classic.ISPforum.cz

Dobrý deň všetkým, Ahoj
Som nový (laický, domáci) užívateľ RB Mikrotik CRS326 a zároveň novým členom fóra a týmto všetkých pozdravujem.
Dokázal som si svojpomocne nastaviť veci tak, ako som zhruba chcel. Tj. nastaviť PPPoE WAN pripojenie, vytvoriť dve siete LAN a VLAN10 (guest), prideliť k ním jednotlivé porty, obmedziť rýchlosť download na VLAN, nastaviť pravidlá aby sa siete medzi sebou nevideli. Po tento bod všetko ok, no ešte by som potreboval donastaviť pár vecí a už sa mi nedarí dogoogliť, alebo nájsť na YT. Dokázal som nastaviť pravidlo aby sa siete medzi sebou navzájom nevideli:

Neviem či je 100%-tne ok ale funguje mi to. Ak by ste vedeli lepšie, tak budem rád za tip.

Ja by som však ešte chcel nastaviť, aby som sa do administrácie cez winbox dokázal prihlsiť iba ja. Aby to nešlo z VLAN pripojenia, aby to nešlo z vonku a ideálne (ako som zistil, že je možné) len z jedinej IP adresy - niečo podobné ako sa pýta kolega tu Nastavení firewall prot scanu portu. Prečítal som si stavime firewall a v princípe chápem čo to robí, no je tam na mňa veľa premenných aby som si s tým poradil.

Ten prístup z vonku som (asi) zamedzil:Ale to som len slepo okopíroval z postu https://ispforum.cz/viewtopic.php?p=271858#p271858. Nedarí sami v RB nikde nájsť aký port má WAN.

Rád by som vás teda poprosil, akým pravidlom nastavím:
1) Prístup do administrácie len z LAN
2) Prístup do administrácie len cez jeden port (napr. ether1)
3) Prístup do administrácie len z jednej IP adresy (pridelím ju staticky pre môj notebook)
4) Ak to mám zle, alebo nedostatočne, tak ako zakázať prístupu z vonku do RB
5) Ak to mám zle, alebo nedostatočne, tak ako nastaviť aby LAN a VLAN medzi sebou nekomunikovali

Ďakujem,
m

Administrace jen z LAN +/- takto:

tedy na inputu zahoď vše na port winboxu, co není z LAN.
Správně by chain input měl vypadat nějak takto (+ možná ještě nějaké pravidlo pro DNS z VLAN10):

Tedy postupně:
- povolit navázaná spojení
- zahodit invalid spojení
- povolit co je potřeba povolit odjinud než z LAN (ping z venčí, dns, management z konkrétních adres zvenčí...)
- zahodit vše ostatní co není z LAN

Super, vyskusam. Dakujem.

První co mě dostalo je CRS326, to jako routuješ na switchi?
Dej před to jakýkoliv router, třeba HEX nebo hAp a firewall, NAT, shaping řeš na něm.

a proč by nemohl? je to CRS, neni to CCS. Věnuj se rozjímání nad svým podpisem a běž si řešit své přesvědčení jinam.

Daxxim píše:První co mě dostalo je CRS326, to jako routuješ na switchi?
Dej před to jakýkoliv router, třeba HEX nebo hAp a firewall, NAT, shaping řeš na něm.

Záleží na rychlosti přípojky. Pokud má jen pár desítek Mbit, tak to zvládne i CRS. Cpát mu hned další router je trochu zbrklý (ne, že by CRS bylo vhodný, ale základ zvládne).

Áno, je to CRS, teda aj router, nie len switch.
Ale pravidlá mi zatiaľ nefungujú, asi niečo robím nesprávne pretože sa do administrácie dostanem aj z LAN aj z VLAN10. Ale hľadám a skúšam kolo toho ďalej.

PS: toto fórum nenájdem v tapatalk? Skúšal som hľadať, ale našiel som len niečo poľské.

Ďakujem za všetky tipy, no niekde robím chybu. Nech nastavím čo nastavím, vždy sa z VLAN10 pripojím do rb. Jediné funkčné pravidlo mám, že LAN a VLAN10 medzi sebou nekomunikujú

Do firewall rules som pridal jednak vaše tipy a potom niečo asi nejako univerzálne, čo som našiel na mikrotik stránke https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter s tým, že som upravil svoje IP. No aj tak nič.

Nepomohlo ani toto

Ja určite pletiem piate cez deviate, no neviem na to prísť. Existuje napr. nejaká literatúra, kde by som pochopil viac? Ja si kľudne kúpim nejakú knižku aby som na to prišiel. Nechcem to mať nastavené len tak, že mi to niekto napíše.

Pokud ti nepomohlo


Tak jsou dvě možnosti. Buď se tam z té sítě opravdu připojuješ, nebo používáš MAC Winbox (tedy připojení bez IP adresy, což je vzhledem k prvnímu řádku velice pravděpodobné). To se pak nastavuje jinak, /tools mac-server.

Případně to má UDP port 20561, ale to omezení musíš ve firewallu nastavit raději podle interface, nikoliv dle IP.

Ten výpis firewallu je kompletní? Pokud ne, udělej ho. /ip firewall export
Také by se hodilo znát /ip address

Literatury existuje poměrně dost. Jak přímo u mikrotiku, tak i mimo. Stačí hledat linux netfilter (nebo iptables). Taktéž já jsem do tohoto fóra toho dával už také dost. Mně osobně kdysi nejvíc pomohla kniha Linux dokumentační projekt. Teprve z ní jsem pochopil, co to síťování je. Pochopení firewallu pak už byla hračka (a to už je v linuxu vlastně čtvrtá implementace).

Základ je, že máš nějaké tabulky. Filter, raw, nat, mangle. Tebe teď zajímá jen ten filter.
V něm jsou chains, nebo-li řetězy pravidel. Každý paket takový chain jede odshora dolů.
Předdefinované jsou tři: input, output a forward. A každý paket padne jen do jednoho chainu, tak jak naznačuje název. input jsou ty, co přijdou a končí na tomto routeru. Output jsou ty, co vzniknou na routeru a jdou pryč. Forward jsou ty, co routerem prochází zkrz.
Pak může opustit tabulku v podstatě jen dvěma způsoby. Buď je odmítnut (DROP nebo REJECT), nebo povolen (ACCEPT). Pokud je akceptován, tak buď pokračuje do jiné tabulky, nebo opravdu opouští router, či je předán nějaké aplikaci.
V mikrotiku platí, že pokud dojde na konec a žádné pravidlo ho nezakáže, je povolen. V tom bude nejspíš tvůj problém. Tvůj input nekončí pravidlem DROP všeho. Tedy i když připojení přijde odjinud, je povoleno.

Tak to sedí, pripájam sa cez wibnox cez mac adresu, nie cez IP adresu. Ale mne to pomocou IP adresy cez winbox ani nefunguje (neviem prečo). Vypíše to cloud not connect. Ale cez webový prehliadač to cez IP adresu ide a ide to aj z LAN aj z VLAN. Skúsim teda pozrieť ten mac server, možno to bude aj lepšie a jednoduchšie. Len môj notebook a mobil a ipad napríklad. Skúsim.

Z firewall som odstránil všetko okrem LAN a VLAN, pretože tam bol podľa mňa bordel. Ostalo len toto:

Knižky pohľadám.
Teraz trošku k tomu chain input, output a forward.
Input = rovná sa packet z vonku? Napr. z iného switchu, routra, servera, webu...?
Output = packet z routra napr. na iný router, switch...?
Forward = skrz router, tzn. packety prebiehajúce vo vnútri routra (napr. práve medzi lan a vlan)? Alebo skrz router znamená, že príde z iného routra (inej siete) cez môj router len prejde (príp. sa na neho uplatní nejaké pravidlo) a pokračuje zase napr. do ďalšieho routra? Pretože ja som forward potom asi nesprávne pochopil. Myslel som si, že je to pravidlo pre packet, ktorý prichádza z vonku, cez môj router len prejde a len pokračuje ďalej do ďalších zariadení.
Ďakujem

mirmo80 píše:Teraz trošku k tomu chain input, output a forward.
Input = rovná sa packet z vonku? Napr. z iného switchu, routra, servera, webu...?
Output = packet z routra napr. na iný router, switch...?
Forward = skrz router, tzn. packety prebiehajúce vo vnútri routra (napr. práve medzi lan a vlan)? Alebo skrz router znamená, že príde z iného routra (inej siete) cez môj router len prejde (príp. sa na neho uplatní nejaké pravidlo) a pokračuje zase napr. do ďalšieho routra? Pretože ja som forward potom asi nesprávne pochopil. Myslel som si, že je to pravidlo pre packet, ktorý prichádza z vonku, cez môj router len prejde a len pokračuje ďalej do ďalších zariadení.
Ďakujem

z venku - paket prostě nevznikl na TOMTO ROUTERU KTERÝ NASTAVUJEŠ.
Output - jsem napsal něco jiného?
Forward - nechápu co myslíš. Obě části tvého tvrzení jsou pravdivé. Daný paket přišel z venku, chvilku pobude uvnitř routeru a má za cíl opět něco venku, čili ho opět (teoreticky) opustí.

--
Ten tvůj poslední výpis je nějaký podivný. Address-list je řekněme pomůcka pro udržování seznamů ip adres (či celých sítí) a jejich použití ve firewallu v jednom pravidle hromadně. Tedy něco ve smyslu třeba "povol příchozí provoz na port winboxu všem zdrojovým adresám obsaženým v tomto address-listu". Zjednodušuje to firewall a zároveň v případě velkého množství adres hodně zvyšuje výkon (prostě místo tisíce pravidel je jen jedno vyhledání v address-listu). Také se podstatně lépe udržuje, než ty přímá pravidla firewallu.
Jenže ty s ním nikde nepracuješ. Ono také není dobré si to nazvat stejně, jako jiné věci, pak to dost mate (začátečníky tuplem). Ve tvém případě tedy shoda s názvy rozhraní není úplně správná.

Hlášení cloud not connect jsem v životě neviděl. A asi nikdy jsem neměl problém s připojením přes IP adresu. S tímto firewallem ti v připojení může bránit jen a pouze nastavení v ip/services.

---
Zkusím ti dát slovní návod. Pravidla piš tak, abys v nich měl přehled. Tedy nekombinuj do sebe různé chainy. Fungovat to bude, ale pro tebe to bude děsný zmatek.

INPUT:
accept ESTABLISHED,RELATED,UNTRACKED
drop INVALID
accept in-interface LAN
drop

Tímto velice jednoduchým nastavením ti půjde všechno z rozhraní nazvaného LAN. Z jiných nepůjde nic. Týká se to služeb poskytovaných tímto routerem, winbox, dns, ftp a bůhví co ještě.
Pro jistotu: pokud budeš povolovat přístup z internetu, nikdy nesmíš nechat povolené DNS (tedy TCP a UDP port 53), máš-li DNS server nastavený jako allow remote requests. Podobně i port 123, máš-li instalovaný NTP server.

FORWARD
accept ESTABLISHED,RELATED,UNTRACKED
drop INVALID
drop VŠEHO CO CHCEŠ EXPLICITNĚ ZAKÁZAT. Tedy i ty tvé dva řádky blokující komunikaci mezi LAN a VLAN10.
accept in-interface LAN a VLAN10 (tím ti tedy pojede internet z obou rozhraní)
accept state DNAT (projdou tedy spojení povolená/nastavená v tabulce NAT jako DSTNAT)
drop

No a své výmysly pak dáváš mezi druhý a poslední řádek. A vždy musíš myslet na podříznutí větve, kde sedíš. Jak jsem zmiňoval, pravidla se prochází odshora dolů dokud nenarazí na nějaký accept, či drop nebo reject (trochu zjednodušuji). Pravidla pro ESTABLISHED ti ovšem zaručí, že i když uděláš chybu (a budou první), připojení na ten router nespadne. Pojede dokud ho nezavřeš. Proto po nějakých změnách vždy spusť druhý winbox, jestli to ještě stále funguje.

Každé pravidlo má také počítadlo, které ti řekne jak zabírá. Také lze zapnout jeho logování, pak se můžeš podívat jaké pakety to doslova byly (uvidíš adresy, porty, protokoly).

Dakujem za vycerpavajucu odpoved. Vidim to tak, ze urobim restore a zacnem uplne od zaciatku.
Spominanu literaturu som nasiel, tak na to idem pozriet.

Tak sa zdá, že veci sú už ok . Toto mi vŕtalo v hlave

ludvik píše:Ten tvůj poslední výpis je nějaký podivný

a naozaj som pri vytváraní ip address robil jednu chybu. Myslím, že ten výpis už vyzerá omnoho lepšie
Už funguje aj to, že sa do administrácie dostanem už len z lana tak isto sa cez winbox viem prihlásiť už aj cez ip adresu.

Ešte by som mal otázku k tomuto

ludvik píše:Pro jistotu: pokud budeš povolovat přístup z internetu, nikdy nesmíš nechat povolené DNS (tedy TCP a UDP port 53), máš-li DNS server nastavený jako allow remote requests. Podobně i port 123, máš-li instalovaný NTP server.

Ak v DNS nemám povolené allow remote requests, tak sa týmto nemusím zapodievať? Resp. kde nájdem TCP a UDP?
Ďakujem

Jsem napsal, že se tím musíš zabývat, máš-li to povolené. Tedy pokud to povolené nemáš, tak platí opak, tedy nemusíš. Ale nikdy nevíš, kdy to budeš chtít zapnout, zapomeneš si upravit firewall a za pár hodin je tvůj MK zneužit. Takže je lepší s tím počítat hned.

Musím se zeptat: hledáš tu u nás informace a rady ohledně firewallu. Zkusil jsi tam nějaké pravidlo přidat? A nevšiml sis políčka Protocol a destination port?