Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Pavko 05. 12. 2018, 00:12:24

Název: Mikrotik firewall
Přispěvatel: Pavko 05. 12. 2018, 00:12:24
Dobrý den, řeším jeden problém s firewallem na Mikrotiku. Potřebuji, aby z jedné IP adresy z vnitřního rozsahu (192.168.10.8) nebylo přístupné jiné zařízení na IP adrese (192.168.16.18). Nastavil jsem přes přes Winbox pravidlo: chain-forward, src-address 192.168.10.8, dst-address 192.168.16.18, action: drop. Nicméně vše prochází dále  bez omezení. První IP adresa je wifi, druhá na kabelu. Nemáte nějaký tip? Děkuji, Pavko.
Název: Re:Mikrotik firewall
Přispěvatel: snuff1987 05. 12. 2018, 06:57:30
Nuz.. tazko budete obmedzovat traffic na 3tej vrstve (routing), ked vase zariadenia sa kontaktuju cez 2 vrstvu (switch - MAC adresa)..
Takze riesenia su 3.

1.Private VLAN
2. Pridat subnet pre to 1 zariadenie, nastavit proper routing a potom sa bude matchovat Vase forward pravidlo.
3. Nastavit lokalny firewall na zariadeniach
Název: Re:Mikrotik firewall
Přispěvatel: Mufasa 05. 12. 2018, 09:09:24
Bez netmask nevieme ci ide o routing alebo switching.
Název: Re:Mikrotik firewall
Přispěvatel: anonym 05. 12. 2018, 09:12:31
Ve výchozím stavu na Mikrotik Routerboardech je Wifi v bridgi s vnitřní LAN. Chtělo by to obrázek nebo kousek konfigurace. Ale pokud je mezi WiFi a LAN bridge, tak FW pravidlo nepomůže.
Název: Re:Mikrotik firewall
Přispěvatel: Madmucho 05. 12. 2018, 09:31:38
Podle toho co tu čtu jde o routing mezi dvěma subnety.
je to požadavek na drop mezi dvěma podsítěma, patrně /24 takže pak požadavek jde na bránu.

Důležité je jak vypadá konfigurace, ale zkuste přesunout to drop pravidlo nahoru ve firewallovych pravidlech, aby to náhodou už nebylo někde dole, tam to nezafunguje.
Název: Re:Mikrotik firewall
Přispěvatel: samalama 05. 12. 2018, 09:47:29
Ale pokud je mezi WiFi a LAN bridge, tak FW pravidlo nepomůže.

ak povoli firewall na bridge, tak pomoze...
Název: Re:Mikrotik firewall
Přispěvatel: 5nik 05. 12. 2018, 09:47:50
Záleží, jestli mikrotik routuje mezi zmíněnými sítěmi, nebo je to switch (bridge) / AP po cestě.
V případě routeru by mělo fungovat zmíněné pravidlo (ještě záleží na předřazených pravidlech v chain FORWARD).
V případě bridge můžete použít pravidlo definované v sekci bridge, nebo zapněte volbu Use IP firewall a pak můžete použít pravidla v IP-firewall-filter i na provoz procházející skrze bridge.
Nejlepší by bylo sem hodit export konfigurace nebo alespoň upřesnit konfiguraci / zapojení.
Název: Re:Mikrotik firewall
Přispěvatel: matus 05. 12. 2018, 10:59:11
Pokud jsou LAN a WIFi v jednom bridge, tak se na jejich komunikaci ve vychozim stavu nepouziva Firewall (v ip->firewall).
Jsou 2 moznosti jak to omezit i bez VLAN a pod.:
1 - v Bridge->filter pridat drop pravidlo dle MAC adresy (tady nelze pouzit IP, pouze MAC)
2 - v Bridge->settings zapnout pouzivani IP Firewallu na komunikaci v bridge - s timto ale opatrne, v zavislosti na komplexnosti firewallu to muze zpusobit vyrazne zpomaleni toku dat
Název: Re:Mikrotik firewall
Přispěvatel: Pavko 05. 12. 2018, 14:23:31
Dobrý den, děkuji za názory, maska je /16, VLANy nemám.
Možnost číslo 3 nepřipadá v úvahu, ta zařízení nijak nastavit nejdou, nejsou to PC.
Můžete prosím popsat, jak zrealizovat volbu číslo 2, příp. VLAN?
Název: Re:Mikrotik firewall
Přispěvatel: Pavko 05. 12. 2018, 14:31:59
Nastavení je zde: https://ibb.co/k9PcwBf
Název: Re:Mikrotik firewall
Přispěvatel: Pavko 05. 12. 2018, 14:35:28
To jsem zkoušel, nefunguje.


Podle toho co tu čtu jde o routing mezi dvěma subnety.
je to požadavek na drop mezi dvěma podsítěma, patrně /24 takže pak požadavek jde na bránu.

Důležité je jak vypadá konfigurace, ale zkuste přesunout to drop pravidlo nahoru ve firewallovych pravidlech, aby to náhodou už nebylo někde dole, tam to nezafunguje.
Název: Re:Mikrotik firewall
Přispěvatel: gnat 05. 12. 2018, 14:44:28
A proč to nevyhodíš z bridge a neroutuješ to ?
Název: Re:Mikrotik firewall
Přispěvatel: Jenda 05. 12. 2018, 14:59:05
záložce Bridge je Filters

tam nastav stejná pravidla a hotovo

interface bridge filter add action=drop ..... atd
Název: Re:Mikrotik firewall
Přispěvatel: 5nik 05. 12. 2018, 15:02:42
záložce Bridge je Filters

tam nastav stejná pravidla a hotovo

interface bridge filter add action=drop ..... atd
Přesně tak: https://ibb.co/yXMvmBm
Název: Re:Mikrotik firewall
Přispěvatel: samalama 05. 12. 2018, 15:12:12
vzladom na

"Nastavení je zde: https://ibb.co/k9PcwBf"

sa na to radsej vykasli a/alebo si na to niekoho zavolaj, lebo aj ked sa ti to podari nastavit, tak na 100% to budes mat cele zle a aj s (bezpecnostnymi) chybami...
Název: Re:Mikrotik firewall
Přispěvatel: mojenervy 05. 12. 2018, 15:54:43
S nastavením v bridge to nemá nic společného.
Jak říká samalama - nechte si nastavit ...takhle tohle bude na týden.
Název: Re:Mikrotik firewall
Přispěvatel: Pavko 05. 12. 2018, 22:27:56
Dobrý den, chci si to nastavit sám, v mém okolí to nikdo neumí, takový jednooký král :-)

V bridge/filters mám toto: https://ibb.co/zZjDNq7




záložce Bridge je Filters

tam nastav stejná pravidla a hotovo

interface bridge filter add action=drop ..... atd
Přesně tak: https://ibb.co/yXMvmBm
Název: Re:Mikrotik firewall
Přispěvatel: 5nik 05. 12. 2018, 22:44:32
Tak tam přidejte to pravidlo, co jsme psali. Tušíte, co ta pravidla (co tam již máte) dělají (zahazují)? Evidentně přes ně nic nejde.
Název: Re:Mikrotik firewall
Přispěvatel: mojenervy 05. 12. 2018, 23:14:06
S nastavením v bridge to nemá nic společného, jen si tam naděláš další bordel.

V bridge-filters nemáš co nastavit, máš oddělené rozsahy adres. Smysl by to mělo jen kdyby wifi a lan měly stejný rozsah adres, to by trčely na společném bridge - to není tvůj případ.

Sítě na sebe normáně vidí, proto se musí zakazovat - oddělíš to třeba hromadně zákazem forward !wan->!wan na oba směry, nebo si ty adresy vyzobeš
.
Máš špatně nat, tím to proleze, když ho sundá filter. Maškarádu(Firewall->nat) si nastav jen na výstupní wan(ether1 nebo jak to máš).

Tohle je věštění z křišťálové koule - chtělo by to černého kocůra, kouli mám.
 
Název: Re:Mikrotik firewall
Přispěvatel: mojenervy 05. 12. 2018, 23:43:36
to tvoje

chain-forward, src-address 192.168.10.8, dst-address 192.168.16.18, action: drop

si nastav v Firewall-FilterRules - hned na začátek.

..až to bude blokovat, posuň si to dál, za skupinu

chain forward:
allow already established connections
allow related connections
drop invalid connections

...jestli to tam vůbec máš.

Název: Re:Mikrotik firewall
Přispěvatel: Pavko 05. 12. 2018, 23:48:49
Dobrý večer, když jsem dal pravidlo do Bridge/Filters přes srcMAC a dstMAC, tak to funguje OK - ze zařízení se src MAC adresou se na dst MAC nedostanu (chain: forward, action: drop), řídím to tedy přes MAC adresy a ne IP adresy, to už je vyšší vrstva.
Popis funkcí routeru: mám veřejnou IP adresu, NAT, DHCP server mám nastaven svázáním MAC adresy s IP adresami, přiřazuji IP adresy z rozsahu 192.168.1.0-192.168.254.254 + maska /16, pak mám jeden rozsah, který je přiřazen neznámým MAC adresám. Ve firewall NAT mám nastavené přiřazení portu ven s vnitřní IP adresou, do internetu jsem připojen přes interface sfp1 (optika).
Zajímá mě, jak by se to dalo vylepšit. například VLANy, apod. Děkuji všem za rady.


Tak tam přidejte to pravidlo, co jsme psali. Tušíte, co ta pravidla (co tam již máte) dělají (zahazují)? Evidentně přes ně nic nejde.
Název: Re:Mikrotik firewall
Přispěvatel: mojenervy 06. 12. 2018, 00:06:07
tuhle spartakiádu nějak nechápu - jaký je teď cíl? mám pocit, že se změnil.
Název: Re:Mikrotik firewall
Přispěvatel: MikyM 06. 12. 2018, 00:14:14
Dobrý den, chci si to nastavit sám, v mém okolí to nikdo neumí, takový jednooký král :-)
.....
....Zajímá mě, jak by se to dalo vylepšit. například VLANy, apod. Děkuji všem za rady.
Dobry den,
rady by byly ale tohle mi zavani tak trochu "parazitovanim" a zneuzivanim lidi tady.
Chcete si to nastavit sam to chapu a je to v poradku. Kazdy se obcas nekde zasekne proto je zde forum kde cloveka navedou.
Vy vsak uz poptavate reseni a nejlepe s dokumentaci...

Pokud tedy plati, ze si to chcete nastavit sam pak predpokladam i chut studovat.
https://mikrotik.com/mfm/books (https://mikrotik.com/mfm/books)
http://stevedischer.com/learn-routeros/ (http://stevedischer.com/learn-routeros/)
https://wiki.mikrotik.com/wiki/Main_Page (https://wiki.mikrotik.com/wiki/Main_Page)
https://forum.mikrotik.com/ (https://forum.mikrotik.com/)
Název: Re:Mikrotik firewall
Přispěvatel: Pavko 06. 12. 2018, 00:23:52
Původní dotaz je vyřešený. Chtěl jsem slyšet jen další náměty na vylepšení - proto jsem popsal současný stav -  nechtěl jsem návod na provedení konkrétní věci, jen mě zajímají vaše nápady, postřehy, příp. vylepšení bezpečnosti řešení. Asi jsem to měl napsat předtím ...
Název: Re:Mikrotik firewall
Přispěvatel: samalama 06. 12. 2018, 00:31:32
pokial si nevies nastavit ani blby fw, tak o vlan-y na mkt sa ani nepokusaj...
Název: Re:Mikrotik firewall
Přispěvatel: 5nik 06. 12. 2018, 09:41:30
Původní dotaz je vyřešený. Chtěl jsem slyšet jen další náměty na vylepšení - proto jsem popsal současný stav -  nechtěl jsem návod na provedení konkrétní věci, jen mě zajímají vaše nápady, postřehy, příp. vylepšení bezpečnosti řešení. Asi jsem to měl napsat předtím ...
Hodně záleží, na co / k čemu má ta síť sloužit. Jaké služby v ní poběží atd.
Např. by mě zajímalo, proč jste volil lokální síť s 16 bit. maskou. Plánujete provozovat 64K zařízení? Nebylo by lepší síť segmentovat do více VLAN s adresním prostorem odpovídající class C, kam spadá zvolený rozsah privátních IP? Nelze střílet rady či doporučení od boku, když nevíme okolnosti, dostupné aktivní prvky a jejich schopnosti.
Název: Re:Mikrotik firewall
Přispěvatel: Lol Phirae 06. 12. 2018, 10:00:39
Např. by mě zajímalo, proč jste volil lokální síť s 16 bit. maskou.

Čím víc adres, tím víc cool... Již několikrát jsem viděl inteligentní volbu 10.0.0.0/8, přičemž dotyční se pak hrozně divili, že jim došla RAM a nefunguje DHCP (https://source.isc.org/cgi-bin/gitweb.cgi?p=dhcp.git;a=commitdiff;h=653f509b526f8da2e918178a39b27d80be37f158).  ;D ::)

Taky je to hrozně praktické u různých VPN.
Název: Re:Mikrotik firewall
Přispěvatel: Pavko 06. 12. 2018, 10:12:25
Díky za tip, 256 IP adres nestačilo, tak jsem šel až do (cca) 65000. Zkusím si pohrát s VLANy s prostorem class C. Chci se zeptat, provozujete VLANy na Mikrotik zařízeních dlouhodoběji a fungují na nich bez problémů?
Jinak se na asi na 10 VPN připojuji bez problémů.


 
Původní dotaz je vyřešený. Chtěl jsem slyšet jen další náměty na vylepšení - proto jsem popsal současný stav -  nechtěl jsem návod na provedení konkrétní věci, jen mě zajímají vaše nápady, postřehy, příp. vylepšení bezpečnosti řešení. Asi jsem to měl napsat předtím ...
Hodně záleží, na co / k čemu má ta síť sloužit. Jaké služby v ní poběží atd.
Např. by mě zajímalo, proč jste volil lokální síť s 16 bit. maskou. Plánujete provozovat 64K zařízení? Nebylo by lepší síť segmentovat do více VLAN s adresním prostorem odpovídající class C, kam spadá zvolený rozsah privátních IP? Nelze střílet rady či doporučení od boku, když nevíme okolnosti, dostupné aktivní prvky a jejich schopnosti.
Název: Re:Mikrotik firewall
Přispěvatel: mojenervy 06. 12. 2018, 10:22:10
a mikrotik z toho půjde do kolen, protože tuhle partyzánštinu neutahne.
Název: Re:Mikrotik firewall
Přispěvatel: Lol Phirae 06. 12. 2018, 10:27:12
Díky za tip, 256 IP adres nestačilo, tak jsem šel až do (cca) 65000.

Krom /24 a /16 ještě mezi tím existují /23, /22, /21, /20, /19, /18 a /17.  :o
Název: Re:Mikrotik firewall
Přispěvatel: Jouda 06. 12. 2018, 10:28:21
A jakpak že se jmenuje ten ISP pro kterého toto spravujete? :-D
Název: Re:Mikrotik firewall
Přispěvatel: Jméno: 06. 12. 2018, 18:11:27
mikrotik s VLANy problem nema

jen se pridavam k doporuceni: prvni si neco nastuduj obecne o sitovani a potom primo o konfiguraci mktiku
urcite je vyhodnejsi udelat to napoprvy dobre nez to Xkrat predelavat. Pokud se ti do toho nechce tak bych si na to nekoho najmul
Název: Re:Mikrotik firewall
Přispěvatel: Pavko 06. 12. 2018, 23:16:06
Dobrý večer, děkuji všem za rady, jdu studovat a zkoušet. Ozvu se, až narazím ...
Název: Re:Mikrotik firewall
Přispěvatel: samalama 06. 12. 2018, 23:40:35
... bum :D
Název: Re:Mikrotik firewall
Přispěvatel: gnat 07. 12. 2018, 13:49:16
Tohle se dá jednoduše obejít tím, že ti podvrhne jinou MAC adresu. Doby, kdy MAC byla vypálena v ROMce jsou už dávno pryč. Nevěř ani MAC ani IP. Jediná ověřitelná informace je ze kterého rozhraní packet přišel.Pokud chceš někoho omezovat, musíš ho dát na dedikovaný interface.
Název: Re:Mikrotik firewall
Přispěvatel: Pavko 07. 12. 2018, 14:38:32
Dobrý den, v tomto případě to nejsou nijak "počítačově zdatní" lidé, ale děkuji za vysvětlení. Můj MikroTik router má jen 4 porty, resp. 5 :-(  Pavko.


Tohle se dá jednoduše obejít tím, že ti podvrhne jinou MAC adresu. Doby, kdy MAC byla vypálena v ROMce jsou už dávno pryč. Nevěř ani MAC ani IP. Jediná ověřitelná informace je ze kterého rozhraní packet přišel.Pokud chceš někoho omezovat, musíš ho dát na dedikovaný interface.
Název: Re:Mikrotik firewall
Přispěvatel: Martin 08. 12. 2018, 08:45:07
Zapnout v  bridge volbu firewall a pak se pravidlo v ip/firewall/filter uplatni.