И снова Firewall

Обсуждение ПО и его настройки
LeSTaT
Сообщения: 7
Зарегистрирован: 10 дек 2017, 15:00

Добрый день, уважаемые форумчане, прошу сильно не пинать, так как только начал знакомится с MikroTik.
Имеется железка RB3011UiAS fw: 6.40.5
MikroTik является заменой компу с pfsence.
Основные настройки выполнил, порты пробросил и начал настраивать FireWall.
До начала рабочей недели хотел сделать минимум настроек, а после понимания того, что железка в боевой среде работает нормально и продолжить настройку.
И вот споткнулся на банальности. Запретил доступ к VK.com и OK.ru, но еще надо добавить правило - компьютер исключение, чтобы он мог ходить на эти сайты.
Но когда в 0 правиле прописываешь IP address компа из локальной сети в поле Src. Address, то доступ пропадает у всех, когда IP убираешь, то доступ появляется у всех. Пробовал в правиле "1" в поле Src. Address ставить ! и писал IP нужного компа, но доступ не появлялся. Помогить понять как работают исключения и что я делаю не так.
И такая же проблема с правилом "3" где хочу разрешить моему домашнему компу подключаться по winbox к MikroTik.
Когда отключаю правила 4 и 7 доступ из дома появляется.
Помогите пожалуйста, буду очень благодарен.
ссылка к скриншоту
https://drive.google.com/open?id=1IGCC_ ... TE40fwy6OH
Извините за ссылку сюда добавить вложение из-за веса скрина не получилось


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Прочтите что Вы написали и подумайте, понятно ли нам вообще что-либо?

Всё равно что описывать, что на кастрюле 2 у меня подгорает, а сковородка 4 работает неплохо.
Но понять что и из чего сделана кастрюля2 и сковородка4 нам никак не понять.
Как ни как Вы делаете роутер на предприятии, Вы должны оперировать не порядковым числом, оно Важно
и правила работают в этом приоритете, но мы тут смотрим на сами правила и они должны быть показаны
в том приоритете как идут, но самих правил мы не видим, так что вот как можно вообще понять что Вы там сделали.

Второе, файрвол штука гибкая и многогранная, но я делаю так в рамках одного сервиса/порта или сразу на группу сервисов/портов:
а) создаю адрес-лист который для этого сервиса/порта будет "разрешённый" (то есть 1 айпи или под-сеть)
б) делаю аналитику (команда jump) (то есть идёт анализ попадания пакета на нужный порт/сервис)
в) перекидываю уже на правила с адрес-листом хорошим (разрешаю)
г) потом данный сервис/порт закрываю для всего(или для другого адрес-листа)

Вам же можно сделать проще, сначала пишется правила с адрес-листом "хороших",
потом уже закрываем для всех,или наоборот, откидываем "плохих" тоже с адрес-листа,
и уже пускаем всех.

Анализируйте, думайте, рисуйте на бумажке как пакет проходит.
!!! НЕ ЗАБУДЬТЕ закрыть 53 порт с внешних интерфейсов !!!



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
LeSTaT
Сообщения: 7
Зарегистрирован: 10 дек 2017, 15:00

Vlad-2 писал(а): но самих правил мы не видим, так что вот как можно вообще понять что Вы там сделали.

Я скриншот с правилами добавил парой минут позже. Он ссылкой на гугл диске.
53 порт заблокировал, спасибо.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

По скриншотам нельзя понять что это за правила и что они делают, скриншоты не отображают всего содержимого правил. Сделайте в терминале ip firewall filter export и результат выложите сюда.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

LeSTaT писал(а):
Vlad-2 писал(а): но самих правил мы не видим, так что вот как можно вообще понять что Вы там сделали.

Я скриншот с правилами добавил парой минут позже. Он ссылкой на гугл диске.
53 порт заблокировал, спасибо.


1) обувь снимаем в прихожей ведь, поэтому убивать инвалидные пакеты (номер 4) надо первым(ну или нулевым) правилом!
2) если у Вас прошивка новая, но правила 5 и 6 не нужны. Эти правила уже добавлены внутрь логики микротика
3) чёто я не вижу правила которые 53 порт "прикрывают"

Вот кусочек моего файрвола, он не идеален, но мне сейчас проще Вам показать,
чем объяснять
Изображение



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
LeSTaT
Сообщения: 7
Зарегистрирован: 10 дек 2017, 15:00

KARaS'b писал(а):По скриншотам нельзя понять что это за правила и что они делают, скриншоты не отображают всего содержимого правил. Сделайте в терминале ip firewall filter export и результат выложите сюда.

Сделано

/ip firewall filter
add action=drop chain=input comment="drop invalid connections" connection-state=invalid
add action=accept chain=forward comment=All_Allow protocol=tcp src-address-list=\MembersGroupALL_Allows
add action=reject chain=forward comment="Block VK.com" content=vk.com protocol=tcp \reject-with=tcp-reset
add action=reject chain=forward comment="Block OK.com" content=ok.ru protocol=tcp reject-with=\tcp-reset
add action=drop chain=input dst-port=53 in-interface=2WanMTSOsn protocol=udp
add action=accept chain=input comment=Connect_to_winbox_HOME connection-state=new protocol=tcp \src-address=xxx.xxx.xxx.xxx src-port=8291
add action=accept chain=input comment="allow established connections" connection-state=\established
add action=accept chain=input comment="allow related connections" connection-state=related
add action=drop chain=input comment="drop everything else" in-interface=2WanMTSOsn


LeSTaT
Сообщения: 7
Зарегистрирован: 10 дек 2017, 15:00

с правилом для winbox разобрался сам порт 8291 вписал не туда... было src-port=8291, а правильно надо в dst-port=8291
осталось разобраться как правильно сделать исключение для блокировки сайтов соц сетей. пожалуйста помогите разобраться.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Конструкция слишком сложная, все делается проще при помощи адреслистов.
Создаем адреслист с адресами нежелательных ресурсов, для примера только с вк и ок

Код: Выделить всё

/ip firewall address-list
add address=vk.com list=soc_block
add address=ok.ru list=soc_block

Создаете адрес лист внутренних адресов которым необходимо предоставить доступ к данным ресурсам, поскольку я их не знаю, для примера возьму 192.168.0.123 и 192.168.0.200

Код: Выделить всё

/ip firewall address-list
add address=192.168.0.123 list=allow_internal
add address=192.168.0.200 list=allow_internal

И создаете правило для блокировки нежелательных ресусво всем, кто не входит в список разрешенных

Код: Выделить всё

/ip firewall filter
add action=drop chain=forward dst-address-list=soc_block src-address-list=!allow_internal

Тут важный момент, если перед этим правилом будет правило которое блокирует или разрешает всю цепочку forwar, то это правило просто не сработает, в микротике правила отрабатывают по очереди, соответсвенно находите в своем конфиге правильное место для этого правила и поднимаете его до этого места.
Как результат одно это правило заменяет сразу 3 ваших! А вашу конструкцию я так к сожалению и не понял, плюс судя по скриншоту, вы предоставили экспорт без какого-то, или даже каких то правил, которые пытались применить и с которыми у вас ничего не работало, а мы тут не ванги, гадать это не к нам.
И не забывайте, при проверке, компьютеры которые уже установили соединения с заблокированными ресурсами будут продолжать работать с ними пока соединения не порвутся со стороны клиента, сервера или пока вы х не порвете сами. Это что бы вы понимали и не пришли сюда с фразой "сделал, не блокирует".


LeSTaT
Сообщения: 7
Зарегистрирован: 10 дек 2017, 15:00

KARaS'b писал(а):И создаете правило для блокировки нежелательных ресусво всем, кто не входит в список разрешенных

Код: Выделить всё

/ip firewall filter
add action=drop chain=forward dst-address-list=soc_block src-address-list=!allow_internal

Тут важный момент, если перед этим правилом будет правило которое блокирует или разрешает всю цепочку forwar, то это правило просто не сработает, в микротике правила отрабатывают по очереди, соответсвенно находите в своем конфиге правильное место для этого правила и поднимаете его до этого места.

Спасибо огромное, получилось настроить исключения!!!
KARaS'b писал(а):И не забывайте, при проверке, компьютеры которые уже установили соединения с заблокированными ресурсами будут продолжать работать с ними пока соединения не порвутся со стороны клиента, сервера или пока вы х не порвете сами. Это что бы вы понимали и не пришли сюда с фразой "сделал, не блокирует".

Спасибо за предупреждение с этим я вчера уже во время экспериментов разобрался!!!


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

LeSTaT писал(а):
KARaS'b писал(а):И создаете правило для блокировки нежелательных ресусво всем, кто не входит в список разрешенных

Код: Выделить всё

/ip firewall filter
add action=drop chain=forward dst-address-list=soc_block src-address-list=!allow_internal

Тут важный момент, если перед этим правилом будет правило которое блокирует или разрешает всю цепочку forwar, то это правило просто не сработает, в микротике правила отрабатывают по очереди, соответсвенно находите в своем конфиге правильное место для этого правила и поднимаете его до этого места.

Спасибо огромное, получилось настроить исключения!!!

Или вы меня не правильно поняли, или вы сейчас не правильно выразились и я не правильно понял вас, но на всякий случай уточню, это не просто исключение, это правило и блокирует ваши ресурсы и оно же разрешает необходимым компам посещать их, оно заменяет все то, чем вы блокировали и пытались разрешить, то есть вообще других правил по блокировке или разрешению соц сетей или иных нежелательных ресурсов не нужно, достаточно только его и в дальнейшем достаточно убирать и добавлять из определенных листов определенные ресурсы и компы что бы изменять возможность доступа определенных людей и определенных ресурсов.


Ответить