Видны порты снаружи, VPN работает всегда.

Обсуждение оборудования и его настройки
plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Правила проброса портов для ната вроде бы обрабатываются отдельно и для них разрешающие правила в фаерволе не потребуются, хотя могу и наврать. С ходу не вспомню.

Про винбокс: у него свой протокол и редко встречающийся порт, которые большинство сканеров не знают. Так что ждать брутфорс на порту 8192 вряд ли стоит. Я на эту тему не параною.


Koenig
Сообщения: 19
Зарегистрирован: 09 окт 2014, 14:11

Я посмотрел, vpn можно сделать пробросом через нат или же через правила, разрешив сервис pptp, вторым вариантом и пошел.


Koenig
Сообщения: 19
Зарегистрирован: 09 окт 2014, 14:11

Хм, просканировал из дома свой рабочий внешний адрес, опять получаю следующее
Not shown: 992 closed ports, 3 filtered ports
PORT STATE SERVICE
53/tcp open domain
1723/tcp open pptp
2000/tcp open callbook
8080/tcp open http-proxy
8291/tcp open unknown
Nmap done: 1 IP address (1 host up) scanned in 10.28 seconds
Хотя правила только те, которые указаны выше и для pptp правило. :cry_ing:


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Не, я все понимаю, но навертеть кучу правил и потом спрашивать: "А почему не работает?" - это просто шик.
Делайте сами и пошагово. Принципы работы фаервола знаете? По определению всё разрешено. Значит последнее правило в списке какое? Запретить все, исключая то, что выше него разрешил. Я у Вас это правило не увидел (признаться, особо и не искал, уж больно меня последнее время нервируют конфигурации фаервола, содранные из сети бездумно).
В идеале, оставляем пять-семь правил, которые обеспечивают минимальное функционирование (related, established, drop-invalid, 80 и 443 порта по tcp, остальное дроп по цепочке forvard) и проверяем что там закрыто, а что нет. А у Вас там наверчено, нет никакого желания по полкам эту паранойю разбирать.
P.S.: Вы меня простите великодушно, но страдать паранойей при настройке фаервола может позволить себе человек, понимающий что, куда и откуда. Для всех остальных это занятие никчемное. Будете потом искать, почему на компах что-то не работает, а окажется, что нужный порт или протокол зарезан по незнанию. А с нашими прогописателями этот порт или протокол может быть и незапротоколирован в мануалах. Сам лично сталкивался, например в RaidCall. Разрабы на форуме молчат, как воды в рот набрали, видимо, сами не при делах оказались, а у меня, пока не нашел нужный порт, все стояло колом, юзер пеной исходил...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Koenig
Сообщения: 19
Зарегистрирован: 09 окт 2014, 14:11

Что ж вас прощать, правда ваша, сам виноват, ибо с микротиком столкнулся впервые.
Вот такие правила firewall и nat у меня сейчас, так же видно что все сервисы отключены.
В итоге имеем то, о чем писал выше.

/ip firewall filter
add chain=input comment="Allow Winbox" dst-port=8291 protocol=tcp src-address=\
192.168.0.0/22
add chain=input comment="Allow PPTP" dst-port=1723 protocol=tcp
add chain=input protocol=gre
add chain=input comment="Allow Established connections" connection-state=\
established
add action=drop chain=input in-interface=SZT protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=SZT
add action=masquerade chain=srcnat disabled=yes out-interface=SZT src-address=\
192.168.10.0/24
add action=masquerade chain=srcnat disabled=yes out-interface=SZT src-address=\
192.168.4.0/24
add action=netmap chain=dstnat comment="Port RDP on 192.168.0.102" disabled=yes \
dst-port=3389 in-interface=SZT protocol=tcp to-addresses=192.168.0.103 \
to-ports=3389
add action=netmap chain=dstnat comment="Linia web 9786" disabled=yes dst-port=\
9786 in-interface=SZT protocol=tcp to-addresses=192.168.0.1 to-ports=9786
add chain=dstnat comment="Port VPN" disabled=yes dst-port=1723 in-interface=SZT \
protocol=tcp to-addresses=192.168.0.100 to-ports=1723
add action=netmap chain=dstnat comment="VNC \ED\E0 103" disabled=yes dst-port=\
5900 in-interface=SZT protocol=tcp to-addresses=192.168.0.103 to-ports=5900
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Теперь смотрите, если у вас все ограничения в Filters только по цепочке input, это имеет отношение только к Вашему маршрутизатору. Для компьютеров за роутером действуют правила цепочки forward.
То есть при таком варианте настроек у Вас на компы открыто всё.
Давайте, разбирайтесь. Это не так сложно, как кажется. За пару-тройку часов можно основные понятия уяснить.
Тут до 6.5
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter - здесь только до примеров, примеры Вам не нужны пока...
Ну и сами гугл пинайте, они не банят сегодня, у них амнистия...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Koenig
Сообщения: 19
Зарегистрирован: 09 окт 2014, 14:11

Все это я читал неоднократно.
Я и не собирался для компов за роутером закрывать все, пускай они ходят в интернет, пока что, в дальнейшем интернет будет полностью закрыт для всех, кроме пары человек, тогда вступят в действие правила forward, которые у меня есть, я их просто не стал показывать и адрес лист у меня есть, в который я вношу компы которым не нужен интернет, у них работает лишь почта на внешнем сервере.
Все что я хотел, это помощи в виде правила или объяснения, почему я вижу снаружи порты которые не открывал.
Или возможного направления в сторону правильного решения.
Отправить у гуглу это самое простое решение, если бы я нашел там ответ на свой вопрос, я бы не пришел сюда.


Koenig
Сообщения: 19
Зарегистрирован: 09 окт 2014, 14:11

Разобрался вроде, в одном правиле косякнул.
Сейчас так
Поиск хоста
Сканирование...
Хост:внешний ip: порт :1723 (pptp) открыт
Сканирование закончено...
Что и требовалось.


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

У вас в последнем правиле дропа был icmp указан.
А вот к podarok66 у меня есть вопрос. Может я что-то упускаю, буду рад развеять свои заблуждения.
Зачем резать цепочку forward при такой или схожей ситуации?
1) За роутером все адреса натятся
2) Разрешены только established connections (ну можно еще related добавить)
Следовательно абстрактный запрос из-вне не может никак попасть в цепочку forward.
Получается это будет актуально, только если нет ната, нужно закрыть forward между подсетями (опять таки в отсутствии ната) или внешние адреса мапятся через микротик.
Или я не прав?


Koenig
Сообщения: 19
Зарегистрирован: 09 окт 2014, 14:11

plin2s писал(а):У вас в последнем правиле дропа был icmp указан.

Правильно, я таким образом запретил пинг снаружи. Или это неверно и его можно запретить другим образом?


Ответить