Помогите пожалуйста с правилом

Обсуждение ПО и его настройки
Ответить
joslan
Сообщения: 29
Зарегистрирован: 06 июн 2017, 20:46

Не могу понять как составить правило:

pppoe-out1 . это вход

Нужно запретить все входящие соединения даже пинг, вообще все, а разрешить только с определенных сетей которые находятся в списке address_list


Вернуться к началу
vbsev
Сообщения: 84
Зарегистрирован: 19 авг 2018, 09:35

Запретить доступ к маршрутизатору или в локальную сеть (цепочки input, forward)?
Какой протокол используется (ping - это icmp, что ещё? - tcp, udp) ?

Однозначно невозможно ответить на Ваш вопрос, так как непонятно какой и куда блокировать трафик.
И правил, скорее всего, будет несколько - так как вы хотите запретить ping - это icmp протокол. DNS заблокировать (если речь идёт о блокировке вообще всего) - это UDP.
Веб трафик (http) - это TCP протокол.

В общем, слишком много неизвестных.


Вернуться к началу
joslan
Сообщения: 29
Зарегистрирован: 06 июн 2017, 20:46

vbsev писал(а): 23 окт 2018, 23:14 Запретить доступ к маршрутизатору или в локальную сеть (цепочки input, forward)?
Какой протокол используется (ping - это icmp, что ещё? - tcp, udp) ?

Однозначно невозможно ответить на Ваш вопрос, так как непонятно какой и куда блокировать трафик.
И правил, скорее всего, будет несколько - так как вы хотите запретить ping - это icmp протокол. DNS заблокировать (если речь идёт о блокировке вообще всего) - это UDP.
Веб трафик (http) - это TCP протокол.

В общем, слишком много неизвестных.
Запретить доступ из вне к маршрутизатору
Ну суть такая, мне нужно чтоб из вне не каким способом нельзя было дотучаться по IP адресу, и чтоб некак нельзя было прощупать,
Закрываем все входящие как TCP так и udp

а потом я просто правилами проброса портов, открываю порт 80 и 443 наружу и только для определенных груп сетей, остальное должно быть закрыто наглухо, ну как то так простым язиком


Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Удалите из дефолтного firewall'а правила разрешающие ICMP - и собственно это оно и будет.


Telegram: @thexvo
Вернуться к началу
joslan
Сообщения: 29
Зарегистрирован: 06 июн 2017, 20:46

xvo писал(а): 24 окт 2018, 00:17 Удалите из дефолтного firewall'а правила разрешающие ICMP - и собственно это оно и будет.
Скорее я думаю роутер даже без этих правил открыт, ведь например по 53 порту то идут на роутер


Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

joslan писал(а): 24 окт 2018, 18:55
xvo писал(а): 24 окт 2018, 00:17 Удалите из дефолтного firewall'а правила разрешающие ICMP - и собственно это оно и будет.
Скорее я думаю роутер даже без этих правил открыт, ведь например по 53 порту то идут на роутер
Не очень понял о чем вы, но 53 порт снаружи закрыт по-умолчанию.
В дефолтных настройках firewall снаружи открыт доступ только для icmp, того, что прошло dst-nat и того что попадает под установленные политики ipsec.
Все остальное закрыто.
Уберите оттуда правило разрешающее icmp и будет то, что вы хотите.


Telegram: @thexvo
Вернуться к началу
joslan
Сообщения: 29
Зарегистрирован: 06 июн 2017, 20:46

xvo писал(а): 24 окт 2018, 19:00
joslan писал(а): 24 окт 2018, 18:55
xvo писал(а): 24 окт 2018, 00:17 Удалите из дефолтного firewall'а правила разрешающие ICMP - и собственно это оно и будет.
Скорее я думаю роутер даже без этих правил открыт, ведь например по 53 порту то идут на роутер
Не очень понял о чем вы, но 53 порт снаружи закрыт по-умолчанию.
В дефолтных настройках firewall снаружи открыт доступ только для icmp, того, что прошло dst-nat и того что попадает под установленные политики ipsec.
Все остальное закрыто.
Уберите оттуда правило разрешающее icmp и будет то, что вы хотите.
У меня стоит правило блокирующее типо DNS ддос , это к тому что UDP на 53 порт свободно значит прилетает в роутер

Или я чтото не так понимаю?


Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

joslan писал(а): 24 окт 2018, 20:35 У меня стоит правило блокирующее типо DNS ддос , это к тому что UDP на 53 порт свободно значит прилетает в роутер

Или я чтото не так понимаю?
Я понятия не имею, что стоит у вас, вы же свой конфиг не прикладываете.
Я говорю, про дефолтные настройки, которые идут из коробки, и к которым сбрасывается конфигурация - используйте их.


Telegram: @thexvo
Вернуться к началу
joslan
Сообщения: 29
Зарегистрирован: 06 июн 2017, 20:46

xvo писал(а): 24 окт 2018, 21:38
joslan писал(а): 24 окт 2018, 20:35 У меня стоит правило блокирующее типо DNS ддос , это к тому что UDP на 53 порт свободно значит прилетает в роутер

Или я чтото не так понимаю?
Я понятия не имею, что стоит у вас, вы же свой конфиг не прикладываете.
Я говорю, про дефолтные настройки, которые идут из коробки, и к которым сбрасывается конфигурация - используйте их.
я вас понимаю,
Я по поводу ваших слов, что если правил нету то всё закрыто, так вот я убрал все правила, пинг проходит, и опять же говорю вам что UDP на 53 порт тоже проходит походу


Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

joslan писал(а): 24 окт 2018, 21:58 Я по поводу ваших слов, что если правил нету то всё закрыто,
Эээ...
Вы что-то не так поняли: я нигде не говорил, что если правил нет, то все закрыто.
Действие по умолчанию - accept, так что если правил нет, то все наоборот открыто.
Я говорил, что вы можете взять firewall, который настроен из коробки и он вполне подойдет под ваши нужды, если его немного докрутить.
Если вы вдруг конфигурацию стирали в ноль, то посмотреть дефолтные настройки можно так:

Код: Выделить всё

/system default-config print


Telegram: @thexvo
Вернуться к началу
Ответить

Вернуться в «MikroTik RouterOS»