2. Fórumok
  3. Hálózat, szolgáltatók
  4. Mikrotik routerek
Keresés
  • Téma összefoglaló
    Utoljára frissítve: 2021-08-17 20:43

    Fototrend

    Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.

Új hozzászólás Aktív témák

  • #4348 Sly\'s csendes tag Core2duo6600 #4347
    Új Válasz #4348
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Sly\'s

    csendes tag

    válasz Core2duo6600 #4347 üzenetére

    Ha megnézed az előző hozzászólásom abban erőteljesen szeparálva lettek az input, a forward, és az output láncok.

    Fontos, hogy próbálj egy jó rendszert kialakítani az általad felépített tűzfalban, mert különben össze fogsz zavarodni.

    Ha elolvastad(és sikerült megértened) a hozzászólásom, akkor abból kiderült, hogy amit én ajánlottam első bejegyzésnek minden láncban az nálad pontosan a 10-es sor.

    Az a szabály semmi másra nem jó csak arra, hogy a routered a már felépített és az azokhoz tartozó kapcsolatokat átengedi az input láncon.

    Mivel ezek a kapcsolatok csomagjai lesznek elsősorban a legtöbben ezért az input, a forward, és az output láncon is az első sorban helyezzük el, mivel így lesz a legkisebb a routered terhelése.

    Minél több aktív tűzfalszabály van a routerben annál több időt vesz igénybe a szabályok és a csomagok vagy kapcsolatok összehasonlítása.

    Meg próbálom elemezni az INPUT láncodat:

    9 ;;; Allowed to router
    chain=input action=accept src-address-list=allowed_to_router in-interface=Lan log=no log-prefix=""

    Itt ha jól értelmeztem a dolgokat, a LAN interfészről bejövő ALLOWED listába lévő IP címek hozzá férhetnek a routeredhez.

    10 ;;; default configuration
    chain=input action=accept connection-state=established,related log=no log-prefix=""

    Ez a szabály lenne az amit előbb már kiveséztem aminek az első helyen ajánlott állnia...

    11 ;;; Allowed to router
    chain=input action=accept src-address-list=allowed_to_router in-interface=ether4 log=no log-prefix=""

    Itt ismételten leírod ugyan azt amit az első sorban, csak itt a lan4-re.

    12 ;;; From DNS from Wan
    chain=input action=drop protocol=udp in-interface=Digi-PPPOE dst-port=53 log=no log- prefix="Drop_DNS"

    Ennél a sornál tiltod az UDP DNS lekéréseket a Digi-PPPOE interfészen.

    13 chain=input action=drop protocol=tcp in-interface=Digi-PPPOE dst-port=53 log=no log-prefix="Drop_DNS"

    Ennél a sornál tiltod a TCP DNS lekéréseket a Digi-PPPOE interfészen.

    14 chain=input action=drop protocol=tcp in-interface=Telekom dst-port=53 log=no log-prefix=""

    Ennél a sornál tiltod a TCP DNS lekéréseket a Telekom interfészen.

    15 chain=input action=drop protocol=udp in-interface=Telekom dst-port=53 log=no log-prefix=""

    Ennél a sornál tiltod a UDP DNS lekéréseket a Telekom interfészen.

    17 ;;; Drop Invalid
    chain=input action=drop connection-state=invalid log=no log-prefix="Invalid"

    Ennél a sornál tiltod(eldobod) a hibás kapcsolatokat

    22 chain=input action=drop log=yes log-prefix="Drop"

    Ennél a sornál minden egyébb csomagot, kapcsolatot eldobsz(tiltod), amit előtte nem engedélyeztél.

    Ha most így ebben a formában végignézed az input lánc sorait és értelmezed őket akkor miért kellene működnie az "internetnek" ha tiltod azt a szabályt?

    Logikázzunk(ha jól sejtem az egyéb beállításaidat):
    - Te szeretnél egy weboldalt megnyitni, ez valahogy sacc. így néz ki:
    1. a géped megpróbálja feloldani a DNS címet,
    2. mivel ő nem tudja, a routeredhez fordul,
    3. a routerd kiküldi a DNS szervernek a kérést,
    4. a DNS szerver elméletileg lesz olyan jó fej, hogy válaszol a kérésedre, :)
    5. DE mivel te befogod a "fülét" a routernek(mivel kikapcsolod a "10"-es szabályt) így ő nem hallja meg a választ, ezért a te géped nem tudja feloldani a DNS-t, így nem tudod megnézni a weboldalt...

    Megpróbáltam "egyszerűsíteni" a tűzfalad picit saját logika alapján(ez lehet nem teljesen megfelelő neked)...
    Remélem érzékeled a különbséget(lehet ezt még jobban is egyszerűsíteni de most nem kavarlak bele)... :) ;)

    /ip firewall filter
    add action=accept chain=input connection-state=established,related \
    comment="Enged\E9lyezz\FCk a m\E1r fel\E9p\FClt \E9s a hozz\E1(juk) kapcsol\F3d\F3 kapcsolato(ka)t. [ Forr\E1s: https://wiki.mikrotik.com/wiki/Tips_and_Tricks_for_Beginners_and_Experienced_Users_of_RouterOS#Firewall ]"
    add action=drop chain=input comment="Hib\E1s csomagok eldob\E1sa" connection-state=invalid
    add action=accept chain=Internet comment="ICMP csomagok enged\E9lyez\E9se" protocol=icmp
    add action=accept chain=Internet comment="MikroTik FTP" disabled=yes dst-port=21 protocol=tcp
    add action=accept chain=Internet comment="MikroTik SSH" disabled=yes dst-port=22 protocol=tcp
    add action=accept chain=Internet comment="MikroTik DNS" disabled=yes dst-port=53 protocol=tcp
    add action=accept chain=Internet comment="MikroTik DNS" disabled=yes dst-port=53 protocol=udp
    add action=accept chain=Internet comment="MikroTik HTTP" disabled=yes dst-port=80 protocol=tcp
    add action=accept chain=Internet comment="MikroTik HTTPS" disabled=yes dst-port=443 protocol=tcp
    add action=accept chain=Internet comment="MikroTik Bandwidth Test" dst-port=2000 protocol=tcp
    add action=accept chain=Internet comment="MikroTik Bandwidth Test" dst-port=2000 protocol=udp
    add action=accept chain=Internet comment="MikroTik WinBox" dst-port=8291 protocol=tcp
    add action=drop chain=Internet comment="Internet fel\F5l minden m\E1s csomag logol\E1s \E9s eldob\E1s" log=yes log-prefix=\
    "DROP[Internet]: "
    add action=jump chain=input comment=Digi in-interface=pppoe-out1 jump-target=Internet
    add action=jump chain=input comment=Telekom in-interface=pppoe-out2 jump-target=Internet

    Ebben a megoldásban létrehozok egy láncot "Internet" néven, és a két internet kapcsolat interfészét átirányítom és csak egyszer hozom létre a szabályaimat.
    Ami kell azt bekapcsolom ami nem kell az marad kikapcsolva.
    Az utolsó szabály így is úgyis eldobja az összes előtte nem engedélyezett csomagot, kapcsolatot, így nem dobálgatok szolgáltatásonként el(nálad DNS)...
    Itt az internet felől bekapcsolva hagytam a WinBox-ot ill. Bandwidth Test portjait...
    Mivel nem tudom a belsőhálózatod, hogy épül fel így azzal nem foglalkoztam most.

    Remélem segít valamit ez a kesze-kusza hozzászólás... ;)

    Nem épp jó a fogalmazócskám így kérek mindenkit, hogy ezt nézze el nekem.
    Illetve, ha valaki valami rosszat sejt a hozzászólásomban, akár bántást, esetleg negatív hullámokat, attól elnézést kérek, mert nem állt szándékomban!!!

    Üdv. Slys!

Új hozzászólás Aktív témák