Mikrotik / firewall

Karel@BP

Mikrotik / firewall
« kdy: 07. 01. 2018, 23:12:06 »
Přiznám se hned na začátku: jsem úplný začátečník, co se týče Mikrotiků, nemám už taky moc času něco detailně prozkoumávat.

Pořidil jsem si hAP lite (RouterBOARD 941-2nD, RouterOS 6.41), nechal v nastavení pro domácí router, na ether1 je pověšený pppoe-out1 (asi ho přejmenuju, protože out neoznačuje směr a mate mě to), pak mám v nastavení bridge a za ním ether2-4 a wlan1.

Mikrotik mi vyrobil následující pravidla pro firewall:

 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough
 1    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related
 2    ;;; defconf: accept established,related
      chain=forward action=accept connection-state=established,related
 3    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no
 4    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1 log=yes
 5    chain=input action=accept protocol=icmp
 6    chain=input action=accept connection-state=established
 7    chain=input action=accept connection-state=related
 8    chain=input action=drop in-interface=pppoe-out1 log=no

Čtu si nahlas: Fast track je nějaké zrychlení u známých spojení, budiž. Povoluje se propouštění skrz router u známých spojení, ale když to neznáme a chce to jít skrz, tak zahodit, ať už přijde odkudkoliv. Taky zahazovat, co přijde zvenku skrz ether1, tj. nezačalo ve vnitřní síti. No a pak povolujeme zvenku k routeru ICMP a známá spojení, ale zahodíme, co neznáme a přichází zvenku k routeru přes pppoe-out1.

Otázka číslo jedna: proč v pravidle č. 4 je zmíněný ether1 a v pravidle 8 pppoe-out1? Neměl bych to zahazovat už na ether1, když pppoe-out1 je interface navěšený na ether1? Nebo spíš naopak, v pravidle č. 4 mít pppoe-out1? Tenhle ppppoe-out1 je interface s IP adresou, ne ether1.
Otázka číslo dvě: kde logovat všechny nežádoucí spojení zvenku, abych věděl, že se skutečně zahazují správně? Ať už zkusím log=yes u pravidla 4 nebo 8, ukazuje se mi málo pokusů, ať mě to překvapuje. Mám na hraní ještě jedno starší Cisco, zapnutý ip inspect a vidím v logu mnohem víc bordelu.

Později bych měl ještě nějaké další dotazy.
Díky moc.


kolemjdouci

Re:Mikrotik / firewall
« Odpověď #1 kdy: 08. 01. 2018, 01:03:52 »
Ahoj,
predpokladam, ze mas VDSL a modem mas v rezimu bridge proto PPOE-out je tve WAN rozhrani, ktere vyuziva fyzickou vrstvu na ether1.

Otázka číslo jedna: proč v pravidle č. 4 je zmíněný ether1 a v pravidle 8 pppoe-out1? Neměl bych to zahazovat už na ether1, když pppoe-out1 je interface navěšený na ether1? Nebo spíš naopak, v pravidle č. 4 mít pppoe-out1? Tenhle ppppoe-out1 je interface s IP adresou, ne ether1.

- chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1 log=yes
Zahod vse co se pokousi dostat z ether1 na jiny interface bez ohledu na IP a nema navazano spojeni ze vnitrku site (related/established) nebo nespada do pravidel pro presmerovani portu. Zablokovat to komplet muze zpusobit problem s komunikaci mezi Mikrotikem a VDSL modemem.

-chain=input action=drop in-interface=pppoe-out1 log=no
Default pravidlo, co prijde z WAN a neni povoleno to je zakazano.

rozdil v techto pravidlech je prave chain: forward vs input

"
    input - used to process packets entering the router through one of the interfaces with the destination IP address which is one of the router's addresses. Packets passing through the router are not processed against the rules of the input chain
    forward - used to process packets passing through the router
    output - used to process packets originated from the router and leaving it through one of the interfaces. Packets passing through the router are not processed against the rules of the output chain
"


Otázka číslo dvě: kde logovat všechny nežádoucí spojení zvenku, abych věděl, že se skutečně zahazují správně? Ať už zkusím log=yes u pravidla 4 nebo 8, ukazuje se mi málo pokusů, ať mě to překvapuje. Mám na hraní ještě jedno starší Cisco, zapnutý ip inspect a vidím v logu mnohem víc bordelu.

Nejjednodussi je se kouknout na packet count u jednotlivych pravidel ale logovat vse je docela zatez na takoveto low end zarizeni a zbytecne. U pravidla 4 je podle me log zapnuty jen z duvodu reseni potizi. Pokud jsi zvedavy co se deje pak si spust nastroj Torch nad danym rozhranim. Nevim zda mas opravdu VDSL ale pokud ano pak nejspise nemas verejnou IP takze delas NAT pred dalsim NATem u sveho ISP. V tomto pripade toho nema moc co prijit z venku.

Jeste k volbe log:
*log - add a message to the system log containing following data: in-interface, out-interface, src-mac, protocol, src-ip:port->dst-ip:port and length of the packet. After packet is matched it is passed to next rule in the list

Jsem take amater takze veskere info bez zaruky :-)

Edit admin: Necitujte celé příspěvky nad sebou, zhoršuje to čitelnost.
« Poslední změna: 08. 01. 2018, 08:50:52 od Petr Krčmář »

kolemjdouci

Re:Mikrotik / firewall
« Odpověď #2 kdy: 08. 01. 2018, 04:35:26 »
Jeste par veci:
Nebo spíš naopak, v pravidle č. 4 mít pppoe-out1? Tenhle ppppoe-out1 je interface s IP adresou, ne ether1.

1) Soucasne nastaveni tedy ether1 v pravidle c. 4 a pppoe-out1 v c.8 je dle meho nazoru spravne. Mikrotiku pravidlo c.4 umoznuje navazat PPOE spojeni na ether1 a data z tohoto spojeni predavat/forwardovat na interface ppppoe-out1.

2) Pokud jsi Mikrotik nakonfiguroval pomoci winbox a vyuzil funkci quickset, kde jsi vybral moznost Home AP, vyplnil zakladni veci okolo WiFi,DHCP a predevsim zaskrtl moznost Firewall Router tak jsi dostal vygenerovanu sadu zakladni pravidel tzv. "good enough". Vetsine lidi to staci ale poskytuje to jen zakladni ochranu.
Z meho pohledu bych tam hned na zacatku pridal jeste pravidlo explicitne zakazujici SMB (windows sharing) a to jak z LAN do WAN tak z WAN do LAN.

Vice informaci:
https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

PetrC

Re:Mikrotik / firewall
« Odpověď #3 kdy: 08. 01. 2018, 11:10:51 »
 Karel@BP, aký používaš VDSL modem bez routera (s vypnutým routingom)?

Potreboval by som to nastaviť rovnako ale nenašiel som žiadny rozumný hardvér.

kolemjdouci

Re:Mikrotik / firewall
« Odpověď #4 kdy: 08. 01. 2018, 11:51:40 »
Karel@BP, aký používaš VDSL modem bez routera (s vypnutým routingom)?

Potreboval by som to nastaviť rovnako ale nenašiel som žiadny rozumný hardvér.
Tohle umel snad kazdy VDSL/ADSL modem dodavany u nas v CR od operatora.

Aktualni informace jsou zde jak pro CR tak SK https://forum.root.cz/index.php?topic=14061.0

Nejzajimaveji je tam zminka o SFP VDSL modulu https://www.versatek.com/product/vx-160kit-vdsl2-sfp-modems-co-rt/


PetrC

Re:Mikrotik / firewall
« Odpověď #5 kdy: 08. 01. 2018, 16:33:49 »
Karel@BP, aký používaš VDSL modem bez routera (s vypnutým routingom)?

Potreboval by som to nastaviť rovnako ale nenašiel som žiadny rozumný hardvér.
Tohle umel snad kazdy VDSL/ADSL modem dodavany u nas v CR od operatora.

Aktualni informace jsou zde jak pro CR tak SK https://forum.root.cz/index.php?topic=14061.0

Nejzajimaveji je tam zminka o SFP VDSL modulu https://www.versatek.com/product/vx-160kit-vdsl2-sfp-modems-co-rt/

Dik za link, ja som totižto schytal zrovna taký, ktorý nevie robiť bridge (naozaj) :D

Karel@BP

Re:Mikrotik / firewall
« Odpověď #6 kdy: 08. 01. 2018, 22:29:10 »
Díky za odpovědi.

Ty pravidla tedy můžu chápat tak, že se v pravidle č. 4 podívám, co chce projít routerem (forward), a když je to známé spojení a přichází na vnější interface (ether1), tak to propustím dál. A teprve v pravidle č. 8 zakážu přístup zvenku na pppoe-out1, což je vlastně vnitřní interface routeru (input). To mi dává smysl.

Nicméně… ty chainy jsou na sobě úplně nezávislé? A na pořadí pravidel záleží jen v rámci daného chainu? Jak už jsem zmínil, ether1 je, jak to chápu, svým způsobem vnější interface a pppoe-out1 vnitřní. Mohlo by se teoreticky změnit chování, kdyby byly pravidla pro input chain před forward chainem? Nebo ne? Ty definice, co který chain dělá, mi nepřijdou úplně jednoznačné.

Pak malé doplnění: žádný modem nemám, Digi.hu tady tahá ethernet v mědi do bytů. Jednoho dne přišel chlápek s vrtačkou a kabelem na cívce…

kolemjdouci

Re:Mikrotik / firewall
« Odpověď #7 kdy: 09. 01. 2018, 20:04:58 »
Pravidla ve FW se uplatnuji dle sveho poradi a zalezi na nich zvlaste pokud jsou moc obecna a Ty se rozhodnes definovat neco slozitejsiho. Pokud by jsi prohodil pravidlo c.4 s c.8 tak dle meho nazoru navazes spojeni ale Internet nepojede protoze vsechno z PPOE zahodis a povolujici pravidla c. 5,6,7 se neaplikuji na PPOE rozhrani.

Tvuj pohled na PPOE jako vnitrni rozhrani chapu, bezi jako logicke rozhrani uvnitr routeru ale rozdeleni na vnitrni cast site (LAN) a externi (WAN) si urcis az nastavenim pravidel a nejen tech ve FW.

Mrkni na diagramy packet flow na wiki od mikrotiku. Ukazuje to nekolik prikladu, jakou vnitrni logikou se to ridi a vnasi trochu svetla do chain definice:

https://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow

Medo

Re:Mikrotik / firewall
« Odpověď #8 kdy: 10. 01. 2018, 13:39:19 »
Karel@BP, aký používaš VDSL modem bez routera (s vypnutým routingom)?

Potreboval by som to nastaviť rovnako ale nenašiel som žiadny rozumný hardvér.

Napr. Zyxel VMG1312-B s novym firmwarom, vyziadanym od Zyxel support CZ/SK ....
Alebo ASUSy... (N16 atd) ...