hľadať, ale našiel som len niečo poľské.
0 x
MikroTik CRS326

Daxxim
Příspěvky: 416
Registrován: 12 years ago
Kontaktovat uživatele:

Příspěvekod Daxxim » 4 years ago

mirmo80 píše:Ja by som však ešte chcel nastaviť, aby som sa do administrácie cez winbox dokázal prihlsiť iba ja. Aby to nešlo z VLAN pripojenia, aby to nešlo z vonku a ideálne (ako som zistil, že je možné) len z jedinej IP adresy


Kód: Vybrat vše

ip service set winbox address=192.168.88.200 nebo 192.168.88.0/24
1 x
Citace: Ubiquiti jsou produkty pro lidi, kteří neumí a nerozumí sítím a chtějí aby “vše na jeden klik fungovalo”. Pokud po Ubiquiti produktech chceme obecně něco více, je to opravdu ZLO. Navíc tupé zlo, jen je designově hezké.

mirmo80
Příspěvky: 8
Registrován: 4 years ago

Příspěvekod mirmo80 » 4 years ago

Ďakujem za všetky tipy, no niekde robím chybu. Nech nastavím čo nastavím, vždy sa z VLAN10 pripojím do rb. Jediné funkčné pravidlo mám, že LAN a VLAN10 medzi sebou nekomunikujú

Kód: Vybrat vše

add action=drop chain=forward in-interface=LAN out-interface=VLAN10
add action=drop chain=forward in-interface=VLAN10 out-interface=LAN

Do firewall rules som pridal jednak vaše tipy a potom niečo asi nejako univerzálne, čo som našiel na mikrotik stránke https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter s tým, že som upravil svoje IP. No aj tak nič.

Kód: Vybrat vše

add action=drop chain=input dst-port=8291 in-interface=LAN port="" protocol=\
    tcp
add chain=input comment="Accept established and related packets" \
    connection-state=established,related
add chain=input comment="Accept all connections from local network" \
    in-interface=LAN
add action=drop chain=input comment="Drop invalid packets" connection-state=\
    invalid
add action=drop chain=input comment=\
    "Drop all packets which are not destined to routes IP address" \
    dst-address-type=!local
add action=drop chain=input comment=\
    "Drop all packets which does not have unicast source IP address" \
    src-address-type=!unicast
add action=drop chain=input comment="Drop all packets from public internet whi\
    ch should not exist in public network" in-interface=WAN src-address-list=\
    NotPublic
add chain=forward comment="Accept established and related packets" \
    connection-state=established,related
add action=drop chain=forward comment="Drop invalid packets" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "Drop new connections from internet which are not dst-natted" \
    connection-nat-state=!dstnat connection-state=new in-interface=WAN
add action=drop chain=forward comment="Drop all packets from public internet w\
    hich should not exist in public network" in-interface=WAN \
    src-address-list=NotPublic
add action=drop chain=forward comment="Drop all packets from local network to \
    internet which should not exist in public network" dst-address-list=\
    NotPublic in-interface=LAN
add action=drop chain=forward comment="Drop all packets in local network which\
    \_does not have local network address" in-interface=LAN src-address=\
    !162.16.0.0/24

Nepomohlo ani toto

Kód: Vybrat vše

/ip service
set winbox address=172.16.1.0/24

Ja určite pletiem piate cez deviate, no neviem na to prísť. Existuje napr. nejaká literatúra, kde by som pochopil viac? Ja si kľudne kúpim nejakú knižku aby som na to prišiel. Nechcem to mať nastavené len tak, že mi to niekto napíše.
0 x
MikroTik CRS326

ludvik
Příspěvky: 4448
Registrován: 13 years ago

Příspěvekod ludvik » 4 years ago

Pokud ti nepomohlo

Kód: Vybrat vše

/ip service
set winbox address=172.16.1.0/24


Tak jsou dvě možnosti. Buď se tam z té sítě opravdu připojuješ, nebo používáš MAC Winbox (tedy připojení bez IP adresy, což je vzhledem k prvnímu řádku velice pravděpodobné). To se pak nastavuje jinak, /tools mac-server.

Případně to má UDP port 20561, ale to omezení musíš ve firewallu nastavit raději podle interface, nikoliv dle IP.

Ten výpis firewallu je kompletní? Pokud ne, udělej ho. /ip firewall export
Také by se hodilo znát /ip address

Literatury existuje poměrně dost. Jak přímo u mikrotiku, tak i mimo. Stačí hledat linux netfilter (nebo iptables). Taktéž já jsem do tohoto fóra toho dával už také dost. Mně osobně kdysi nejvíc pomohla kniha Linux dokumentační projekt. Teprve z ní jsem pochopil, co to síťování je. Pochopení firewallu pak už byla hračka (a to už je v linuxu vlastně čtvrtá implementace).

Základ je, že máš nějaké tabulky. Filter, raw, nat, mangle. Tebe teď zajímá jen ten filter.
V něm jsou chains, nebo-li řetězy pravidel. Každý paket takový chain jede odshora dolů.
Předdefinované jsou tři: input, output a forward. A každý paket padne jen do jednoho chainu, tak jak naznačuje název. input jsou ty, co přijdou a končí na tomto routeru. Output jsou ty, co vzniknou na routeru a jdou pryč. Forward jsou ty, co routerem prochází zkrz.
Pak může opustit tabulku v podstatě jen dvěma způsoby. Buď je odmítnut (DROP nebo REJECT), nebo povolen (ACCEPT). Pokud je akceptován, tak buď pokračuje do jiné tabulky, nebo opravdu opouští router, či je předán nějaké aplikaci.
V mikrotiku platí, že pokud dojde na konec a žádné pravidlo ho nezakáže, je povolen. V tom bude nejspíš tvůj problém. Tvůj input nekončí pravidlem DROP všeho. Tedy i když připojení přijde odjinud, je povoleno.
1 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.

mirmo80
Příspěvky: 8
Registrován: 4 years ago

Příspěvekod mirmo80 » 4 years ago

Tak to sedí, pripájam sa cez wibnox cez mac adresu, nie cez IP adresu. Ale mne to pomocou IP adresy cez winbox ani nefunguje (neviem prečo). Vypíše to cloud not connect. Ale cez webový prehliadač to cez IP adresu ide a ide to aj z LAN aj z VLAN. Skúsim teda pozrieť ten mac server, možno to bude aj lepšie a jednoduchšie. Len môj notebook a mobil a ipad napríklad. Skúsim.

Z firewall som odstránil všetko okrem LAN a VLAN, pretože tam bol podľa mňa bordel. Ostalo len toto:

Kód: Vybrat vše

/ip firewall address-list
add address=172.16.0.1 list=LAN
add address=162.16.0.1 list=VLAN10
/ip firewall filter
add action=drop chain=forward in-interface=LAN out-interface=VLAN10
add action=drop chain=forward in-interface=VLAN10 out-interface=LAN
/ip firewall nat
# no interface
add action=masquerade chain=srcnat out-interface=pppoe-WAN

Knižky pohľadám.
Teraz trošku k tomu chain input, output a forward.
Input = rovná sa packet z vonku? Napr. z iného switchu, routra, servera, webu...?
Output = packet z routra napr. na iný router, switch...?
Forward = skrz router, tzn. packety prebiehajúce vo vnútri routra (napr. práve medzi lan a vlan)? Alebo skrz router znamená, že príde z iného routra (inej siete) cez môj router len prejde (príp. sa na neho uplatní nejaké pravidlo) a pokračuje zase napr. do ďalšieho routra? Pretože ja som forward potom asi nesprávne pochopil. Myslel som si, že je to pravidlo pre packet, ktorý prichádza z vonku, cez môj router len prejde a len pokračuje ďalej do ďalších zariadení.
Ďakujem
0 x
MikroTik CRS326

ludvik
Příspěvky: 4448
Registrován: 13 years ago

Příspěvekod ludvik » 4 years ago

mirmo80 píše:Teraz trošku k tomu chain input, output a forward.
Input = rovná sa packet z vonku? Napr. z iného switchu, routra, servera, webu...?
Output = packet z routra napr. na iný router, switch...?
Forward = skrz router, tzn. packety prebiehajúce vo vnútri routra (napr. práve medzi lan a vlan)? Alebo skrz router znamená, že príde z iného routra (inej siete) cez môj router len prejde (príp. sa na neho uplatní nejaké pravidlo) a pokračuje zase napr. do ďalšieho routra? Pretože ja som forward potom asi nesprávne pochopil. Myslel som si, že je to pravidlo pre packet, ktorý prichádza z vonku, cez môj router len prejde a len pokračuje ďalej do ďalších zariadení.
Ďakujem

z venku - paket prostě nevznikl na TOMTO ROUTERU KTERÝ NASTAVUJEŠ.
Output - jsem napsal něco jiného?
Forward - nechápu co myslíš. Obě části tvého tvrzení jsou pravdivé. Daný paket přišel z venku, chvilku pobude uvnitř routeru a má za cíl opět něco venku, čili ho opět (teoreticky) opustí.

--
Ten tvůj poslední výpis je nějaký podivný. Address-list je řekněme pomůcka pro udržování seznamů ip adres (či celých sítí) a jejich použití ve firewallu v jednom pravidle hromadně. Tedy něco ve smyslu třeba "povol příchozí provoz na port winboxu všem zdrojovým adresám obsaženým v tomto address-listu". Zjednodušuje to firewall a zároveň v případě velkého množství adres hodně zvyšuje výkon (prostě místo tisíce pravidel je jen jedno vyhledání v address-listu). Také se podstatně lépe udržuje, než ty přímá pravidla firewallu.
Jenže ty s ním nikde nepracuješ. Ono také není dobré si to nazvat stejně, jako jiné věci, pak to dost mate (začátečníky tuplem). Ve tvém případě tedy shoda s názvy rozhraní není úplně správná.

Hlášení cloud not connect jsem v životě neviděl. A asi nikdy jsem neměl problém s připojením přes IP adresu. S tímto firewallem ti v připojení může bránit jen a pouze nastavení v ip/services.

---
Zkusím ti dát slovní návod. Pravidla piš tak, abys v nich měl přehled. Tedy nekombinuj do sebe různé chainy. Fungovat to bude, ale pro tebe to bude děsný zmatek.

INPUT:
accept ESTABLISHED,RELATED,UNTRACKED
drop INVALID
accept in-interface LAN
drop

Tímto velice jednoduchým nastavením ti půjde všechno z rozhraní nazvaného LAN. Z jiných nepůjde nic. Týká se to služeb poskytovaných tímto routerem, winbox, dns, ftp a bůhví co ještě.
Pro jistotu: pokud budeš povolovat přístup z internetu, nikdy nesmíš nechat povolené DNS (tedy TCP a UDP port 53), máš-li DNS server nastavený jako allow remote requests. Podobně i port 123, máš-li instalovaný NTP server.

FORWARD
accept ESTABLISHED,RELATED,UNTRACKED
drop INVALID
drop VŠEHO CO CHCEŠ EXPLICITNĚ ZAKÁZAT. Tedy i ty tvé dva řádky blokující komunikaci mezi LAN a VLAN10.
accept in-interface LAN a VLAN10 (tím ti tedy pojede internet z obou rozhraní)
accept state DNAT (projdou tedy spojení povolená/nastavená v tabulce NAT jako DSTNAT)
drop

No a své výmysly pak dáváš mezi druhý a poslední řádek. A vždy musíš myslet na podříznutí větve, kde sedíš. Jak jsem zmiňoval, pravidla se prochází odshora dolů dokud nenarazí na nějaký accept, či drop nebo reject (trochu zjednodušuji). Pravidla pro ESTABLISHED ti ovšem zaručí, že i když uděláš chybu (a budou první), připojení na ten router nespadne. Pojede dokud ho nezavřeš. Proto po nějakých změnách vždy spusť druhý winbox, jestli to ještě stále funguje.

Každé pravidlo má také počítadlo, které ti řekne jak zabírá. Také lze zapnout jeho logování, pak se můžeš podívat jaké pakety to doslova byly (uvidíš adresy, porty, protokoly).
1 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.

mirmo80
Příspěvky: 8
Registrován: 4 years ago

Příspěvekod mirmo80 » 4 years ago

Dakujem za vycerpavajucu odpoved. Vidim to tak, ze urobim restore a zacnem uplne od zaciatku.
Spominanu literaturu som nasiel, tak na to idem pozriet.
0 x
MikroTik CRS326

mirmo80
Příspěvky: 8
Registrován: 4 years ago

Příspěvekod mirmo80 » 4 years ago

Tak sa zdá, že veci sú už ok :slight_smile:. Toto mi vŕtalo v hlave
ludvik píše:Ten tvůj poslední výpis je nějaký podivný
a naozaj som pri vytváraní ip address robil jednu chybu. Myslím, že ten výpis už vyzerá omnoho lepšie :wink:

Kód: Vybrat vše

/ip address
add address=172.16.0.1/24 interface=LAN network=172.16.0.0
add address=172.17.0.1/24 interface=VLAN10 network=172.17.0.0

Už funguje aj to, že sa do administrácie dostanem už len z lan

Kód: Vybrat vše

/ip service
set www address=172.16.0.0/24
set winbox address=172.16.0.0/24
a tak isto sa cez winbox viem prihlásiť už aj cez ip adresu.

Ešte by som mal otázku k tomuto
ludvik píše:Pro jistotu: pokud budeš povolovat přístup z internetu, nikdy nesmíš nechat povolené DNS (tedy TCP a UDP port 53), máš-li DNS server nastavený jako allow remote requests. Podobně i port 123, máš-li instalovaný NTP server.
Ak v DNS nemám povolené allow remote requests, tak sa týmto nemusím zapodievať? Resp. kde nájdem TCP a UDP?
Ďakujem
0 x
MikroTik CRS326

ludvik
Příspěvky: 4448
Registrován: 13 years ago

Příspěvekod ludvik » 4 years ago

Jsem napsal, že se tím musíš zabývat, máš-li to povolené. Tedy pokud to povolené nemáš, tak platí opak, tedy nemusíš. Ale nikdy nevíš, kdy to budeš chtít zapnout, zapomeneš si upravit firewall a za pár hodin je tvůj MK zneužit. Takže je lepší s tím počítat hned.

Musím se zeptat: hledáš tu u nás informace a rady ohledně firewallu. Zkusil jsi tam nějaké pravidlo přidat? A nevšiml sis políčka Protocol a destination port?
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.