Mikrotik firewall

Pavko

Mikrotik firewall
« kdy: 05. 12. 2018, 00:12:24 »
Dobrý den, řeším jeden problém s firewallem na Mikrotiku. Potřebuji, aby z jedné IP adresy z vnitřního rozsahu (192.168.10.8) nebylo přístupné jiné zařízení na IP adrese (192.168.16.18). Nastavil jsem přes přes Winbox pravidlo: chain-forward, src-address 192.168.10.8, dst-address 192.168.16.18, action: drop. Nicméně vše prochází dále  bez omezení. První IP adresa je wifi, druhá na kabelu. Nemáte nějaký tip? Děkuji, Pavko.


Re:Mikrotik firewall
« Odpověď #1 kdy: 05. 12. 2018, 06:57:30 »
Nuz.. tazko budete obmedzovat traffic na 3tej vrstve (routing), ked vase zariadenia sa kontaktuju cez 2 vrstvu (switch - MAC adresa)..
Takze riesenia su 3.

1.Private VLAN
2. Pridat subnet pre to 1 zariadenie, nastavit proper routing a potom sa bude matchovat Vase forward pravidlo.
3. Nastavit lokalny firewall na zariadeniach
« Poslední změna: 05. 12. 2018, 06:59:12 od snuff1987 »

Mufasa

Re:Mikrotik firewall
« Odpověď #2 kdy: 05. 12. 2018, 09:09:24 »
Bez netmask nevieme ci ide o routing alebo switching.

anonym

Re:Mikrotik firewall
« Odpověď #3 kdy: 05. 12. 2018, 09:12:31 »
Ve výchozím stavu na Mikrotik Routerboardech je Wifi v bridgi s vnitřní LAN. Chtělo by to obrázek nebo kousek konfigurace. Ale pokud je mezi WiFi a LAN bridge, tak FW pravidlo nepomůže.

Madmucho

Re:Mikrotik firewall
« Odpověď #4 kdy: 05. 12. 2018, 09:31:38 »
Podle toho co tu čtu jde o routing mezi dvěma subnety.
je to požadavek na drop mezi dvěma podsítěma, patrně /24 takže pak požadavek jde na bránu.

Důležité je jak vypadá konfigurace, ale zkuste přesunout to drop pravidlo nahoru ve firewallovych pravidlech, aby to náhodou už nebylo někde dole, tam to nezafunguje.


samalama

Re:Mikrotik firewall
« Odpověď #5 kdy: 05. 12. 2018, 09:47:29 »
Ale pokud je mezi WiFi a LAN bridge, tak FW pravidlo nepomůže.

ak povoli firewall na bridge, tak pomoze...

5nik

Re:Mikrotik firewall
« Odpověď #6 kdy: 05. 12. 2018, 09:47:50 »
Záleží, jestli mikrotik routuje mezi zmíněnými sítěmi, nebo je to switch (bridge) / AP po cestě.
V případě routeru by mělo fungovat zmíněné pravidlo (ještě záleží na předřazených pravidlech v chain FORWARD).
V případě bridge můžete použít pravidlo definované v sekci bridge, nebo zapněte volbu Use IP firewall a pak můžete použít pravidla v IP-firewall-filter i na provoz procházející skrze bridge.
Nejlepší by bylo sem hodit export konfigurace nebo alespoň upřesnit konfiguraci / zapojení.

matus

Re:Mikrotik firewall
« Odpověď #7 kdy: 05. 12. 2018, 10:59:11 »
Pokud jsou LAN a WIFi v jednom bridge, tak se na jejich komunikaci ve vychozim stavu nepouziva Firewall (v ip->firewall).
Jsou 2 moznosti jak to omezit i bez VLAN a pod.:
1 - v Bridge->filter pridat drop pravidlo dle MAC adresy (tady nelze pouzit IP, pouze MAC)
2 - v Bridge->settings zapnout pouzivani IP Firewallu na komunikaci v bridge - s timto ale opatrne, v zavislosti na komplexnosti firewallu to muze zpusobit vyrazne zpomaleni toku dat

Pavko

Re:Mikrotik firewall
« Odpověď #8 kdy: 05. 12. 2018, 14:23:31 »
Dobrý den, děkuji za názory, maska je /16, VLANy nemám.
Možnost číslo 3 nepřipadá v úvahu, ta zařízení nijak nastavit nejdou, nejsou to PC.
Můžete prosím popsat, jak zrealizovat volbu číslo 2, příp. VLAN?

Pavko

Re:Mikrotik firewall
« Odpověď #9 kdy: 05. 12. 2018, 14:31:59 »
Nastavení je zde: https://ibb.co/k9PcwBf

Pavko

Re:Mikrotik firewall
« Odpověď #10 kdy: 05. 12. 2018, 14:35:28 »
To jsem zkoušel, nefunguje.


Podle toho co tu čtu jde o routing mezi dvěma subnety.
je to požadavek na drop mezi dvěma podsítěma, patrně /24 takže pak požadavek jde na bránu.

Důležité je jak vypadá konfigurace, ale zkuste přesunout to drop pravidlo nahoru ve firewallovych pravidlech, aby to náhodou už nebylo někde dole, tam to nezafunguje.

gnat

Re:Mikrotik firewall
« Odpověď #11 kdy: 05. 12. 2018, 14:44:28 »
A proč to nevyhodíš z bridge a neroutuješ to ?

Jenda

Re:Mikrotik firewall
« Odpověď #12 kdy: 05. 12. 2018, 14:59:05 »
záložce Bridge je Filters

tam nastav stejná pravidla a hotovo

interface bridge filter add action=drop ..... atd

5nik

Re:Mikrotik firewall
« Odpověď #13 kdy: 05. 12. 2018, 15:02:42 »
záložce Bridge je Filters

tam nastav stejná pravidla a hotovo

interface bridge filter add action=drop ..... atd
Přesně tak: https://ibb.co/yXMvmBm

samalama

Re:Mikrotik firewall
« Odpověď #14 kdy: 05. 12. 2018, 15:12:12 »
vzladom na

"Nastavení je zde: https://ibb.co/k9PcwBf"

sa na to radsej vykasli a/alebo si na to niekoho zavolaj, lebo aj ked sa ti to podari nastavit, tak na 100% to budes mat cele zle a aj s (bezpecnostnymi) chybami...