Port forwarding Mikrotik

Port forwarding Mikrotik
« kdy: 05. 12. 2020, 19:56:54 »
Mel bych dotaz. Pri nakonfigurovanem Mikrotiku v rezimu Quickset (Home AP) jde nastavit port forwarding? Nebo je treba zresetovat a nastavit router kompletne? Diky


Re:Port forwarding Mikrotik
« Odpověď #1 kdy: 05. 12. 2020, 22:26:06 »
SCNR: On někdo nastavuje MT v QuickSetu?  :D

Srsly, proč by to nešlo? QS nastavuje jen presety ne? :)

_Jenda

  • *****
  • 737
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Port forwarding Mikrotik
« Odpověď #2 kdy: 05. 12. 2020, 22:31:09 »
Já tomu teda nerozumím, ale vždycky se tam snad můžeš naSSHčkovat a to pravidlo do firewallu si přidat… Alespoň já teda quickset dělal jednou a pak se to dalo normálně adminovat přes SSH.

Re:Port forwarding Mikrotik
« Odpověď #3 kdy: 05. 12. 2020, 23:24:29 »
Jasne, ze to ide. Len sa hore vpravo musi prepnut z Quick Setu na Web Fig.

Re:Port forwarding Mikrotik
« Odpověď #4 kdy: 06. 12. 2020, 00:00:44 »
Kdo by u MT používal webfig, když může mít winbox? :)


_Jenda

  • *****
  • 737
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Port forwarding Mikrotik
« Odpověď #5 kdy: 06. 12. 2020, 02:17:18 »
Kdo by u MT používal webfig, když může mít winbox? :)
Furt tahá winbox z toho routeru DLLka a bez jakéhokoli ověření je spouští?

leten

Re:Port forwarding Mikrotik
« Odpověď #6 kdy: 06. 12. 2020, 11:00:06 »
SCNR: On někdo nastavuje MT v QuickSetu?  :D

Pokud potřebujete nastavit jenom SSID a heslo, není důvod ho nepoužít - vždyť přes quick set je nastavení "domácího routeru" x krát rychlejší ;-)

Re:Port forwarding Mikrotik
« Odpověď #7 kdy: 06. 12. 2020, 11:52:13 »
SCNR: On někdo nastavuje MT v QuickSetu?  :D

Pokud potřebujete nastavit jenom SSID a heslo, není důvod ho nepoužít - vždyť přes quick set je nastavení "domácího routeru" x krát rychlejší ;-)

Spíš jsem cílil na to, že proč si koupím MT, když pak chci použít jen QS (aneb proč si BFU nekoupí "první křáp z alzy v akci") :-)

Re:Port forwarding Mikrotik
« Odpověď #8 kdy: 06. 12. 2020, 13:47:24 »
Kvůli updatům?

SCNR: On někdo nastavuje MT v QuickSetu?  :D

Pokud potřebujete nastavit jenom SSID a heslo, není důvod ho nepoužít - vždyť přes quick set je nastavení "domácího routeru" x krát rychlejší ;-)

Spíš jsem cílil na to, že proč si koupím MT, když pak chci použít jen QS (aneb proč si BFU nekoupí "první křáp z alzy v akci") :-)

Re:Port forwarding Mikrotik
« Odpověď #9 kdy: 06. 12. 2020, 15:42:12 »
Dalo by se to trochu rozvést?

Kdo by u MT používal webfig, když může mít winbox? :)
Furt tahá winbox z toho routeru DLLka a bez jakéhokoli ověření je spouští?

Re:Port forwarding Mikrotik
« Odpověď #10 kdy: 06. 12. 2020, 15:51:10 »
Pardon, že se pletu do otázky ale nechci zakládat vlastní. Potřebuji poradit se správným nastavením fw aby byl port 3306 (mysql) průchozí jen v lokální síti. Nenapadá mě správný řešení. Děkuji

Re:Port forwarding Mikrotik
« Odpověď #11 kdy: 06. 12. 2020, 15:58:01 »
V defaultu máte nejspíš FW uzavřený pro vše z venku, pokud to explicitně nepovolíte.

_Jenda

  • *****
  • 737
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Port forwarding Mikrotik
« Odpověď #12 kdy: 06. 12. 2020, 21:35:39 »
Dalo by se to trochu rozvést?

Furt tahá winbox z toho routeru DLLka a bez jakéhokoli ověření je spouští?
Za mých mladých let, když ses připojil WinBoxem k routeru, tak router řekl „podporuji toto nastavení (wifi, shaping, firewall, whatever) a potřebuješ k tomu ty pluginy minimálně v takové a takové verzi“. WinBox, pokud ty pluginy (což jsou DLLka) již neměl, si je z routeru vyžádal a prostě nahrál a spustil. Samozřejmě pokud router naservíroval malware, tak spustil malware. Mimochodem na straně Mikrotiku byla v tomto mechanismu nedávno díra (https://github.com/tenable/routeros/tree/master/poc/bytheway), bylo možná vyžádat si libovolný soubor pomocí path traversal (https://github.com/tenable/routeros/blob/master/poc/bytheway/src/main.cpp#L131). V kombinaci s tím, že Mikrotik uchovává admin heslo zaobfuskované (vyxorované konstantou), z toho byl skvělý exploit.

Re:Port forwarding Mikrotik
« Odpověď #13 kdy: 07. 12. 2020, 07:57:17 »
Chápu, že to není krásné a elegantní řešení, ale pokud bych se já nemohl tak jako tak spolehnout na svůj router, mohl bych to rovnou zabalit... Čemu by se potom dalo věřit v lokální síti.

Dalo by se to trochu rozvést?

Furt tahá winbox z toho routeru DLLka a bez jakéhokoli ověření je spouští?
Za mých mladých let, když ses připojil WinBoxem k routeru, tak router řekl „podporuji toto nastavení (wifi, shaping, firewall, whatever) a potřebuješ k tomu ty pluginy minimálně v takové a takové verzi“. WinBox, pokud ty pluginy (což jsou DLLka) již neměl, si je z routeru vyžádal a prostě nahrál a spustil. Samozřejmě pokud router naservíroval malware, tak spustil malware. Mimochodem na straně Mikrotiku byla v tomto mechanismu nedávno díra (https://github.com/tenable/routeros/tree/master/poc/bytheway), bylo možná vyžádat si libovolný soubor pomocí path traversal (https://github.com/tenable/routeros/blob/master/poc/bytheway/src/main.cpp#L131). V kombinaci s tím, že Mikrotik uchovává admin heslo zaobfuskované (vyxorované konstantou), z toho byl skvělý exploit.

Medo77

  • ***
  • 162
    • Zobrazit profil
    • E-mail
Re:Port forwarding Mikrotik
« Odpověď #14 kdy: 07. 12. 2020, 10:52:55 »
Potřebuji poradit se správným nastavením fw aby byl port 3306 (mysql) průchozí jen v lokální síti.
Pokial konkretne pc nekomunikuju spolu cez MKT (ktory sluzi zaroven ako switch, vtedy by sa to blokoval dalo), nie je dovod, aby tam nieco bolo blokovane, nakolko komunikuju spolu napriamo ... Urcite je dobre nastavena vynimka na firewalle servera s mysql ?