Mikrotik firewall

[cromiki]

Do prije cca dva mjeseca nisam imao iskustva sa Mikrotikovim uređajima. Trenutno koristim jedan CRS125-24G-1S-RM kao router. Firewall rulove sam složio po raznim tutorialima, Mikrotik wikiju i nekim svojim iz glave. Nakon cca mjesec dana rada uređaja pogledam rulove i nije mi zapravo jasno kako nema prometa (bytes i packets) na npr. rulu 11, ako ga isključim tada servis na koji se spaja izvana nije dostupan. Ako netko ima iskustva sa MT firewallima odnosno firewallima općenito može baciti oko na sve rulove i dati prijelog što je dobro, što ne i kako bi to bilo dobro posložiti. Isto tako, čini mi se da ima dosta paketa koji su dropani u tih mjesec dana rada a nemam osjećaj je li to puno ili malo. Ako je nekome lakše pregledavati export mogu ga dati ovdje.

Pošto forum drastično smanjuje size, uploadano: firewall.jpg

LP

[Mac_F]

uvijek mozes po nekom rule-u napraviti logging, pa tako vidjeti što filtrira.
ovo sa 11. mi je cudno da nema prometa, a ne radi kada ga ogasiš.

[cromiki]

Citiraj:

Autor Mac_F

uvijek mozes po nekom rule-u napraviti logging, pa tako vidjeti što filtrira.
ovo sa 11. mi je cudno da nema prometa, a ne radi kada ga ogasiš.

Upravo sam probao disejblati taj rule i uspio sam se ulogirati sa WinMo terminalom na app čiji se servis za pristup koji se vrti na serveru iza tog routera. Dakle, nije čudo što nema prometa, ali nije mi jasno kroz koji se accept rule provuče...

[Perestrojka]

Sta ti stoji pod Advanced / Extra na rulesima 3 i 4 ?

[cromiki]

Citiraj:

Autor Perestrojka

Sta ti stoji pod Advanced / Extra na rulesima 3 i 4 ?

Ništa, sve je sivo kao kad ništa nije odabrano. Ako treba stavit ću slike.

[Perestrojka]

Mozda kod njih prolazi ? Probaj disejblat sve rulove prije 11. tog, spoji se na taj port il sta vec radis sa njime, pa vidi ako ti se mice counter za pakete.

[cromiki]

Citiraj:

Autor Perestrojka

Mozda kod njih prolazi ? Probaj disejblat sve rulove prije 11. tog, spoji se na taj port il sta vec radis sa njime, pa vidi ako ti se mice counter za pakete.

Malo mi je nezgodno time se baviti "na živo" odnosno kad ljudi rade, mogu probati iza 17 pa svakako javim.

[Perestrojka]

P.S.

Ako krenu prolaziti paketi na 11.tom, onda idi po redu od njega prema 1. i enejblaj jedan po jedan rule, da nadjes onaj na kojem ti se provlaci.

[zbuzanic]

Erh, nezgodno je doslovno kopirati nečije confige ako ne znaš što točno rade.

btw. kako se spajaju ti terminali, ide prvo VPN pa onda aplikacija ili direktno idu aplikacijom na taj port i vanjsku adresu? Ako idu VPN-om što bi bilo logično onda definiraj i VPN range pod src address ako ga imaš ili je sve u istom subnetu...
Kao što ti i kažu, neki gornji rule je problem, meni je petica sumnjiva.

[Mac_F]

isto tako mozes probat dragat taj (11.) rule na vrh pa vidjeti da li ce tada ici promet po njemu. Ako nece, onda nisi dobro matcher slozio.
@zbuzanic petica je input chain + i src i dst je lokalna mreza, tako da nije petica

[cromiki]

Citiraj:

Autor zbuzanic

Erh, nezgodno je doslovno kopirati nečije confige ako ne znaš što točno rade.

btw. kako se spajaju ti terminali, ide prvo VPN pa onda aplikacija ili direktno idu aplikacijom na taj port i vanjsku adresu? Ako idu VPN-om što bi bilo logično onda definiraj i VPN range pod src address ako ga imaš ili je sve u istom subnetu...
Kao što ti i kažu, neki gornji rule je problem, meni je petica sumnjiva.

Da, zapravo nemam iskustva s tim odnosno firewallima općenito. Terminali se ne spajaju u VPN, taj port je javno dostupan. Port je dodan u dst-nat, dst-port je taj 59876. Iz tog razloga (dst-nat) koliko vidim u firewallu uopće ne reagira na rule 11.

Rule 5 služi samo da možeš sa 192.168.1.0/24 pristupiti do routera.

Kako sam rekao u uvodnom postu, router je osposobljen kako-tako za operativan rad, sad je na redu sređivanje i pušten je u pogon c/p skriptama.

[Mac_F]

probaj 11. rule staviti na vrh. ako ne vidis promet makni src port na tom rule-u

[Perestrojka]

I? Si uspio sta rijesit ?

[cromiki]

Citiraj:

Autor Perestrojka

I? Si uspio sta rijesit ?

Kad ga stavim na prvu poziciju - nema pomaka
Kad maknem dst-port onda broji bez obzira na kojoj poziciji bio - što je normalno jer tada gleda i accpeta cijeli tcp promat na inputu. To definitivno nije ono što želim. Zapravo želim dozvoliti port 59876 samo na ip 192.168.1.20, ali i s tim sam danas eksperimentirao no bez uspjeha.
Mislim da će na jedan neradni dan politika biti drop everything else i allowati ručno stavku po stavku.

[Mac_F]

Citiraj:

Autor cromiki

Kad ga stavim na prvu poziciju - nema pomaka
Kad maknem dst-port onda broji bez obzira na kojoj poziciji bio - što je normalno jer tada gleda i accpeta cijeli tcp promat na inputu. To definitivno nije ono što želim. Zapravo želim dozvoliti port 59876 samo na ip 192.168.1.20, ali i s tim sam danas eksperimentirao no bez uspjeha.
Mislim da će na jedan neradni dan politika biti drop everything else i allowati ručno stavku po stavku.

Ne accepta ti cijeli promet na inputu nego samo onaj koji ide NA port 59876 sa bilo kojeg porta na polazisnom stroju - sto je normalno
Imaš packet sniffer pa si pogledaj malo.

[cromiki]

Citiraj:

Autor Mac_F

Ne accepta ti cijeli promet na inputu nego samo onaj koji ide NA port 59876 sa bilo kojeg porta na polazisnom stroju - sto je normalno
Imaš packet sniffer pa si pogledaj malo.

Sorry na kasnom odgovoru, gužva. Aha, nisam sniffao ali ima logike . Pitao sam se kako zna kad nije naveden port ali već ima dst-nat. Probam pa javim.

[cromiki]

Problem riješen, krivi chain je bio. Pošto je napravljen dst-nat nije chain input nego forward. Sada sve radi. LP