Mikrotik firewall

mojenervy

Re:Mikrotik firewall
« Odpověď #15 kdy: 05. 12. 2018, 15:54:43 »
S nastavením v bridge to nemá nic společného.
Jak říká samalama - nechte si nastavit ...takhle tohle bude na týden.


Pavko

Re:Mikrotik firewall
« Odpověď #16 kdy: 05. 12. 2018, 22:27:56 »
Dobrý den, chci si to nastavit sám, v mém okolí to nikdo neumí, takový jednooký král :-)

V bridge/filters mám toto: https://ibb.co/zZjDNq7




záložce Bridge je Filters

tam nastav stejná pravidla a hotovo

interface bridge filter add action=drop ..... atd
Přesně tak: https://ibb.co/yXMvmBm

5nik

Re:Mikrotik firewall
« Odpověď #17 kdy: 05. 12. 2018, 22:44:32 »
Tak tam přidejte to pravidlo, co jsme psali. Tušíte, co ta pravidla (co tam již máte) dělají (zahazují)? Evidentně přes ně nic nejde.

mojenervy

Re:Mikrotik firewall
« Odpověď #18 kdy: 05. 12. 2018, 23:14:06 »
S nastavením v bridge to nemá nic společného, jen si tam naděláš další bordel.

V bridge-filters nemáš co nastavit, máš oddělené rozsahy adres. Smysl by to mělo jen kdyby wifi a lan měly stejný rozsah adres, to by trčely na společném bridge - to není tvůj případ.

Sítě na sebe normáně vidí, proto se musí zakazovat - oddělíš to třeba hromadně zákazem forward !wan->!wan na oba směry, nebo si ty adresy vyzobeš
.
Máš špatně nat, tím to proleze, když ho sundá filter. Maškarádu(Firewall->nat) si nastav jen na výstupní wan(ether1 nebo jak to máš).

Tohle je věštění z křišťálové koule - chtělo by to černého kocůra, kouli mám.
 

mojenervy

Re:Mikrotik firewall
« Odpověď #19 kdy: 05. 12. 2018, 23:43:36 »
to tvoje

chain-forward, src-address 192.168.10.8, dst-address 192.168.16.18, action: drop

si nastav v Firewall-FilterRules - hned na začátek.

..až to bude blokovat, posuň si to dál, za skupinu

chain forward:
allow already established connections
allow related connections
drop invalid connections

...jestli to tam vůbec máš.



Pavko

Re:Mikrotik firewall
« Odpověď #20 kdy: 05. 12. 2018, 23:48:49 »
Dobrý večer, když jsem dal pravidlo do Bridge/Filters přes srcMAC a dstMAC, tak to funguje OK - ze zařízení se src MAC adresou se na dst MAC nedostanu (chain: forward, action: drop), řídím to tedy přes MAC adresy a ne IP adresy, to už je vyšší vrstva.
Popis funkcí routeru: mám veřejnou IP adresu, NAT, DHCP server mám nastaven svázáním MAC adresy s IP adresami, přiřazuji IP adresy z rozsahu 192.168.1.0-192.168.254.254 + maska /16, pak mám jeden rozsah, který je přiřazen neznámým MAC adresám. Ve firewall NAT mám nastavené přiřazení portu ven s vnitřní IP adresou, do internetu jsem připojen přes interface sfp1 (optika).
Zajímá mě, jak by se to dalo vylepšit. například VLANy, apod. Děkuji všem za rady.


Tak tam přidejte to pravidlo, co jsme psali. Tušíte, co ta pravidla (co tam již máte) dělají (zahazují)? Evidentně přes ně nic nejde.

mojenervy

Re:Mikrotik firewall
« Odpověď #21 kdy: 06. 12. 2018, 00:06:07 »
tuhle spartakiádu nějak nechápu - jaký je teď cíl? mám pocit, že se změnil.

MikyM

  • ***
  • 124
    • Zobrazit profil
Re:Mikrotik firewall
« Odpověď #22 kdy: 06. 12. 2018, 00:14:14 »
Dobrý den, chci si to nastavit sám, v mém okolí to nikdo neumí, takový jednooký král :-)
.....
....Zajímá mě, jak by se to dalo vylepšit. například VLANy, apod. Děkuji všem za rady.
Dobry den,
rady by byly ale tohle mi zavani tak trochu "parazitovanim" a zneuzivanim lidi tady.
Chcete si to nastavit sam to chapu a je to v poradku. Kazdy se obcas nekde zasekne proto je zde forum kde cloveka navedou.
Vy vsak uz poptavate reseni a nejlepe s dokumentaci...

Pokud tedy plati, ze si to chcete nastavit sam pak predpokladam i chut studovat.
https://mikrotik.com/mfm/books
http://stevedischer.com/learn-routeros/
https://wiki.mikrotik.com/wiki/Main_Page
https://forum.mikrotik.com/

Pavko

Re:Mikrotik firewall
« Odpověď #23 kdy: 06. 12. 2018, 00:23:52 »
Původní dotaz je vyřešený. Chtěl jsem slyšet jen další náměty na vylepšení - proto jsem popsal současný stav -  nechtěl jsem návod na provedení konkrétní věci, jen mě zajímají vaše nápady, postřehy, příp. vylepšení bezpečnosti řešení. Asi jsem to měl napsat předtím ...

samalama

Re:Mikrotik firewall
« Odpověď #24 kdy: 06. 12. 2018, 00:31:32 »
pokial si nevies nastavit ani blby fw, tak o vlan-y na mkt sa ani nepokusaj...

5nik

Re:Mikrotik firewall
« Odpověď #25 kdy: 06. 12. 2018, 09:41:30 »
Původní dotaz je vyřešený. Chtěl jsem slyšet jen další náměty na vylepšení - proto jsem popsal současný stav -  nechtěl jsem návod na provedení konkrétní věci, jen mě zajímají vaše nápady, postřehy, příp. vylepšení bezpečnosti řešení. Asi jsem to měl napsat předtím ...
Hodně záleží, na co / k čemu má ta síť sloužit. Jaké služby v ní poběží atd.
Např. by mě zajímalo, proč jste volil lokální síť s 16 bit. maskou. Plánujete provozovat 64K zařízení? Nebylo by lepší síť segmentovat do více VLAN s adresním prostorem odpovídající class C, kam spadá zvolený rozsah privátních IP? Nelze střílet rady či doporučení od boku, když nevíme okolnosti, dostupné aktivní prvky a jejich schopnosti.

Lol Phirae

Re:Mikrotik firewall
« Odpověď #26 kdy: 06. 12. 2018, 10:00:39 »
Např. by mě zajímalo, proč jste volil lokální síť s 16 bit. maskou.

Čím víc adres, tím víc cool... Již několikrát jsem viděl inteligentní volbu 10.0.0.0/8, přičemž dotyční se pak hrozně divili, že jim došla RAM a nefunguje DHCP;D ::)

Taky je to hrozně praktické u různých VPN.

Pavko

Re:Mikrotik firewall
« Odpověď #27 kdy: 06. 12. 2018, 10:12:25 »
Díky za tip, 256 IP adres nestačilo, tak jsem šel až do (cca) 65000. Zkusím si pohrát s VLANy s prostorem class C. Chci se zeptat, provozujete VLANy na Mikrotik zařízeních dlouhodoběji a fungují na nich bez problémů?
Jinak se na asi na 10 VPN připojuji bez problémů.


 
Původní dotaz je vyřešený. Chtěl jsem slyšet jen další náměty na vylepšení - proto jsem popsal současný stav -  nechtěl jsem návod na provedení konkrétní věci, jen mě zajímají vaše nápady, postřehy, příp. vylepšení bezpečnosti řešení. Asi jsem to měl napsat předtím ...
Hodně záleží, na co / k čemu má ta síť sloužit. Jaké služby v ní poběží atd.
Např. by mě zajímalo, proč jste volil lokální síť s 16 bit. maskou. Plánujete provozovat 64K zařízení? Nebylo by lepší síť segmentovat do více VLAN s adresním prostorem odpovídající class C, kam spadá zvolený rozsah privátních IP? Nelze střílet rady či doporučení od boku, když nevíme okolnosti, dostupné aktivní prvky a jejich schopnosti.

mojenervy

Re:Mikrotik firewall
« Odpověď #28 kdy: 06. 12. 2018, 10:22:10 »
a mikrotik z toho půjde do kolen, protože tuhle partyzánštinu neutahne.

Lol Phirae

Re:Mikrotik firewall
« Odpověď #29 kdy: 06. 12. 2018, 10:27:12 »
Díky za tip, 256 IP adres nestačilo, tak jsem šel až do (cca) 65000.

Krom /24 a /16 ještě mezi tím existují /23, /22, /21, /20, /19, /18 a /17.  :o