Настрока FireWall

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
kreotoDr
Сообщения: 21
Зарегистрирован: 31 мар 2018, 09:13

Добрый день всем!
Первые шаги в сторону Микротика..
Настроил Фаер в основном по констультациям из инета..
1. Подскажите все ли корректно?
2. При такой схеме все закрыто из вне?
3. Нужно ли, то что закомментировал?

Код: Выделить всё


        ############################################################################
        ################    ip firewall filter rules 31/03/2018     ################
        ############################################################################

        
        
/ip firewall filter

### add chain=input protocol=icmp action=accert                                         comment="Allow Ping"
### add chain=forward protocol=icmp action=accept                                       comment="Allow Ping"

add action=accept chain=forward                                                         comment="Accept all established and related connections, forward chain" connection-state=established,related
add action=accept chain=input                                                           comment="Accept all established and related connections, input chain" connection-state=established,related
add action=drop chain=input                                                             comment="Drop invalid connections, input chain" connection-state=invalid in-interface=Wan_Port1
add action=drop chain=forward                                                           comment="Drop invalid connections, forward chain" connection-state=invalid in-interface=Wan_Port1


### Тут разрешаем другие входящие. Цепочка input пропускает/запрещает доступ к службам самого mikrotik
add chain=input src-address=192.168.0.0/24 action=accept                                comment="Access to Mikrotik from my local network"
add chain=input src-address=95.67.86.14 action=accept                                   comment="Access to Mikrotik from my WAN network"
add chain=input src-address=93.183.211.66 action=accept                                 comment="Access to Mikrotik from work network"

### add chain=forward src-address=192.168.0.0/24 in-interface=Wan_Port1 action=accept   comment="Access to Internet from local network"
### add chain=input protocol=udp action=accept                                          comment="Allow UDP"
### add chain=forward protocol=udp action=accept                                        comment="Allow UDP"

### Тут разрешаем другие форварды. Цепочка forward - доступ к серверам внутри сети. цепочка output так же открыта по умолчанию, ее трогать не следует
add chain=forward action=accept protocol=tcp in-interface=Wan_Port1 dst-port=8099       comment="Access to qBitTirent Port:8099"
add chain=forward action=accept protocol=tcp in-interface=Wan_Port1 dst-port=21         comment="Access to FTP Port:21"

add action=drop chain=input                                                             comment="Drop All ports and protocols in input chain by default" in-interface=Wan_Port1
add action=drop chain=forward                                                           comment="Drop All ports and protocols in forward chain by default" in-interface=Wan_Port1


Аватара пользователя
romsandj
Сообщения: 143
Зарегистрирован: 17 янв 2017, 08:27
Откуда: Ростовская область

ИМХО:
Нужно выбрать по какой схеме безопасности Вы будете настраивать МТ.
1) Всё запрещено, кроме того, что разрешено
2) Всё разрешено, кроме того, что запрещено
Нужно четко следовать одного из принципов. Смешивание не приемлимо.
Итак, по Вашим правилам. Я лично, начиная изучать МТ, естественно много гуглил... и пришел к выводу, что правилами фаервола достаточно настроить защиту "из-вне". Прописывать всевозможные правила на доступ из Вашей локальной сети в тырнет я не вижу смысла. А зачем? У Вас же нет запрета на доступ в тырнет всему из локалки!? Все исходящие запросы попадают под ветку established и related.
Если в краце, то достаточно 4 правил:
1) chain=input action=drop connection-state=invalid in-interface=Tel
2) chain=input action=accept connection-state=established,related in-interface=Tel
3) chain=forward action=accept connection-state=established,related in-interface=Tel
4) chain=input action=drop in-interface=Tel
-----------------------------------
Этого достаточно. Обращаю внимание, сперва идут все цепочки INPUT потом FORWARD, а в конце - drop всего на входе.
Ну и конечно же, если у Вас статика на входе, то тут придется прописывать защиту посложнее. (защиту от брутфорсов, сканеры портов и пр., прописывать пробросы портов в локалку и т.п.)


Я бы изменил мир, но Бог не даёт исходники...
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ох, вам обоим лучше немного почитать. Или хотя бы послушать. Вот у Дмитрия Скоромнова весьма неплохое видео. Сразу должно стать понятно, какая цепочка за что отвечает. https://www.youtube.com/watch?v=3jMI14lDWRY&t=2722s


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
kreotoDr
Сообщения: 21
Зарегистрирован: 31 мар 2018, 09:13

Коллеги привет!
Уже достаточно долго слушаю советы, читаю мануалы, смотрю видео..
Формирую "конфиг моего МикроТика"..
Пару раз "показывал конфиг" знающим людям.. Слушал ответы, диаметрально противоположные..
Одним словом на сегодня собрал "рабочий конфиг", но не уверен, что все хорошо с вопросами безопасности в конфиге..
Вопрос, посмотреть отредактировать.. Готов отблагодарить денежно)))

Код: Выделить всё

#  Исходные данные, цели, задачи:
#  1. Микротик получает Интернет по схеме Статический IP 92.19.86.12/25;
#  2. WiFi не востребован;
#  3. На Микротике используются три порта;
#  	3.1 1й - WAN;
#  	3.2 2й - Интернет под файловый сервер, торрент качалку (192.168.1.1);
#  	3.3 3й - Интернет на роутер №2 (192.168.0.49);
#  4. Необходима переадресация FTP (21) на (192.168.1.1);
#  5. Необходим доступ из ВНЕ к роутеру №2 (192.168.0.49) на 8443 порт;
#  6. Необходим доступ из локальной сети к роутеру №2 (192.168.0.49) на 8443 порт;
#  7. Необходима переадресаций порта 8099 на (192.168.1.1);
#  8. Необходим доступ к микротику из WAN  c Ip 93.183.211.0/24;
#  9. Необходим доступ к микротику из WAN  c Ip 92.19.86.0/24;

/interface bridge
add fast-forward=no name=LAN_Bridge

/interface ethernet
set [ find default-name=ether2 ] disabled=yes name=Lan_Port2
set [ find default-name=ether3 ] disabled=yes name=Lan_Port3
set [ find default-name=ether5 ] name=Port1_to_InetServer
set [ find default-name=ether4 ] name=Port2_to_Router_Asus
set [ find default-name=ether1 ] name=WAN

/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot

/ip pool
add name=HomeNET ranges=192.168.1.10-192.168.1.49

/ip dhcp-server
add address-pool=HomeNET disabled=no interface=LAN_Bridge name=server1

/interface bridge port
add bridge=LAN_Bridge interface=Port1_to_InetServer
add bridge=LAN_Bridge interface=Port2_to_Router_Asus
add bridge=LAN_Bridge interface=Wi-Fi_1

/interface bridge settings
set use-ip-firewall=yes

/ip address
add address=192.168.1.50/24 interface=LAN_Bridge network=192.168.1.0
add address=92.19.86.12/25 interface=WAN network=92.19.86.0

/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.50 gateway=192.168.1.50 netmask=24

/ip dns set allow-remote-requests=yes servers=92.19.0.252,8.8.8.8

/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward comment="Accept all established and related connections, forward chain" connection-state=established,related
add action=accept chain=input comment= "Drop invalid connections, input chain" connection-state=established,related
add action=drop chain=input comment="Drop invalid connections, input chain" connection-state=invalid in-interface=WAN log-prefix=DEF_DROP
add action=drop chain=forward comment="Drop invalid connections, forward chain" connection-state=invalid in-interface=WAN log-prefix=DEF_DROP
add chain=input comment="Access to Winbox from my WAN network Port:57572" dst-port=57572 in-interface=WAN protocol=tcp src-address=93.183.211.0/24
add chain=input comment="Access to Winbox from my Work network Port:57572" dst-port=57572 in-interface=WAN protocol=tcp src-address=92.19.86.0/24
add action=drop chain=input comment="Drop All ports and protocols in input chain by default" in-interface=WAN log-prefix=DEF_DROP

/ip firewall nat
add action=dst-nat chain=dstnat comment="**** Access to Router Asus Port:8443 ****" dst-port=8443 in-interface=WAN log=yes log-prefix=NAT_Router_Asus_WAN protocol=tcp to-addresses=192.168.1.49 to-ports=8443 
add action=dst-nat chain=dstnat comment="**** Access to Router Asus Port:8443 ****" dst-port=8443 in-interface=LAN_Bridge log=yes log-prefix=NAT_Router_Asus_LAN protocol=tcp to-addresses=192.168.1.49 to-ports=8443
add action=dst-nat chain=dstnat comment="**** FTP to 192.168.1.1 ****" dst-port=21 in-interface=WAN log=yes log-prefix=NAT_FTP_WAN protocol=tcp to-addresses=192.168.1.1 to-ports=21
add action=dst-nat chain=dstnat comment="**** FTP to 192.168.1.1 ****" dst-port=21 in-interface=LAN_Bridge log=yes log-prefix=NAT_FTP_LAN protocol=tcp to-addresses=192.168.1.1 to-ports=21
add action=dst-nat chain=dstnat comment="**** qBitTorent to 192.168.1.1 ****" dst-port=8099 in-interface=WAN log=yes log-prefix=NAT_qBitTorent_WAN protocol=tcp to-addresses=192.168.1.1 to-ports=8099
add action=dst-nat chain=dstnat comment="**** qBitTorent to 192.168.1.1 ****" dst-port=8099 in-interface=LAN_Bridge log=yes log-prefix=NAT_qBitTorent_WAN protocol=tcp to-addresses=192.168.1.1 to-ports=8099
add action=masquerade chain=srcnat comment="**** MAIN NAT ****" src-address=192.168.1.0/24

/ip route
add distance=1 gateway=92.19.86.1

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox port=57572
set api-ssl disabled=yes

/ip upnp interfaces
add interface=WAN type=external
add interface=LAN_Bridge type=internal


o12k9ks
Сообщения: 1
Зарегистрирован: 24 фев 2018, 13:35

/del
Последний раз редактировалось o12k9ks 18 апр 2018, 12:59, всего редактировалось 1 раз.


kreotoDr
Сообщения: 21
Зарегистрирован: 31 мар 2018, 09:13

o12k9ks писал(а): 06 апр 2018, 10:54 Экстрасенсы уехали, поэтому опишите что конккретно вы хотите видеть в микротике и какова ваша рабочая схема? Для чего микротик? Какая сеть и т.д., вообще ничего не понятно.

1. Домашняя сеть, 5 проводных, 10 беспроводных
2. Цели №1 Микротик - раздача интернет на проводных
3. Цели №2 за микротиком Сервер FTP/Торент качалка

От Микротика, хочу видеть закрытую сеть от проникновения их вне, раздача интернета


o12k9ks
Сообщения: 1
Зарегистрирован: 24 фев 2018, 13:35

/del
Последний раз редактировалось o12k9ks 18 апр 2018, 12:59, всего редактировалось 1 раз.


kreotoDr
Сообщения: 21
Зарегистрирован: 31 мар 2018, 09:13

Спасибо. Информация весьма полезная...
Но написано, скажем так далеко не для новичка...

Я так понимаю, все изложенное в кой-то мере реализовано у Вас лично..
Можно ваш конфиг на:
/ip firewall filter
/ip firewall nat

Заранее признателен за помощь


Аватара пользователя
romsandj
Сообщения: 143
Зарегистрирован: 17 янв 2017, 08:27
Откуда: Ростовская область

Вставлю свою 5 копеек.

1) Исходя из Исходных данных, у Вас написано, что нужно использовать 2,3 ethernet-порты, в конфиге у Вас используются 4,5 ethernet-порт, а 2,3 порты отключены (противоречие)
2) В Исходных данных дано на порт 2 подсеть 1.0/24, а на порт 3 подсеть 0.0/24. Однако в настройках /ip address Вы задаете адрес 192.168.1.50/24 на LAN_Bridge, в который включены эти 2 ethernet-порта. Тогда необходимо добавить еще один адрес на LAN_Bridge из подсети 0.0/24 (для связи с router Asus с адресом 192.168.0.49) Кстати, а почему 192.168.0.49 ? Этот адрес статически забит на WAN-порт роутера ASUS? Тогда может быть задать на ether3 адреса 192.168.0.50/30 ? Таким образом у Вас будет подсеть на 2 адреса - 192.168.0.50 и 192.168.0.49
3) Далее, в настройках pool Вы задали диапазон раздачи подсети 192.168.1.10-192.168.1.49 Тем самым подключив роутер Asus к 3 порту, DHCP-сервер микротика благополучно ему выдаст адрес из данного пула. А Вам нужен адрес из другой подсети. Значит роутер Asus нужно привязать по МАС-адресу и задать ему статический адрес (192.168.0.49)
4) В Исходных данный указано, что Wi-Fi не востребован. Однако в LAN_Bridge Вы его добавляете. Ну, возможно, сам интерфейс Wi-Fi Вы отключите, но я этого не увидел.
----------------
Теперь по Фаерволу:
5) В /ip firewall filter у Вас первым указано правило фасстрак chain=forward. Ок. Зачем тогда следом идет правило add action=accept chain=forward comment="Accept all established and related connections, forward chain" connection-state=established,related ?
6) Правилом Вы указали доступ на микротик "из вне" только из подсети 93.183.211.0/24 и еще одним правилом из подсети 92.19.86.0/24 Имейте ввиду, что если Вы попытаетесь, например, через ОПСОСа зайти, у Вас не получится. (ну например, Вы с ноутбуком за городом, и тут нужно срочно что то посмотреть, поправить...) В данном случае, если всё таки такое может быть, я бы не прописывал такое жесткое ограничение на доступ из определенных подсетей. Не ставил бы ограничение на src-address вообще. А для безопасности, прописал бы правила защиты от брутфорса (перебор паролей) по порту 57572 (Что это такое и с помощью каких правил это делается, в тырнете куча инфы)
7) В исходных данных указано - Необходима переадресация FTP (21) на (192.168.1.1)
В фаерволе открытого порта 21 я не увидел. Проброс порта в NAT есть, но в фаерволе сам порт не открыт. Работать не будет. Как известно протокол FTP использует и 20 порт. Советую открыть его. Так же рассмотрите пассивный режим, тут нужно открывать диапазон портов, в зависимости от настроек FTP-сервера
8) Исходные данные - Необходим доступ из ВНЕ к роутеру №2 (192.168.0.49) на 8443 порт;
В NAT проброс прописан (правда на адрес 192.168.1.49), в фаерволе открытости порта 8443 нет. Работать не будет.
9) Исходные данные - Необходим доступ из локальной сети к роутеру №2 (192.168.0.49) на 8443 порт; В NAT прописан проброс порта (а зачем?) Вы находитесь в своей локальной сети, зачем правило писать? Просто логинимся на адрес в локальной сети.
То же самое относиться и к пробросу FTP-порта для локалки.
10)Исходные данные - Необходима переадресаций порта 8099 на (192.168.1.1);
Тут не указано откуда переадресация? из вне? Тогда
В NAT проброс есть, в фаере порт не открыт. Работать не будет
11) В /ip route у Вас одна запись. А где маршрутизация между подсетями 1.0/24 и 0.0/24 ?

ПыСы: Прошу сильно не смеяться. Всего годик с небольшим домашнего опыта с микротиками и много чтения интернетов. Возможно, что то не так понял, или не так советую... не обессудьте.


Я бы изменил мир, но Бог не даёт исходники...
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
Ответить