Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Pavko 05. 12. 2018, 00:12:24
-
Dobrý den, řeším jeden problém s firewallem na Mikrotiku. Potřebuji, aby z jedné IP adresy z vnitřního rozsahu (192.168.10.8) nebylo přístupné jiné zařízení na IP adrese (192.168.16.18). Nastavil jsem přes přes Winbox pravidlo: chain-forward, src-address 192.168.10.8, dst-address 192.168.16.18, action: drop. Nicméně vše prochází dále bez omezení. První IP adresa je wifi, druhá na kabelu. Nemáte nějaký tip? Děkuji, Pavko.
-
Nuz.. tazko budete obmedzovat traffic na 3tej vrstve (routing), ked vase zariadenia sa kontaktuju cez 2 vrstvu (switch - MAC adresa)..
Takze riesenia su 3.
1.Private VLAN
2. Pridat subnet pre to 1 zariadenie, nastavit proper routing a potom sa bude matchovat Vase forward pravidlo.
3. Nastavit lokalny firewall na zariadeniach
-
Bez netmask nevieme ci ide o routing alebo switching.
-
Ve výchozím stavu na Mikrotik Routerboardech je Wifi v bridgi s vnitřní LAN. Chtělo by to obrázek nebo kousek konfigurace. Ale pokud je mezi WiFi a LAN bridge, tak FW pravidlo nepomůže.
-
Podle toho co tu čtu jde o routing mezi dvěma subnety.
je to požadavek na drop mezi dvěma podsítěma, patrně /24 takže pak požadavek jde na bránu.
Důležité je jak vypadá konfigurace, ale zkuste přesunout to drop pravidlo nahoru ve firewallovych pravidlech, aby to náhodou už nebylo někde dole, tam to nezafunguje.
-
Ale pokud je mezi WiFi a LAN bridge, tak FW pravidlo nepomůže.
ak povoli firewall na bridge, tak pomoze...
-
Záleží, jestli mikrotik routuje mezi zmíněnými sítěmi, nebo je to switch (bridge) / AP po cestě.
V případě routeru by mělo fungovat zmíněné pravidlo (ještě záleží na předřazených pravidlech v chain FORWARD).
V případě bridge můžete použít pravidlo definované v sekci bridge, nebo zapněte volbu Use IP firewall a pak můžete použít pravidla v IP-firewall-filter i na provoz procházející skrze bridge.
Nejlepší by bylo sem hodit export konfigurace nebo alespoň upřesnit konfiguraci / zapojení.
-
Pokud jsou LAN a WIFi v jednom bridge, tak se na jejich komunikaci ve vychozim stavu nepouziva Firewall (v ip->firewall).
Jsou 2 moznosti jak to omezit i bez VLAN a pod.:
1 - v Bridge->filter pridat drop pravidlo dle MAC adresy (tady nelze pouzit IP, pouze MAC)
2 - v Bridge->settings zapnout pouzivani IP Firewallu na komunikaci v bridge - s timto ale opatrne, v zavislosti na komplexnosti firewallu to muze zpusobit vyrazne zpomaleni toku dat
-
Dobrý den, děkuji za názory, maska je /16, VLANy nemám.
Možnost číslo 3 nepřipadá v úvahu, ta zařízení nijak nastavit nejdou, nejsou to PC.
Můžete prosím popsat, jak zrealizovat volbu číslo 2, příp. VLAN?
-
Nastavení je zde: https://ibb.co/k9PcwBf
-
To jsem zkoušel, nefunguje.
Podle toho co tu čtu jde o routing mezi dvěma subnety.
je to požadavek na drop mezi dvěma podsítěma, patrně /24 takže pak požadavek jde na bránu.
Důležité je jak vypadá konfigurace, ale zkuste přesunout to drop pravidlo nahoru ve firewallovych pravidlech, aby to náhodou už nebylo někde dole, tam to nezafunguje.
-
A proč to nevyhodíš z bridge a neroutuješ to ?
-
záložce Bridge je Filters
tam nastav stejná pravidla a hotovo
interface bridge filter add action=drop ..... atd
-
záložce Bridge je Filters
tam nastav stejná pravidla a hotovo
interface bridge filter add action=drop ..... atd
Přesně tak: https://ibb.co/yXMvmBm
-
vzladom na
"Nastavení je zde: https://ibb.co/k9PcwBf"
sa na to radsej vykasli a/alebo si na to niekoho zavolaj, lebo aj ked sa ti to podari nastavit, tak na 100% to budes mat cele zle a aj s (bezpecnostnymi) chybami...
-
S nastavením v bridge to nemá nic společného.
Jak říká samalama - nechte si nastavit ...takhle tohle bude na týden.
-
Dobrý den, chci si to nastavit sám, v mém okolí to nikdo neumí, takový jednooký král :-)
V bridge/filters mám toto: https://ibb.co/zZjDNq7
záložce Bridge je Filters
tam nastav stejná pravidla a hotovo
interface bridge filter add action=drop ..... atd
Přesně tak: https://ibb.co/yXMvmBm
-
Tak tam přidejte to pravidlo, co jsme psali. Tušíte, co ta pravidla (co tam již máte) dělají (zahazují)? Evidentně přes ně nic nejde.
-
S nastavením v bridge to nemá nic společného, jen si tam naděláš další bordel.
V bridge-filters nemáš co nastavit, máš oddělené rozsahy adres. Smysl by to mělo jen kdyby wifi a lan měly stejný rozsah adres, to by trčely na společném bridge - to není tvůj případ.
Sítě na sebe normáně vidí, proto se musí zakazovat - oddělíš to třeba hromadně zákazem forward !wan->!wan na oba směry, nebo si ty adresy vyzobeš
.
Máš špatně nat, tím to proleze, když ho sundá filter. Maškarádu(Firewall->nat) si nastav jen na výstupní wan(ether1 nebo jak to máš).
Tohle je věštění z křišťálové koule - chtělo by to černého kocůra, kouli mám.
-
to tvoje
chain-forward, src-address 192.168.10.8, dst-address 192.168.16.18, action: drop
si nastav v Firewall-FilterRules - hned na začátek.
..až to bude blokovat, posuň si to dál, za skupinu
chain forward:
allow already established connections
allow related connections
drop invalid connections
...jestli to tam vůbec máš.
-
Dobrý večer, když jsem dal pravidlo do Bridge/Filters přes srcMAC a dstMAC, tak to funguje OK - ze zařízení se src MAC adresou se na dst MAC nedostanu (chain: forward, action: drop), řídím to tedy přes MAC adresy a ne IP adresy, to už je vyšší vrstva.
Popis funkcí routeru: mám veřejnou IP adresu, NAT, DHCP server mám nastaven svázáním MAC adresy s IP adresami, přiřazuji IP adresy z rozsahu 192.168.1.0-192.168.254.254 + maska /16, pak mám jeden rozsah, který je přiřazen neznámým MAC adresám. Ve firewall NAT mám nastavené přiřazení portu ven s vnitřní IP adresou, do internetu jsem připojen přes interface sfp1 (optika).
Zajímá mě, jak by se to dalo vylepšit. například VLANy, apod. Děkuji všem za rady.
Tak tam přidejte to pravidlo, co jsme psali. Tušíte, co ta pravidla (co tam již máte) dělají (zahazují)? Evidentně přes ně nic nejde.
-
tuhle spartakiádu nějak nechápu - jaký je teď cíl? mám pocit, že se změnil.
-
Dobrý den, chci si to nastavit sám, v mém okolí to nikdo neumí, takový jednooký král :-)
.....
....Zajímá mě, jak by se to dalo vylepšit. například VLANy, apod. Děkuji všem za rady.
Dobry den,
rady by byly ale tohle mi zavani tak trochu "parazitovanim" a zneuzivanim lidi tady.
Chcete si to nastavit sam to chapu a je to v poradku. Kazdy se obcas nekde zasekne proto je zde forum kde cloveka navedou.
Vy vsak uz poptavate reseni a nejlepe s dokumentaci...
Pokud tedy plati, ze si to chcete nastavit sam pak predpokladam i chut studovat.
https://mikrotik.com/mfm/books (https://mikrotik.com/mfm/books)
http://stevedischer.com/learn-routeros/ (http://stevedischer.com/learn-routeros/)
https://wiki.mikrotik.com/wiki/Main_Page (https://wiki.mikrotik.com/wiki/Main_Page)
https://forum.mikrotik.com/ (https://forum.mikrotik.com/)
-
Původní dotaz je vyřešený. Chtěl jsem slyšet jen další náměty na vylepšení - proto jsem popsal současný stav - nechtěl jsem návod na provedení konkrétní věci, jen mě zajímají vaše nápady, postřehy, příp. vylepšení bezpečnosti řešení. Asi jsem to měl napsat předtím ...
-
pokial si nevies nastavit ani blby fw, tak o vlan-y na mkt sa ani nepokusaj...
-
Původní dotaz je vyřešený. Chtěl jsem slyšet jen další náměty na vylepšení - proto jsem popsal současný stav - nechtěl jsem návod na provedení konkrétní věci, jen mě zajímají vaše nápady, postřehy, příp. vylepšení bezpečnosti řešení. Asi jsem to měl napsat předtím ...
Hodně záleží, na co / k čemu má ta síť sloužit. Jaké služby v ní poběží atd.
Např. by mě zajímalo, proč jste volil lokální síť s 16 bit. maskou. Plánujete provozovat 64K zařízení? Nebylo by lepší síť segmentovat do více VLAN s adresním prostorem odpovídající class C, kam spadá zvolený rozsah privátních IP? Nelze střílet rady či doporučení od boku, když nevíme okolnosti, dostupné aktivní prvky a jejich schopnosti.
-
Např. by mě zajímalo, proč jste volil lokální síť s 16 bit. maskou.
Čím víc adres, tím víc cool... Již několikrát jsem viděl inteligentní volbu 10.0.0.0/8, přičemž dotyční se pak hrozně divili, že jim došla RAM a nefunguje DHCP (https://source.isc.org/cgi-bin/gitweb.cgi?p=dhcp.git;a=commitdiff;h=653f509b526f8da2e918178a39b27d80be37f158). ;D ::)
Taky je to hrozně praktické u různých VPN.
-
Díky za tip, 256 IP adres nestačilo, tak jsem šel až do (cca) 65000. Zkusím si pohrát s VLANy s prostorem class C. Chci se zeptat, provozujete VLANy na Mikrotik zařízeních dlouhodoběji a fungují na nich bez problémů?
Jinak se na asi na 10 VPN připojuji bez problémů.
Původní dotaz je vyřešený. Chtěl jsem slyšet jen další náměty na vylepšení - proto jsem popsal současný stav - nechtěl jsem návod na provedení konkrétní věci, jen mě zajímají vaše nápady, postřehy, příp. vylepšení bezpečnosti řešení. Asi jsem to měl napsat předtím ...
Hodně záleží, na co / k čemu má ta síť sloužit. Jaké služby v ní poběží atd.
Např. by mě zajímalo, proč jste volil lokální síť s 16 bit. maskou. Plánujete provozovat 64K zařízení? Nebylo by lepší síť segmentovat do více VLAN s adresním prostorem odpovídající class C, kam spadá zvolený rozsah privátních IP? Nelze střílet rady či doporučení od boku, když nevíme okolnosti, dostupné aktivní prvky a jejich schopnosti.
-
a mikrotik z toho půjde do kolen, protože tuhle partyzánštinu neutahne.
-
Díky za tip, 256 IP adres nestačilo, tak jsem šel až do (cca) 65000.
Krom /24 a /16 ještě mezi tím existují /23, /22, /21, /20, /19, /18 a /17. :o
-
A jakpak že se jmenuje ten ISP pro kterého toto spravujete? :-D
-
mikrotik s VLANy problem nema
jen se pridavam k doporuceni: prvni si neco nastuduj obecne o sitovani a potom primo o konfiguraci mktiku
urcite je vyhodnejsi udelat to napoprvy dobre nez to Xkrat predelavat. Pokud se ti do toho nechce tak bych si na to nekoho najmul
-
Dobrý večer, děkuji všem za rady, jdu studovat a zkoušet. Ozvu se, až narazím ...
-
... bum :D
-
Tohle se dá jednoduše obejít tím, že ti podvrhne jinou MAC adresu. Doby, kdy MAC byla vypálena v ROMce jsou už dávno pryč. Nevěř ani MAC ani IP. Jediná ověřitelná informace je ze kterého rozhraní packet přišel.Pokud chceš někoho omezovat, musíš ho dát na dedikovaný interface.
-
Dobrý den, v tomto případě to nejsou nijak "počítačově zdatní" lidé, ale děkuji za vysvětlení. Můj MikroTik router má jen 4 porty, resp. 5 :-( Pavko.
Tohle se dá jednoduše obejít tím, že ti podvrhne jinou MAC adresu. Doby, kdy MAC byla vypálena v ROMce jsou už dávno pryč. Nevěř ani MAC ani IP. Jediná ověřitelná informace je ze kterého rozhraní packet přišel.Pokud chceš někoho omezovat, musíš ho dát na dedikovaný interface.
-
Zapnout v bridge volbu firewall a pak se pravidlo v ip/firewall/filter uplatni.