[ GORSHTAK @ 29.01.2014. 16:16 ] @
Zdravo svima,

imam problem sa podešavanjem firewalla na mikrotik ruteru (OS 6.7), koju god kombinaciju komandi sam uneo i izmenjao im raspored, nisam uspeo da postignem željeni rezultat.

Konfiguracije su sledece:

Opseg 213.X.X.64/29
Mikrotik adresa: 213.X.X.66
SRV1 adresa: 213.X.X.67
SRV2 adresa: 213.X.X.68


[[email protected]] > interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU MAX-L2MTU MAC-ADDRESS
0 R WAN ether 1500 1600 4076 D4:XX:XX:XX:00:50
1 RS ether2-master-local ether 1500 1598 2028 D4:XX:XX:XX:00:51
2 S ether3-slave-local ether 1500 1598 2028 D4:XX:XX:XX:00:52
3 S ether4-slave-local ether 1500 1598 2028 D4:XX:XX:XX:00:53
4 S ether5-slave-local ether 1500 1598 2028 D4:XX:XX:XX:00:54
5 RS wlan1 wlan 1500 2290 D4:XX:XX:XX:00:55
6 R bridge-local bridge 1500 1598 D4:XX:XX:XX:00:51


[[email protected]] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=accept in-interface=bridge-local

1 chain=input action=accept in-interface=bridge-local

2 ;;; default configuration
chain=input action=accept protocol=icmp

3 ;;; default configuration
chain=input action=accept connection-state=established

4 ;;; default configuration
chain=input action=accept connection-state=related

5 ;;; default configuration
chain=input action=drop in-interface=WAN

6 ;;; default configuration
chain=forward action=accept connection-state=established

7 ;;; default configuration
chain=forward action=accept connection-state=related

8 ;;; default configuration
chain=forward action=drop connection-state=invalid

9 chain=input action=accept connection-state=new dst-address=213.X.X.67 in-interface=WAN

10 X chain=forward action=reject reject-with=icmp-admin-prohibited in-interface=WAN

[[email protected]k] >





Jel možete da mi napišete tačne komande za sledeće:

1) Da iz interne mreže uvek mogu da pristupim ruteru (192.168.1.0/24)

2) Da se blokira sav dolazni saobracaj

3) Da IP 193.X.X.36 može da pristupi serveru 213.X.X.67

4) Da se serveru 213.X.X.67 blokira pristup adresi 76.X.X.81

5) Da IP 193.X.X.37 moze da pristupi 213.X.X.67, ali samo na portovima 21 i 22

6) Da svi mogu pristupiti serveru 213.X.X.68 na portovima 80, 443 i 8080



Na osnovu tih primera se nadam da ću moći dalje sam da nastavim sa konfigurisanjem.

Hvala unapred
[ Aleksandar Đokić @ 29.01.2014. 16:40 ] @
Nisam citao od pocetka, mozda imas vec to pravilo itd.

Citat:
1) Da iz interne mreže uvek mogu da pristupim ruteru (192.168.1.0/24)


add chain=input src-address=192.168.1.0/24 action=accept (ovde je bolje napravis address listu pa stavis src-address-list=imeliste)

Citat:
2) Da se blokira sav dolazni saobracaj


Dolazi prema cemu? Ruteru ili racunarima?

Prema ruteru:

add chain=input action=drop

Citat:
3) Da IP 193.X.X.36 može da pristupi serveru 213.X.X.67


add chain=forward src-adress=193.x.x.36 dst-adress=213.x.x.67 action=accept
add chain=forward src-adress=213.x.x.67 dst-adress=193.x.x.36 action=accept

i stavis da ta dva pravila budu prva.

Citat:
5) Da IP 193.X.X.37 moze da pristupi 213.X.X.67, ali samo na portovima 21 i 22


Isto kao i poslednja samo dodas dst-port.

Citat:
6) Da svi mogu pristupiti serveru 213.X.X.68 na portovima 80, 443 i 8080


Isto kao poslednje samo dodas portove zarezom (ili ako ti je lakse dodaj nova pravila).
[ GORSHTAK @ 29.01.2014. 19:32 ] @
Citat:
2) Da se blokira sav dolazni saobracaj

I prema ruteru i prema računarima, vidim da za ruter već imam pravilo:
chain=input action=drop in-interface=WAN


Za stavku 3 moraju obe komande da se unesu? Nije dovoljna samo: add chain=forward src-adress=193.x.x.36 dst-adress=213.x.x.67 action=accept ?
[ Aleksandar Đokić @ 29.01.2014. 20:44 ] @
To pitanje sad povlaci siru diskusiju. Najbitnije je sta imas drop-ovano. Ako imas pravilo u "forward" lancu koje ti propusta "established" konekcije onda ti je samo prvo dovoljno, ali ako nemas onda moras oba. Zakljucak - ako ti nije najjasnije stavi oba.
[ GORSHTAK @ 30.01.2014. 17:10 ] @
mmm.... nije pomoglo...




[[email protected]] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=accept in-interface=bridge-local

1 chain=input action=accept in-interface=bridge-local

2 chain=input action=accept src-address=192.168.1.0/24

3 chain=forward action=accept src-address=193.X.X.36 dst-address=213.X.X.67

4 chain=forward action=accept src-address=213.X.X.67 dst-address=193.X.X.36

5 chain=input action=accept src-address=193.X.X.36 dst-address=213.X.X.67

6 chain=input action=accept src-address=213.X.X.67 dst-address=193.X.X.36

7 X ;;; default configuration
chain=input action=accept protocol=icmp

8 ;;; default configuration
chain=input action=accept connection-state=established

9 X ;;; default configuration
chain=input action=accept connection-state=related

10 ;;; default configuration
chain=forward action=accept connection-state=related

11 ;;; default configuration
chain=forward action=accept connection-state=established

12 ;;; default configuration
chain=input action=drop in-interface=WAN

13 X chain=forward action=drop

14 ;;; default configuration
chain=forward action=drop connection-state=invalid

[[email protected]] /ip firewall filter>



kada je rule 13 enejblovan, 193.X.X.36 ne može pristupiti serveru 213.X.X.67, iako sam dodao pravila 3, 4, 5 i 6.
šta ne valja ovde?
[ Aleksandar Đokić @ 30.01.2014. 19:13 ] @
5 i 6 ti ne treba. Sve je dobro, to mora da radi. Rule 13 stavi action stavi na LOG, pristupi serveru pa proveri (ili postuj ovde) u LOGu koji saobracaj taj rule hvata.
[ GORSHTAK @ 31.01.2014. 12:31 ] @
hmmm... zanimljivo...


13:08:11 firewall,info block_all forward: in:WAN out:bridge-local, src-mac 00:xx:xx:xx:xx:d3, proto TCP (SYN), 81.X.X.142:28742->192.168.1.135:2222, NAT 81.X.X.142:28742->(213.X.X.67:2222->192.168.1.135:2222)
, len 60



pošto mi je dati server u stvari natovan sa 192.168.1.135 na 213.X.X.67, zar treba lokalnu adresu uvek da koristim, a ne javnu?



[[email protected]] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=accept in-interface=bridge-local

1 chain=input action=accept in-interface=bridge-local

2 chain=input action=accept src-address=192.168.1.0/24

3 X chain=forward action=accept src-address=193.X.X.36 dst-address=213.X.X.67

4 X chain=forward action=accept src-address=213.X.X.67 dst-address=193.X.X.36

5 chain=forward action=accept src-address=193.X.X.36 dst-address=192.168.1.135

6 chain=forward action=accept src-address=192.168.1.135 dst-address=193.X.X.36

7 X ;;; default configuration
chain=input action=accept protocol=icmp

8 ;;; default configuration
chain=input action=accept connection-state=established

9 X ;;; default configuration
chain=input action=accept connection-state=related

10 ;;; default configuration
chain=forward action=accept connection-state=related

11 ;;; default configuration
chain=forward action=accept connection-state=established

12 ;;; default configuration
chain=input action=drop in-interface=WAN

13 chain=forward action=log log-prefix="block_all"

14 X chain=forward action=drop

15 ;;; default configuration
chain=forward action=drop connection-state=invalid
[[email protected]] >





sa ovim sam uspeo nešto da zagrebem.
tako treba da radim? samo sa lokalnom ip adresom, ne sa javnom?

[ Aleksandar Đokić @ 31.01.2014. 20:12 ] @
Imas novi packet-flow dijagram na wiki.mikrotik.com pa baci pogled.
[ GORSHTAK @ 03.02.2014. 22:18 ] @
Nisam baš ekspert na ovom polju, tako da nisam ukapirao dijagram

Inače, napravio sam neki pomak sa željenim rezultatima, čim završim s testiram, stavljam primer.....
[ GORSHTAK @ 13.02.2014. 18:25 ] @
Kao što rekoh... evo primera.
U mom slučaju radi ako se koriste lokalne ip adrese u pravilima


Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=forward action=accept connection-state=related

1 ;;; default configuration
chain=forward action=accept connection-state=established

2 chain=forward action=accept protocol=tcp dst-address-list=HTTP_LIST dst-port=80,443

3 ;;; Blokirani registrovani napadaci
chain=forward action=drop src-address-list=BLOCK_ATTACK_LIST

9 chain=input action=accept in-interface=bridge-local

10 chain=input action=accept src-address=192.168.1.0/24

11 chain=forward action=accept src-address-list=COMPANY_TEAM_HOME

12 ;;; Dozvoljeni portovi za srv1
chain=forward action=accept protocol=tcp dst-address=192.168.1.135 dst-port=8080,80,443

;;; Dozvoli pristup portu samo za VIP sim kartice
17 chain=forward action=accept protocol=tcp src-address-list=VIP_GPRS dst-port=9955

19 ;;; Win8 server, blokiran da se pridje spolja
chain=forward action=drop dst-address=192.168.1.36

21 ;;; default configuration
chain=input action=accept connection-state=established

23 ;;; default configuration
chain=input action=drop in-interface=WAN

24 chain=forward action=accept in-interface=bridge-local

25 chain=forward action=log log-prefix="block_all"

26 ;;; Blokiraj SVE
chain=forward action=drop

28 ;;; default configuration
chain=forward action=drop connection-state=invalid