Firewall

[CrazyApe]

Zdravím,
potreboval bych mensi radu . Mame hlavni GW kde je 1:1 natovano verejka->neverejka pro kazdou pŕípojku (src nat + dstnat). Chtel jsem pro vsechny verejne adresy dropnout 22,23 (ssh, tellnet utoky) tak jsem udelal pravidlo 2. Pravidlo funguje a dropne vsechno na 22,23 na céčkách, které máme naroutovane od dodavatele konektivity. Nicmene chtel jsem z tohoto pravidla udelat par vyjímek, tak jsem pred nej vlozil accept pravidlo pro verejnou a nechce mi to jet a nechapu proc Zkousel jsem i pouzivat jen pravidlo 2. a udelat v nem adresslist a taky to ignoruje.


pravidlo 1: add action=accept chain=input disabled=no dst-address= "veřejná adresa co ma mit vyjimku" dst-port=22,23 in-interface=1_WAN protocol=tcp
pravidlo 2: add action=drop chain=forward comment="DROP SSH" disabled=no dst-port=22,23 protocol=tcp

[ludvik]

input je input ... a forward je forward.

[ludvik]

address list fungovat musí. Musíš ho použít s negací.

[CrazyApe]

S negací jsem ho tam mel nejde.
A input jsem taky menil za forward beze zmeny.

add action=drop chain=forward comment="DROP SSH" disabled=no dst-address-list="!Vyjimky BLOK 22,23 port" dst-port=22,23 protocol=tcp

Takdle taky nejde, blokuje vcetne toho co je v adresslistu

[radik]

Snad je potreba pouzit neverejnou adresu... Si projdi jak funguje firewaall a kde funguje nat a routing celkove.

R.

[CrazyApe]

Snad je potreba pouzit neverejnou adresu... Si projdi jak funguje firewaall a kde funguje nat a routing celkove.

R.

Zkousel jsem do toho adresslistu i neverejnou adresu a porad stejne.
Nemuze to byt nejaky bug mikrotiku ? Protoze mi fakt neleze do hlavy proc by to nemelo fungovat.

[ludvik]

Negaci address listu používám běžně. Chybu tam budeš mít někde ty.

[ludvik]

Zkusím to zjednodušit.

chain input je cíl pro pakety které končí na tomto routeru.
v chain forward se objeví všechny ostatní, ty co jím prochází zkrz.

src-nat se provádí až někde na konci zpracování paketů, kdežto dst-nat na začátku. Čili ve zbytku firewallu pracuješ s vnitřními IP, tvé veřejné tě moc nezajímají (krom speciálních případů je ani nevidíš).

Pravidla v jednom chainu se provádí sekvenčně, jako nudle příkazů.


Čili pokud chceš komplet zablokovat port 22, máš to správně. Drop na forwardu všeho s cílovým TCP portem 22. Zablokuješ tím sice i odchozí spojení, ale co už ...
Pokud chceš výjimku, musíš to dát před to. V podstatě to pravidlo zopakuješ, ale bude accept a musí mít i nějakou jinou podmínku co to zpřesní. Nejlépe address-list použitý v dst-address-list (píšu z hlavy).

Pokud ten address list dáš do zakazujícího pravidla, tak buď zakáže pakety s cílem definovaným v tom address listu, nebo naopak všechny ostatní, použiješ-li negaci.

No problem.

Každé pravidlo má i čítače, můžeš sledovat kde ti to přibývá.
Novější ROS má i možnost každé pravidlo logovat. U starších si to musíš udělat sám - zkopíruješ ho a jako action dáš LOG (a musí být před tím pravidlem co něco dělá).

A obecně, chceš-li radu, musíš podat též nějaké informace. Pokud možno kompletní. Věštit neumíme a ty dvě pravidla co jsi nám poskytl jsme vysvětlili. Do zbytku tvého routeru nevidíme.

Negaci address listu používám běžně. Chybu tam budeš mít někde ty.

[CrazyApe]

Díky,
už to došlo ....

[the.max]

Zakazovat SSH na firewallu mi přijde jako nesmysl, telnet bych snad možná i pochopil, ale není lepší ty služby prostě vypnout v /ip services, nebo tam nastavit jen buď adresy odkud ano, případně to řešit firewallem až na koncovém zařízení? Co když zákazník to SSH chce používat?

[CrazyApe]

SSH i Tellnet na koncovem zarizeni opravdu zakazovat nechci, protoze to pouzivam dost casto pokud se nekde uklepnu z AP->klientska antena a tim bych si tuto moznost vzal. Firewall na koncovem zarizeni by byl supe,r ale budu uprimny jsem liny ho vsude dodelat. Konec konců pokud uz nekdo pouziva SSH bo Tellnet myslim ze bude i dost chytry na to si to pustit po jinem portu ... Mozna me tu za to ukamenujete ale je to proste pro me nejjednodussi.

[CrazyApe]

Co když zákazník to SSH chce používat?

Proto v dotazu resim vyjimky ->
-zakaznici kteri maji primo verejku doma na routeru-
-firmy (ty maji taky verejku primo na svem routeru).
-lidi o kterych vim, ze to pouzivaji (log odchozich spojeni 22/23port)

Todle co se snazim vyblokovat jsou linky, ktere maji u nas na hlavnim routeru 1:1 NAT (kazdy zakaznik mimo ty nahore - vyjimky). Mozna to casem udelam jinak ale ted to necham tak, jsou jine veci co potrebuju vyresit.