Не работают правила Firewall (первые! и выборочно)

Обсуждение ПО и его настройки
Ответить
filichev
Сообщения: 12
Зарегистрирован: 03 мар 2017, 08:02

В связи с атакой начал настраивать файрволл более тонко и столкнулся с тем, что несколько примитивных правил не работают.

#1 - не работает вообще. log/drop - не важно. Иногда в логах появляется запись, но никак не связанная с моими попытками достучаться до 8081 с другого канала. /с телефона/.

#12 и #13 - прекрасно работает для порта 8088 но абсолютно не работает (пускает) для 8086. Делал отдельное правило для 8086 - тоже самое.

Есть идеи?

входящих каналов два - оба в списке входящих интерфейсов WAN в правиле. Пробовал вообще по всем интерфейсам блокировать - не работают.

Ступор :(



Изображение


filichev
Сообщения: 12
Зарегистрирован: 03 мар 2017, 08:02

В Raw все работает. Чудеса.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ну конкретно на крине первое правило явно просится в цепочку forward или этот адрес у вас на микротике висит?


Есть интересная задача и бюджет? http://mikrotik.site
filichev
Сообщения: 12
Зарегистрирован: 03 мар 2017, 08:02

Это микротиковский адрес одного из WAN

Было и на форвард и на инпут и без адреса. Не работает и все тут. Просто на скрине уже шаманство тоже заметно.

Но особенно впечатляют 12 и 13 - один порт откидывает, второй - пускает.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Тоесть у вас на данном микротике есть адрес 192.168.88.2 и открыт с этого адреса порт 8081 ?


Есть интересная задача и бюджет? http://mikrotik.site
filichev
Сообщения: 12
Зарегистрирован: 03 мар 2017, 08:02

Да. Микротик за провайдерским NAT, 192.168.88.0 внешняя сетка. Белый IP в мир там через пень/колоду.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну т.к. вы на вопрос не ответили то попробую включить телепата и скажу что верхнее правило у вас не будет работать ни на форварде ни на инпуте


Есть интересная задача и бюджет? http://mikrotik.site
filichev
Сообщения: 12
Зарегистрирован: 03 мар 2017, 08:02

Ну не буду испытывать ваши телепатические способности, скажу что я похоже понял причину - при настроенном dstnat (пробросе портов) попытка их закрыть фильтрами не отключая dstnat приводит к странному результату.

Вроде что-то работает, но не все.

Это не очень интуитивно понятно и нигде об этом вроде как ни слова. Более неприятно, что часть правил работает и это вдвойне запутывает.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) у микротика (у разработчиков) своё видение или своё решение и правила прохождения пакетов
2) когда делаем правила dst - закрывать такой порт как бы не резонно
3) с года два назад сделали табличку RAW, которая позволяет отлавливать те пакеты, которые явно не нужны,
но самое главное, позволяет не попадать этим пакетам в Connection tracker и тем самым не нагружать роутер
4) Также, согласно таблице прохождения пакетов в микротике, dst-nat раньше идёт, чем filter, отсюда следует
как раз то, что обычным правилом прохождения пакета по цепочке dst-nat не закрыть.

Как итог:
а) находим/смотрим наиболее частые сканирование и удары в порты, если порты нам не важны, защищаемся в RAW
б) делаем dst-nat, если можно, делаем его более точным, явным.
в) остальное (жизненное обыденное) режим уже в filter rules

Для коллег:
Писал обыденным языком, пытался просто описать сущность. Неточности есть, прошу не бить :smu:sche_nie:

Для всех: (картинка)
Изображение



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
filichev
Сообщения: 12
Зарегистрирован: 03 мар 2017, 08:02

Да, спасибо - эту картинку я и нагуглил наконец, после чего пришло понимание.


Ответить