Страница 1 из 1
Настрока FireWall
Добавлено: 31 мар 2018, 09:16
kreotoDr
Добрый день всем!
Первые шаги в сторону Микротика..
Настроил Фаер в основном по констультациям из инета..
1. Подскажите все ли корректно?
2. При такой схеме все закрыто из вне?
3. Нужно ли, то что закомментировал?
Код: Выделить всё
############################################################################
################ ip firewall filter rules 31/03/2018 ################
############################################################################
/ip firewall filter
### add chain=input protocol=icmp action=accert comment="Allow Ping"
### add chain=forward protocol=icmp action=accept comment="Allow Ping"
add action=accept chain=forward comment="Accept all established and related connections, forward chain" connection-state=established,related
add action=accept chain=input comment="Accept all established and related connections, input chain" connection-state=established,related
add action=drop chain=input comment="Drop invalid connections, input chain" connection-state=invalid in-interface=Wan_Port1
add action=drop chain=forward comment="Drop invalid connections, forward chain" connection-state=invalid in-interface=Wan_Port1
### Тут разрешаем другие входящие. Цепочка input пропускает/запрещает доступ к службам самого mikrotik
add chain=input src-address=192.168.0.0/24 action=accept comment="Access to Mikrotik from my local network"
add chain=input src-address=95.67.86.14 action=accept comment="Access to Mikrotik from my WAN network"
add chain=input src-address=93.183.211.66 action=accept comment="Access to Mikrotik from work network"
### add chain=forward src-address=192.168.0.0/24 in-interface=Wan_Port1 action=accept comment="Access to Internet from local network"
### add chain=input protocol=udp action=accept comment="Allow UDP"
### add chain=forward protocol=udp action=accept comment="Allow UDP"
### Тут разрешаем другие форварды. Цепочка forward - доступ к серверам внутри сети. цепочка output так же открыта по умолчанию, ее трогать не следует
add chain=forward action=accept protocol=tcp in-interface=Wan_Port1 dst-port=8099 comment="Access to qBitTirent Port:8099"
add chain=forward action=accept protocol=tcp in-interface=Wan_Port1 dst-port=21 comment="Access to FTP Port:21"
add action=drop chain=input comment="Drop All ports and protocols in input chain by default" in-interface=Wan_Port1
add action=drop chain=forward comment="Drop All ports and protocols in forward chain by default" in-interface=Wan_Port1
Re: Настрока FireWall
Добавлено: 01 апр 2018, 09:20
romsandj
ИМХО:
Нужно выбрать по какой схеме безопасности Вы будете настраивать МТ.
1) Всё запрещено, кроме того, что разрешено
2) Всё разрешено, кроме того, что запрещено
Нужно четко следовать одного из принципов. Смешивание не приемлимо.
Итак, по Вашим правилам. Я лично, начиная изучать МТ, естественно много гуглил... и пришел к выводу, что правилами фаервола достаточно настроить защиту "из-вне". Прописывать всевозможные правила на доступ из Вашей локальной сети в тырнет я не вижу смысла. А зачем? У Вас же нет запрета на доступ в тырнет всему из локалки!? Все исходящие запросы попадают под ветку established и related.
Если в краце, то достаточно 4 правил:
1) chain=input action=drop connection-state=invalid in-interface=Tel
2) chain=input action=accept connection-state=established,related in-interface=Tel
3) chain=forward action=accept connection-state=established,related in-interface=Tel
4) chain=input action=drop in-interface=Tel
-----------------------------------
Этого достаточно. Обращаю внимание, сперва идут все цепочки INPUT потом FORWARD, а в конце - drop всего на входе.
Ну и конечно же, если у Вас статика на входе, то тут придется прописывать защиту посложнее. (защиту от брутфорсов, сканеры портов и пр., прописывать пробросы портов в локалку и т.п.)
Re: Настрока FireWall
Добавлено: 02 апр 2018, 10:22
podarok66
Ох, вам обоим лучше немного почитать. Или хотя бы послушать. Вот у Дмитрия Скоромнова весьма неплохое видео. Сразу должно стать понятно, какая цепочка за что отвечает.
https://www.youtube.com/watch?v=3jMI14lDWRY&t=2722s
Re: Настрока FireWall
Добавлено: 04 апр 2018, 18:05
kreotoDr
Коллеги привет!
Уже достаточно долго слушаю советы, читаю мануалы, смотрю видео..
Формирую "конфиг моего МикроТика"..
Пару раз "показывал конфиг" знающим людям.. Слушал ответы, диаметрально противоположные..
Одним словом на сегодня собрал "рабочий конфиг", но не уверен, что все хорошо с вопросами безопасности в конфиге..
Вопрос, посмотреть отредактировать.. Готов отблагодарить денежно)))
Код: Выделить всё
# Исходные данные, цели, задачи:
# 1. Микротик получает Интернет по схеме Статический IP 92.19.86.12/25;
# 2. WiFi не востребован;
# 3. На Микротике используются три порта;
# 3.1 1й - WAN;
# 3.2 2й - Интернет под файловый сервер, торрент качалку (192.168.1.1);
# 3.3 3й - Интернет на роутер №2 (192.168.0.49);
# 4. Необходима переадресация FTP (21) на (192.168.1.1);
# 5. Необходим доступ из ВНЕ к роутеру №2 (192.168.0.49) на 8443 порт;
# 6. Необходим доступ из локальной сети к роутеру №2 (192.168.0.49) на 8443 порт;
# 7. Необходима переадресаций порта 8099 на (192.168.1.1);
# 8. Необходим доступ к микротику из WAN c Ip 93.183.211.0/24;
# 9. Необходим доступ к микротику из WAN c Ip 92.19.86.0/24;
/interface bridge
add fast-forward=no name=LAN_Bridge
/interface ethernet
set [ find default-name=ether2 ] disabled=yes name=Lan_Port2
set [ find default-name=ether3 ] disabled=yes name=Lan_Port3
set [ find default-name=ether5 ] name=Port1_to_InetServer
set [ find default-name=ether4 ] name=Port2_to_Router_Asus
set [ find default-name=ether1 ] name=WAN
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=HomeNET ranges=192.168.1.10-192.168.1.49
/ip dhcp-server
add address-pool=HomeNET disabled=no interface=LAN_Bridge name=server1
/interface bridge port
add bridge=LAN_Bridge interface=Port1_to_InetServer
add bridge=LAN_Bridge interface=Port2_to_Router_Asus
add bridge=LAN_Bridge interface=Wi-Fi_1
/interface bridge settings
set use-ip-firewall=yes
/ip address
add address=192.168.1.50/24 interface=LAN_Bridge network=192.168.1.0
add address=92.19.86.12/25 interface=WAN network=92.19.86.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.50 gateway=192.168.1.50 netmask=24
/ip dns set allow-remote-requests=yes servers=92.19.0.252,8.8.8.8
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward comment="Accept all established and related connections, forward chain" connection-state=established,related
add action=accept chain=input comment= "Drop invalid connections, input chain" connection-state=established,related
add action=drop chain=input comment="Drop invalid connections, input chain" connection-state=invalid in-interface=WAN log-prefix=DEF_DROP
add action=drop chain=forward comment="Drop invalid connections, forward chain" connection-state=invalid in-interface=WAN log-prefix=DEF_DROP
add chain=input comment="Access to Winbox from my WAN network Port:57572" dst-port=57572 in-interface=WAN protocol=tcp src-address=93.183.211.0/24
add chain=input comment="Access to Winbox from my Work network Port:57572" dst-port=57572 in-interface=WAN protocol=tcp src-address=92.19.86.0/24
add action=drop chain=input comment="Drop All ports and protocols in input chain by default" in-interface=WAN log-prefix=DEF_DROP
/ip firewall nat
add action=dst-nat chain=dstnat comment="**** Access to Router Asus Port:8443 ****" dst-port=8443 in-interface=WAN log=yes log-prefix=NAT_Router_Asus_WAN protocol=tcp to-addresses=192.168.1.49 to-ports=8443
add action=dst-nat chain=dstnat comment="**** Access to Router Asus Port:8443 ****" dst-port=8443 in-interface=LAN_Bridge log=yes log-prefix=NAT_Router_Asus_LAN protocol=tcp to-addresses=192.168.1.49 to-ports=8443
add action=dst-nat chain=dstnat comment="**** FTP to 192.168.1.1 ****" dst-port=21 in-interface=WAN log=yes log-prefix=NAT_FTP_WAN protocol=tcp to-addresses=192.168.1.1 to-ports=21
add action=dst-nat chain=dstnat comment="**** FTP to 192.168.1.1 ****" dst-port=21 in-interface=LAN_Bridge log=yes log-prefix=NAT_FTP_LAN protocol=tcp to-addresses=192.168.1.1 to-ports=21
add action=dst-nat chain=dstnat comment="**** qBitTorent to 192.168.1.1 ****" dst-port=8099 in-interface=WAN log=yes log-prefix=NAT_qBitTorent_WAN protocol=tcp to-addresses=192.168.1.1 to-ports=8099
add action=dst-nat chain=dstnat comment="**** qBitTorent to 192.168.1.1 ****" dst-port=8099 in-interface=LAN_Bridge log=yes log-prefix=NAT_qBitTorent_WAN protocol=tcp to-addresses=192.168.1.1 to-ports=8099
add action=masquerade chain=srcnat comment="**** MAIN NAT ****" src-address=192.168.1.0/24
/ip route
add distance=1 gateway=92.19.86.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox port=57572
set api-ssl disabled=yes
/ip upnp interfaces
add interface=WAN type=external
add interface=LAN_Bridge type=internal
Re: Настрока FireWall
Добавлено: 06 апр 2018, 10:54
o12k9ks
/del
Re: Настрока FireWall
Добавлено: 06 апр 2018, 11:33
kreotoDr
o12k9ks писал(а): ↑06 апр 2018, 10:54
Экстрасенсы уехали, поэтому опишите что конккретно вы хотите видеть в микротике и какова ваша рабочая схема? Для чего микротик? Какая сеть и т.д., вообще ничего не понятно.
1. Домашняя сеть, 5 проводных, 10 беспроводных
2. Цели №1 Микротик - раздача интернет на проводных
3. Цели №2 за микротиком Сервер FTP/Торент качалка
От Микротика, хочу видеть закрытую сеть от проникновения их вне, раздача интернета
Re: Настрока FireWall
Добавлено: 06 апр 2018, 21:01
o12k9ks
/del
Re: Настрока FireWall
Добавлено: 07 апр 2018, 10:00
kreotoDr
Спасибо. Информация весьма полезная...
Но написано, скажем так далеко не для новичка...
Я так понимаю, все изложенное в кой-то мере реализовано у Вас лично..
Можно ваш конфиг на:
/ip firewall filter
/ip firewall nat
Заранее признателен за помощь
Re: Настрока FireWall
Добавлено: 12 апр 2018, 17:33
romsandj
Вставлю свою 5 копеек.
1) Исходя из Исходных данных, у Вас написано, что нужно использовать 2,3 ethernet-порты, в конфиге у Вас используются 4,5 ethernet-порт, а 2,3 порты отключены (противоречие)
2) В Исходных данных дано на порт 2 подсеть 1.0/24, а на порт 3 подсеть 0.0/24. Однако в настройках /ip address Вы задаете адрес 192.168.1.50/24 на LAN_Bridge, в который включены эти 2 ethernet-порта. Тогда необходимо добавить еще один адрес на LAN_Bridge из подсети 0.0/24 (для связи с router Asus с адресом 192.168.0.49) Кстати, а почему 192.168.0.49 ? Этот адрес статически забит на WAN-порт роутера ASUS? Тогда может быть задать на ether3 адреса 192.168.0.50/30 ? Таким образом у Вас будет подсеть на 2 адреса - 192.168.0.50 и 192.168.0.49
3) Далее, в настройках pool Вы задали диапазон раздачи подсети 192.168.1.10-192.168.1.49 Тем самым подключив роутер Asus к 3 порту, DHCP-сервер микротика благополучно ему выдаст адрес из данного пула. А Вам нужен адрес из другой подсети. Значит роутер Asus нужно привязать по МАС-адресу и задать ему статический адрес (192.168.0.49)
4) В Исходных данный указано, что Wi-Fi не востребован. Однако в LAN_Bridge Вы его добавляете. Ну, возможно, сам интерфейс Wi-Fi Вы отключите, но я этого не увидел.
----------------
Теперь по Фаерволу:
5) В /ip firewall filter у Вас первым указано правило фасстрак chain=forward. Ок. Зачем тогда следом идет правило add action=accept chain=forward comment="Accept all established and related connections, forward chain" connection-state=established,related ?
6) Правилом Вы указали доступ на микротик "из вне" только из подсети 93.183.211.0/24 и еще одним правилом из подсети 92.19.86.0/24 Имейте ввиду, что если Вы попытаетесь, например, через ОПСОСа зайти, у Вас не получится. (ну например, Вы с ноутбуком за городом, и тут нужно срочно что то посмотреть, поправить...) В данном случае, если всё таки такое может быть, я бы не прописывал такое жесткое ограничение на доступ из определенных подсетей. Не ставил бы ограничение на src-address вообще. А для безопасности, прописал бы правила защиты от брутфорса (перебор паролей) по порту 57572 (Что это такое и с помощью каких правил это делается, в тырнете куча инфы)
7) В исходных данных указано - Необходима переадресация FTP (21) на (192.168.1.1)
В фаерволе открытого порта 21 я не увидел. Проброс порта в NAT есть, но в фаерволе сам порт не открыт. Работать не будет. Как известно протокол FTP использует и 20 порт. Советую открыть его. Так же рассмотрите пассивный режим, тут нужно открывать диапазон портов, в зависимости от настроек FTP-сервера
8) Исходные данные - Необходим доступ из ВНЕ к роутеру №2 (192.168.0.49) на 8443 порт;
В NAT проброс прописан (правда на адрес 192.168.1.49), в фаерволе открытости порта 8443 нет. Работать не будет.
9) Исходные данные - Необходим доступ из локальной сети к роутеру №2 (192.168.0.49) на 8443 порт; В NAT прописан проброс порта (а зачем?) Вы находитесь в своей локальной сети, зачем правило писать? Просто логинимся на адрес в локальной сети.
То же самое относиться и к пробросу FTP-порта для локалки.
10)Исходные данные - Необходима переадресаций порта 8099 на (192.168.1.1);
Тут не указано откуда переадресация? из вне? Тогда
В NAT проброс есть, в фаере порт не открыт. Работать не будет
11) В /ip route у Вас одна запись. А где маршрутизация между подсетями 1.0/24 и 0.0/24 ?
ПыСы: Прошу сильно не смеяться. Всего годик с небольшим домашнего опыта с микротиками и много чтения интернетов. Возможно, что то не так понял, или не так советую... не обессудьте.