Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Témata - martin1332

Stran: [1]
1
Sítě / Mikrotik a SYN flood útoky
« kdy: 05. 07. 2021, 18:32:30 »
Dobrý den,
na oficiální wiki Mikrotiku jsou tři jednoduchá pravidla jako prevence SYN flood útoků:
Kód: [Vybrat]
/ip firewall filter add chain=forward protocol=tcp tcp-flags=syn connection-state=new \
action=jump jump-target=SYN-Protect comment="SYN Flood protect" disabled=yes
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn limit=400,5 connection-state=new \
action=accept comment="" disabled=no
/ip firewall filter add chain=SYN-Protect protocol=tcp tcp-flags=syn connection-state=new \
action=drop comment="" disabled=no
První pravidlo nové forward syn pakety přehodí na druhé pravidlo, kde je limit / s, pokud vyhoví, tak accept, pokud nevyhoví, tak třetí pravidlo dropuje.
Vtipné je, že se to všude na internetu v návodech kopíruje i ze zakázaným prvním pravidlem a už bez původní poznámky, že se má místo 400 nastavit požadovaný limit potom první pravidlo povolit... jinak to nefunguje:-)
Zkusil jsem to použít a dát dopředu firewallu.

Hlavou mi ale vrtá to druhé pravidlo, které pakety pustí a už nejdou dalším zbytkem firewallu pod těmito třemi řádky. Narazil jsem na článek nějakého Rusa, kde právě toto také řeší. Místo forward dává input u prvního pravidla a místo accept dává return. Že prý se to tak vrátí k dalším pravidlům a puštěné pakety jdou ve firewallu dál. Podle něho je to prý důležité. Já si právě nejsem moc jistý, jestli to ten Rus dělá správně. Mám strach, že return to zacykluje v nějaké smyčce a input se mi moc nechce dávat, protože Mikrotik má už v defaultu pravidlo, že to dropuje všechno co přichází mimo LAN (tedy z WAN).... tudíž to dropuje třeba i požadavky na DNS zvenku a už není potřeba dávat port 53 drop atd...
Pokud to chápu správně, tak tato původní pravidla z wiki s forward fungují jenom na provoz z LAN do WAN (což ani nepotřebuji) a v případě z WAN do LAN to funguje jenom u přesměrovaných portů v NAT. Myslím si, že pokud příjdou "neznámé a špatné" pakety zvenku jako input, tak tato 3 pravidla na ně nefungují (není kam je přesměrovat) a jsou stejně dále ve firewallu zahozeny (viz drop všeho co není z LAN).

Uvažuji tak správně? Nemůže to druhé pravidlo s accept být nějakým ohrožením, když zmíněné pakety pustí a už neprocházejí dalším firewallem? Chápu, že při input by to byl velký problém... ale při forward? Dá se to ještě nějak jinak a lépe ochránit? Budu rád za všechny názory. A má to vůbec nějaký smysl? Beru to hlavně jako ochranu přesměrovaných portů. Mikrotik je na veřejné adrese. Používám jen IPV4. Balík IPV6 není ani nainstalován.
Děkuji

2
Sítě / Routerboard 750r2 "blikání" Firewall Address List
« kdy: 23. 04. 2021, 12:48:22 »
Dobrý den,
chtěl bych poprosit o radu znalce Mikrotiků, co znamená, když položky v address list ve firewallu "problikávají"? Resp. na cca 0,3 s se místo položek přidaných např. 22.4 zobrazí adresy přidané 11.4 atd. Takto problikává celý list až dolu. Zkoušel jsem googlovat v angličtině a nic jsem nenašel. Začalo to dělat po přidání asi 250. položky. Přidání dalších položek se to ale nijak nebrání, tak snad počet adres není ničím omezen??

Router je na remote místě a je za ním různá radioamaterská SDR a jiná technika. Přístup přes veřejnou IP. Na některé porty a zařízení se chci dostat z celého internetu na většinu portů ale jenom ze známých WAN IP adres. Proto mám nadefinovaný whitelist (tam jsou známé adresy ze kterých přistupuji na "chráněné porty" a do administrace routeru) a blacklist (do něj sypu škodlivé adresy-viz např. kontrola na abuseipdb, které se pokoušely podle logu připojit k těm "nechráněným" portům). Právě blacklist se docela dost plní...

Děkuji za nápady

Stran: [1]