Winbox z WAN

[jval]

Zdravím, na základě def pravidla "defconf: drop all not coming from LAN" se zvenčí nedostanu na MK přes Winbox. Dle všemožných návodů (např. https://support.purplewifi.net/en/support/solutions/articles/1000152546-mikrotik-setting-up-remote-winbox-access) jsem nad toto pravidlo vytvořil nové s accept.
Bohužel mi to stejně nefunguje. Dostanu se tam pouze když zakážu to pravidlo drop all.
Věřím, že pro profíky to bude jednohubka, ale ať na netu hledám jak hledám, tak mi stále vyskakují jen stránky s tím accept pravidlem a to mi nefunguje.


Děkuji předem

[mirek.k]

Pošli výpis z firewallu. Bude tam nějaká chybka.

[DarkLogic]

Navod je spravne. Musis delat neco blbe. Jak bylo zmineno, posli vypis pravidel.

[Selič]

Je to easy. Na začátku firewallu musíš přidat pravidlo chain=input protocol=tcp destination_port=8291 action=accept

[Noxus28]

pravidlo funguje len ho musíš mať v poradí INPUT skorej ako ten drop-all

[jval]

Kód: Vybrat vše

Flags: X - disabled, I - invalid, D - dynamic
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough

 1    ;;; Allow winbox from WAN
      chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""

 2 X  ;;; Kill PS
      chain=forward action=drop src-mac-address=F8:46:1C:CD:19:AE log=no log-prefix=""

 3 X  ;;; Kill Ema Phone
      chain=forward action=drop src-mac-address=24:00:BA:8B:C8:60 log=no log-prefix=""

 4 X  ;;; Kill Adam Phone
      chain=forward action=drop src-mac-address=0C:2C:54:52:10:0C log=no log-prefix=""

 5 X  ;;; Kill Markeeta
      chain=forward action=drop src-mac-address=54:EF:92:A7:2A:5C log=no log-prefix=""

 6 X  ;;; Kill Ema Tablet
      chain=forward action=drop src-mac-address=74:04:2B:E7:EE:2F log=no log-prefix=""

 7 X  ;;; Kill Adam Tablet
      chain=forward action=drop src-mac-address=6C:F3:73:11:8D:B5 log=no log-prefix=""

 8 X  ;;; Kill RaspiPokoj
      chain=forward action=drop src-mac-address=B8:27:EB:3B:3A:65 log=no log-prefix=""

 9 X  ;;; Kill Adam NTB
      chain=forward action=drop src-mac-address=00:1F:3C:25:02:3B log=no log-prefix=""

10 X  ;;; Kill Ema NTB
      chain=forward action=drop src-mac-address=00:21:6A:01:F6:C2 log=no log-prefix=""

11    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked log=no log-prefix=""

12    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid log=no log-prefix=""

13    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp log=no log-prefix=""

14    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN log=no log-prefix=""

15    ;;; defconf: accept in ipsec policy
      chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec

16    ;;; defconf: accept out ipsec policy
      chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec

17    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""

18    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked log=no log-prefix=""

19    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

20    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix=""

[jval]

Jen vyzdvihuji aby příspěvek nezapadl.
Napadá vás někoho proč to nefunguje?


Děkuji

[Rosak]

Ahoj.
Pokud se to chová jak píšeš v prvním příspěvku, zapni si na tom zakazujícím pravidle logování, zkus přístup Winboxem z venku a podívej se do logu, mohlo by Ti to napovědět.

[jval]

Jo, děkuju moc.
Jsem prostě pako a myslel jsem si, že když se hlásím aplikací z androidu, tak to jde přes stejný port. No nejde, tam to jde přes api 8728.
Přidal jsem ho do toho pravidla k 8291 a už to maká.

Ještě jednou děkuji moc.

[Selič]

Ponechávat API dostupné z internetu není moc dobrý nápad.
Vypadá to, že je tam bezpečnostní díra.

[mirek.k]

Jo, děkuju moc.
Jsem prostě pako a myslel jsem si, že když se hlásím aplikací z androidu, tak to jde přes stejný port. No nejde, tam to jde přes api 8728.
Přidal jsem ho do toho pravidla k 8291 a už to maká.

Ještě jednou děkuji moc.

Winbox z Androidu?

[goblajz]

Asi totok...
https://play.google.com/store/apps/deta ... kapp&hl=cs

[jval]

Ano vím o něm, ale zatím jsem se nedokopal přendat uložené spojení z https://play.google.com/store/apps/details?id=com.birkot.mikrowinbox.pro, který používám už dlouho.

[Machca]

není bezbečné nechávat povolené api z wan ani winbox na default portu 8291

Kód: Vybrat vše

add action=accept chain=input comment="Allow Winbox" dst-port=8291 protocol=tcp

tohle bude chodit na všech interfaces, doporučuju udělat address list white list a omezit to na ip z addresslistu alespoň

[jval]

No na jiný port to asi přehodím, to je fakt, ale address list nepřipadá v úvahu, protože potřebuji zapínat/vypínat FW pravidla ať jsem kdekoliv.
Díky