Видны порты снаружи, VPN работает всегда.

Обсуждение оборудования и его настройки
Koenig
Сообщения: 19
Зарегистрирован: 09 окт 2014, 14:11

Добрый день.
Ситуация следующая, имеем микротик RB2011UIAS-2HnD. Все настроено и работает, но при сканировании снаружи я вижу открытыми порты
Not shown: 991 closed ports, 3 filtered ports
PORT STATE SERVICE
53/tcp open domain
1723/tcp open pptp
2000/tcp open callbook
5900/tcp open vnc
8080/tcp open http-proxy
8291/tcp open unknown
Если порт vpn и vnc я открыл сам, то остальные без моего желания видны в интернете.
Стал менять правила firewall, крутил - вертел, порты открыты.
Решил закрыть для экспериментов порт 1723, так вот он вообще не закрывается и я без правила nat и firewall могу подключиться по vpn к роутеру.
VPN перестает работать только если я выключаю pptp сервер.
Перечитал кучу мануалов и инструкций, ничего не помогает.

 конфиг
[administrator@MikroTik] > /export compact
# oct/09/2014 13:59:23 by RouterOS 6.20
# software id = H2CK-BP5L
#
/interface bridge
add mtu=1500 name=bridge2
add mtu=1500 name=bridge10
/interface ethernet
set [ find default-name=ether1 ] comment=WAN name=ether1-gateway
set [ find default-name=ether2 ] comment="LAN 2-5" name=ether2-master-local
set [ find default-name=ether3 ] master-port=ether2-master-local
set [ find default-name=ether6 ] comment="LAN 6-10" name=ether6-master-local
set [ find default-name=ether8 ] master-port=ether6-master-local
/ip neighbor discovery
set ether1-gateway comment=WAN
set ether2-master-local comment="LAN 2-5"
set ether6-master-local comment="LAN 6-10"
/interface vlan
add comment="Internet ot YUP" interface=ether1-gateway l2mtu=1594 name=Vlan306 \
vlan-id=306
add comment="Guest lan" interface=ether1-gateway l2mtu=1594 name=vlan2 vlan-id=\
2
add comment="Inet in lan" interface=ether1-gateway l2mtu=1594 name=vlan10 \
vlan-id=10
/ip neighbor discovery
set Vlan306 comment="Internet ot YUP"
set vlan2 comment="Guest lan"
set vlan10 comment="Inet in lan"
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=profile1 supplicant-identity="" \
wpa-pre-shared-key=********** wpa2-pre-shared-key=**********
add authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=\
tkip,aes-ccm management-protection=allowed mode=dynamic-keys name=Guest \
supplicant-identity="" unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=\
houseamber wpa2-pre-shared-key=houseamber
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
band=2ghz-onlyn channel-width=20/40mhz-ht-above comment=WI-FI country=\
russia distance=indoors frequency-mode=regulatory-domain \
ht-ampdu-priorities=0,7 ht-guard-interval=long hw-protection-mode=rts-cts \
hw-retries=15 l2mtu=2290 mode=ap-bridge periodic-calibration=enabled \
periodic-calibration-interval=10 security-profile=profile1 ssid=YD \
wireless-protocol=802.11 wmm-support=enabled
add disabled=no mac-address=4E:5E:0C:27:E1:83 master-interface=wlan1 name=wlan2 \
security-profile=Guest ssid=GuestYD wds-cost-range=0 wds-default-cost=0
/ip neighbor discovery
set wlan1 comment=WI-FI
/interface wireless nstreme
set wlan1 comment=WI-FI
/interface wireless manual-tx-power-table
set wlan1 comment=WI-FI
/ip firewall layer7-protocol
add name=social regexp="^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook\
|fall-in-love|loveplanet|my.mail.ru|ok.ru).*\$"
/ip pool
add name=dhcp_pool ranges=192.168.0.121-192.168.0.254
add name=dhcp_vlan2 ranges=192.168.10.2-192.168.10.254
add name=dhcp_pool3 ranges=192.168.4.2-192.168.4.254
/ip dhcp-server
add address-pool=dhcp_pool lease-time=3d name=dhcp
add address-pool=dhcp_vlan2 disabled=no interface=bridge2 lease-time=3d name=\
dhcp_vlan2
add address-pool=dhcp_pool3 disabled=no interface=wlan2 lease-time=3d name=\
dhcp1
/port
set 0 name=serial0
/ppp profile
set 1 bridge=bridge10
/interface pppoe-client
add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 \
default-route-distance=1 dial-on-demand=no disabled=no interface=Vlan306 \
keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=1600 name=SZT password=\
szt profile=default service-name="" use-peer-dns=yes user=szt
/ip neighbor discovery
set SZT discover=no
/queue simple
add comment="Ogranichenie dlya guest lan" max-limit=1M/1M name="guest vlan2" \
target=192.168.10.0/24
add comment="Ogranichenie dlya guest lan" max-limit=1M/1M name=queue1 target=\
192.168.4.0/24

/queue type
set 0 kind=sfq
set 9 kind=sfq
/system logging action
set 1 disk-file-name=log
set 2 remember=yes
set 3 src-address=0.0.0.0
/interface bridge port
add bridge=bridge10 comment="Work wi-fi mikrotik" interface=wlan1
add disabled=yes interface=sfp1
add bridge=bridge10 disabled=yes interface=ether1-gateway
add bridge=bridge2 interface=vlan2
add bridge=bridge10 interface=vlan10
add bridge=bridge10 disabled=yes interface=ether2-master-local
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=\
yes
/interface pppoe-server server
add disabled=no interface=ether1-gateway max-mru=1480 max-mtu=1480 mrru=1600 \
service-name=service1
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.0.100/24 comment="IP LAN Houseamber" interface=bridge10 \
network=192.168.0.0
add address=192.168.10.1/24 comment="IP guest lan dlink" interface=bridge2 \
network=192.168.10.0
add address=192.168.4.1/24 comment="IP guest lan mikrotik" interface=wlan2 \
network=192.168.4.0
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.100,78.36.207.130 gateway=\
192.168.0.100
add address=192.168.4.0/24 gateway=192.168.4.1
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 \
netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.0.102 name=DC
/ip firewall address-list
add address=192.168.0.0/24 comment="Blokirovka social setey" disabled=yes list=\
CU_BLOCK_SOCIAL
add address=192.168.0.139 comment="Net ineta no pochta rabotaet" disabled=yes \
list="NO INTERNET"
/ip firewall filter
add chain=forward comment="Pochta pri otsutstvii interneta" dst-port=110 \
protocol=tcp src-address-list="NO INTERNET"
add chain=forward dst-port=25 protocol=tcp src-address-list="NO INTERNET"
add chain=forward dst-port=465 protocol=tcp src-address-list="NO INTERNET"
add chain=forward dst-port=993 protocol=tcp src-address-list="NO INTERNET"
add chain=input comment="Vkl VPN po PPTP" connection-state=new disabled=yes \
dst-port=1723 in-interface=SZT protocol=tcp
add chain=input disabled=yes protocol=gre
add chain=input comment="Dostup mikrotik" connection-state=new disabled=yes \
dst-port=8291 protocol=tcp src-address=192.168.0.0/22
add chain=input connection-state=new disabled=yes dst-port=8080 protocol=tcp \
src-address=192.168.0.0/22
add action=drop chain=input connection-state=invalid
add chain=input connection-state=established
add chain=input protocol=udp
add chain=input protocol=icmp
add chain=input src-address=192.168.0.0/24
add chain=forward connection-state=invalid protocol=tcp
add chain=forward connection-state=established
add chain=forward connection-state=related
add action=drop chain=forward comment="\C1\EB\EE\EA\E8\F0\F3\E5\EC IP \E0\E4\F0\
\E5\F1\E0 \E2\FB\E7\FB\E2\E0\FE\F9\E8\E5 bogons" src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=jump chain=forward comment=\
"\EF\E5\F0\E5\F5\EE\E4 \E2 \ED\EE\E2\FB\E5 \F6\E5\EF\EE\F7\EA\E8" \
jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add action=drop chain=tcp comment="tcp \EF\F0\E0\E2\E8\EB\E0 \E2 \F6\E5\EF\EE\F7\
\EA\E5 tcp \E8 \E7\E0\EF\F0\E5\F2\E8\EC \ED\E5\EA\EE\F2\EE\F0\FB\E5 tcp \EF\
\EE\F0\F2\FB deny TFTP" dst-port=69 protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 protocol=\
tcp
add action=drop chain=tcp dst-port=135 protocol=tcp
add action=drop chain=tcp comment="deny NBT" disabled=yes dst-port=137-139 \
protocol=tcp
add action=drop chain=tcp comment="deny cifs" disabled=yes dst-port=445 \
protocol=tcp
add action=drop chain=tcp comment="deny NFS" dst-port=2049 protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 protocol=\
tcp
add action=drop chain=tcp dst-port=20034 protocol=tcp
add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 protocol=\
tcp
add action=drop chain=tcp comment="deny DHCP" dst-port=67-68 protocol=tcp
add action=drop chain=udp comment="\C7\E0\EF\F0\E5\F2\E8\EC udp \EF\EE\F0\F2\FB \
\E2 \F6\E5\EF\EE\F7\EA\E5 udp deny TFTP" dst-port=69 protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 protocol=\
udp
add action=drop chain=udp dst-port=135 protocol=udp
add action=drop chain=udp comment="deny NBT" dst-port=137-139 protocol=udp
add action=drop chain=udp comment="deny NFS" dst-port=2049 protocol=udp
add action=drop chain=udp comment="deny\r\
\nBackOriffice" dst-port=3133 protocol=udp
add chain=icmp comment="\D0\E0\E7\F0\E5\F8\E8\EC \ED\E5\EE\E1\F5\EE\E4\E8\EC\FB\
\E5 icmp \EA\EE\E4\FB \E2 icmp \F6\E5\EF\EE\F7\EA\E5" icmp-options=0:0 \
protocol=icmp
add chain=icmp icmp-options=3:0 protocol=icmp
add chain=icmp icmp-options=3:1 protocol=icmp
add chain=icmp icmp-options=4:0 protocol=icmp
add chain=icmp icmp-options=8:0 protocol=icmp
add chain=icmp icmp-options=11:0 protocol=icmp
add chain=icmp icmp-options=12:0 protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=SZT
add action=masquerade chain=srcnat disabled=yes out-interface=SZT src-address=\
192.168.10.0/24
add action=masquerade chain=srcnat disabled=yes out-interface=SZT src-address=\
192.168.4.0/24
add action=netmap chain=dstnat comment="Port RDP on 192.168.0.103" disabled=yes \
dst-port=3389 in-interface=SZT protocol=tcp to-addresses=192.168.0.103 \
to-ports=3389
add action=netmap chain=dstnat comment="Linia web 9786" disabled=yes dst-port=\
9786 in-interface=SZT protocol=tcp to-addresses=192.168.0.1 to-ports=9786
add chain=dstnat comment="Port VPN" disabled=yes dst-port=1723 in-interface=SZT \
protocol=tcp to-addresses=192.168.0.100 to-ports=1723
add action=netmap chain=dstnat comment="VNC \ED\E0 103" disabled=yes dst-port=\
5900 in-interface=SZT protocol=tcp to-addresses=192.168.0.103 to-ports=5900
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip ipsec policy
set (unknown) dst-address=0.0.0.0/0 src-address=0.0.0.0/0
/ip proxy
set cache-path=web-proxy1
/ip route rule
add action=unreachable dst-address=192.168.10.0/24 src-address=192.168.0.0/24
add action=unreachable dst-address=192.168.0.0/24 src-address=192.168.10.0/24
add action=unreachable dst-address=192.168.4.0/24 src-address=192.168.0.0/24
/ip service
set telnet disabled=yes
set ftp address=192.168.0.0/24 disabled=yes port=8291
set www address=192.168.0.0/22 port=8080
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.0.0/22
set api-ssl disabled=yes
/ip smb users
add name=user1 password=123 read-only=no
/ip upnp
set allow-disable-external-interface=no
/lcd
set backlight-timeout=never default-screen=interfaces read-only-mode=yes
/ppp secret
add local-address=192.168.3.1 name=******** password=******** remote-address=\
192.168.3.2 service=pptp
add local-address=192.168.3.1 name=******** password=******** remote-address=\
192.168.3.3 service=pptp
/snmp
set trap-community=public
/system clock
set time-zone-name=Europe/Minsk
/system clock manual
set time-zone=+03:00
/system ntp client
set enabled=yes primary-ntp=95.104.193.195 secondary-ntp=91.206.16.3
/tool graphing interface
add interface=SZT
add interface=bridge10
add interface=bridge2
add interface=ether1-gateway
add interface=vlan10
/tool graphing resource
add
/tool mac-server
set [ find default=yes ] disabled=yes
add
/tool mac-server mac-winbox
[admin
istrat
or@Mik
roTik]
[administrator@MikroTik] >


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Потому что по умолчанию разрешено все, что не запрещено.В вашей горе ненужных правил я не заметил запрещающего.


Koenig
Сообщения: 19
Зарегистрирован: 09 окт 2014, 14:11

plin2s писал(а):Потому что по умолчанию разрешено все, что не запрещено.В вашей горе ненужных правил я не заметил запрещающего.

К сожалению с микротиком я столкнулся впервые, правила брал из интернета, поэтому прошу помощи.
Если не сложно, то скажите какие правила нужно создать, а какие удалить.
Спасибо.


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Я делаю довольно незамысловатую конструкцию:
1) сначала правило разрешающее подключение к winbox, для того чтобы не потерять управление

Код: Выделить всё

add action=accept chain=input comment="Allow Winbox" disabled=no dst-port=8291 protocol=tcp

2) потом разрешение для всех соединений, установленных с моей стороны

Код: Выделить всё

add action=accept chain=input comment="Allow Established connections" connection-state=established disabled=no

2) затем запрет для всего входящего трафика на внешнем интерфейсе

Код: Выделить всё

add action=drop chain=input comment="Just DROP" disabled=no in-interface=pppoe-out1


Далее можно добавлять разрешающие правила по мере надобности.


Koenig
Сообщения: 19
Зарегистрирован: 09 окт 2014, 14:11

Если я сейчас добавлю последнее правило у меня народ не отвалится?


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Смотря что вы имеете в виду под "народ не отвалится".


Koenig
Сообщения: 19
Зарегистрирован: 09 окт 2014, 14:11

Интернет не отключится у народа до тех пор, пока я разрешающие правила не добавлю?


plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

Интернет не должен. Vpn, если он на самом микротике, отвалится. И я бы не советовал эксперементировать в рабочее время, если вы не знаете что делаете. И уж тем более не советовал бы копипастить не думая.


Koenig
Сообщения: 19
Зарегистрирован: 09 окт 2014, 14:11

Итак каждый вечер остаюсь, пытаясь разобраться. Такое уж хозяйство неведомое досталось.
Просканировал порты, вижу теперь такую картинку
Not shown: 999 filtered ports
PORT STATE SERVICE
8291/tcp open unknown
Nmap done: 1 IP address (1 host up) scanned in 24.09 seconds


Koenig
Сообщения: 19
Зарегистрирован: 09 окт 2014, 14:11

Теперь, как я понимаю, нужно добавлять разрешающие правила, которые будут выше запрещающего и открывать нужные порты через нат.
А что б винбокс не отсвечивал наружу, нужно задать диапазон из которого с ним можно работать, так?


Ответить