Forum » Omrežja in internet » MikroTik in default rule
MikroTik in default rule
IceBoX ::
Zdravo,
Prijatelju postavljam MikroTik router. Do zdaj vse lepo, internet dela, nekaj portov sem odprl. Mislil sem da je to to :)
Potem sem v log-ih videl da se nekdo skuša na port 22 povezati (SSH). Čudno je to, da tega porta sploh nikoli nisem odprl. Isto je recimo za port 53.
A to je treba kaj spreminjat default rule v MikroTiku? Zakaj so ti porti odprti?
Prijatelju postavljam MikroTik router. Do zdaj vse lepo, internet dela, nekaj portov sem odprl. Mislil sem da je to to :)
Potem sem v log-ih videl da se nekdo skuša na port 22 povezati (SSH). Čudno je to, da tega porta sploh nikoli nisem odprl. Isto je recimo za port 53.
A to je treba kaj spreminjat default rule v MikroTiku? Zakaj so ti porti odprti?
Huh...
Daedalus ::
Input na zunanjem interfejsu daj na default drop. Pol pa omogoči še established in related povezave preko zunanjega interfejsa in boš mel mir. Če nisi uporabil vgrajenega NAT templata, imaš vse odprto v svet. Vključno z WinBox porti... kar je precej slabo.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
IceBoX ::
V IP/services sem disablal vse service, razen "Winbox", katerega verjetno rabim da se povežem na router preko klienta.
@Daedalus:
Takole imam pod IP/Firewall.
Če prav razumem, bi moral tretji rule, ki je vezan na moj WAN port to narediti drop, ampak ne vem zakaj ne.
Kaj je še za spremeniti?
Drugače pa kolikor sem zdaj pogledal, nimam nobenih port-ov več odprtih (razen tistih ki jih jaz hočem).
@Daedalus:
Takole imam pod IP/Firewall.
Če prav razumem, bi moral tretji rule, ki je vezan na moj WAN port to narediti drop, ampak ne vem zakaj ne.
Kaj je še za spremeniti?
Drugače pa kolikor sem zdaj pogledal, nimam nobenih port-ov več odprtih (razen tistih ki jih jaz hočem).
Huh...
mn ::
Mimogrede, koliko bi znalci računali za konfiguracijo enega Mikrotika za domače omrežje. Recimo za QoS, par port forwardow, etc... Nič kompliciranega skratka.
b3D_950 ::
V IP/services sem disablal vse service, razen "Winbox", katerega verjetno rabim da se povežem na router preko klienta.
@Daedalus:
Takole imam pod IP/Firewall.
Če prav razumem, bi moral tretji rule, ki je vezan na moj WAN port to narediti drop, ampak ne vem zakaj ne.
Kaj je še za spremeniti?
Nastavi še subnet iz katerega boš dostopal do Winbox. Če pustiš prazno je na voljo iz vseh IPjev.
http://wiki.mikrotik.com/wiki/Manual:IP...
Zdaj ko je mir, jemo samo krompir.
Daedalus ::
Tule imaš opise default nastavitev, tudi najbolj standard NAT setupa, ki pride poleg npr RB750 - glej Firewall, NAT and MAC server del. Drop pravila grejo na konec, ostalo mi zgleda pa ok. Testiraj SSH/DNS povezave iz neke druge lokacije, pa boš hitro videl, kaj se dogaja. Maš tudi programček za spremljanje prometa, torch se imenuje. Lahko s tistim preveriš, kaj se dogaja.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
clancy ::
Živijo
Še jaz imam eno vprašanje glede Mikrotik routerja. Gre se za model 951Ui-2HnD.
Ko želim Tx Power mode prestaviti na "card rates" mi javi, da ga ne podpira. Ali router pač tega ne podpira, ali je pa kje kakšna finta v nastavitvah?
Še jaz imam eno vprašanje glede Mikrotik routerja. Gre se za model 951Ui-2HnD.
Ko želim Tx Power mode prestaviti na "card rates" mi javi, da ga ne podpira. Ali router pač tega ne podpira, ali je pa kje kakšna finta v nastavitvah?
IceBoX ::
Tole sem ugotovil.
Če gledamo zgornjo sliko, potem mi nikoli ni nič ulovi v tisti zadnji "drop" (input chain). Ko sem tam namesto eth10-gateway zamenjal z pppoe interface-om, so se mi začeli polji bytes in packets povečevati.
Če pustim taka pravila kot so zgoraj (da pustim drop na eth10-gateway) potem je port 22 odprt. Zdaj ko sem spremenil na pppoe interface pa mi kaže da je zaprto.
Torej, kaj moram tam imeti pod "in interface"? Je prav da imam pppoe interface?
Če gledamo zgornjo sliko, potem mi nikoli ni nič ulovi v tisti zadnji "drop" (input chain). Ko sem tam namesto eth10-gateway zamenjal z pppoe interface-om, so se mi začeli polji bytes in packets povečevati.
Če pustim taka pravila kot so zgoraj (da pustim drop na eth10-gateway) potem je port 22 odprt. Zdaj ko sem spremenil na pppoe interface pa mi kaže da je zaprto.
Torej, kaj moram tam imeti pod "in interface"? Je prav da imam pppoe interface?
Huh...
b3D_950 ::
Torej, kaj moram tam imeti pod "in interface"? Je prav da imam pppoe interface?
PPPoE je prav. Lahko pogledaš pod IP->Routes in vidiš, da je default gateway na pppoe.
Zdaj ko je mir, jemo samo krompir.
IceBoX ::
Ja, zgleda v redu.
Če je dst. address 0.0.0.0/0, potem kaže gateway na reachable pppoe-isp.
Zakaj pa potem po defaultu nimajo vsi Mikrotik routerji pravilno nastavljeno da so porti zaprti?
Ponavadi je narejeno da kar gre noter je pod defaultu zaprto, kar gre ven pa se dovoli.
Če je dst. address 0.0.0.0/0, potem kaže gateway na reachable pppoe-isp.
Zakaj pa potem po defaultu nimajo vsi Mikrotik routerji pravilno nastavljeno da so porti zaprti?
Ponavadi je narejeno da kar gre noter je pod defaultu zaprto, kar gre ven pa se dovoli.
Huh...
SeMiNeSanja ::
Ja, zgleda v redu.
Če je dst. address 0.0.0.0/0, potem kaže gateway na reachable pppoe-isp.
Zakaj pa potem po defaultu nimajo vsi Mikrotik routerji pravilno nastavljeno da so porti zaprti?
Ponavadi je narejeno da kar gre noter je pod defaultu zaprto, kar gre ven pa se dovoli.
Zato, ker je naloga ROUTERJA prepuščanje prometa, naloga POŽARNE PREGRADE pa omejevanje. Ker je Mikrotik v osnovi ROUTER in ne POŽARNA PREGRADA, je tak default normalen. Pri tem pa ne enačiti Mikrotika s tisto ostalo kramo za domačo rabo, ki se ji kar po domače pravi 'router', ki v bistvu ni ne tič ne miš.
Daedalus ::
Ko sem tam namesto eth10-gateway zamenjal z pppoe interface-om, so se mi začeli polji bytes in packets povečevati.
Nekak se pričakuje, da filtriraš promet na pravem vmesniku. In s stališča firewalla pppoe if nima veze z etherX if. Ni pomembno, če fizično ppoe link uporablja etherX, vsaj ne za firewall (ki dela na L3).
Ponavadi je narejeno da kar gre noter je pod defaultu zaprto, kar gre ven pa se dovoli.
Mikrotik zahteva vsaj neko osnovno znanje networkinga, ker (razen pri default konfiguraciji, ki jo lahko izbereš pri cenejših modeli) ne "predvideva" ničesar o omrežju uporabnika. Je treba kr lepo konfigurirati "iz nule".
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
gensi ::
Se mi zdi, da je v firewall u skrajno koristno dodati pravilo:
add chain=input src-address=192.168.88.10-192.168.88.254
add chain=input src-address=94.XXX.XX.XXX (tvoj DNS 1)
add chain=input src-address=94.XXX.XX.XXX (tvoj DNS 2)
add chain=input comment="sinhronizacija ure" src-address=193.2.1.117
add chain=input comment="Določiš komu točno dovoliš prijavo izven omrežja - izjeme" disabled=yes src-address=86.xx.xx.xx
add action=drop chain=input
Poglej še:
http://wiki.mikrotik.com/wiki/BOGON_Add...
http://wiki.mikrotik.com/wiki/Manual:IP...
http://wiki.mikrotik.com/wiki/Drop_port...
http://wiki.mikrotik.com/wiki/DDoS
http://wiki.mikrotik.com/wiki/Bruteforc...
Moraš pa vedeti, da je pomembno tudi zaporedje pravil.
//Imam pa vprašanje za znalce - na 80 Mbps povezavi mi od menjave modema (Telemach) Speedtest kaže download zgolj cca. 25 Mbps (pred menjavo modema je delalo na polno).
Torrent datoteke pa tudi danes delujejo na polno hitrost.
Če računalnik priklopim direktno na modem, tudi Speedtest kaže polno hitrost. Procesor na Mirkotiku ni nikoli obremenjen več kot 25 %. Tudi, če modem poenostavim na tovarniške nastavitve, se hitrost skoraj ne spremeni.
Ali ima kdo kakšno idejo kje bi lahko bila težava?
add chain=input src-address=192.168.88.10-192.168.88.254
add chain=input src-address=94.XXX.XX.XXX (tvoj DNS 1)
add chain=input src-address=94.XXX.XX.XXX (tvoj DNS 2)
add chain=input comment="sinhronizacija ure" src-address=193.2.1.117
add chain=input comment="Določiš komu točno dovoliš prijavo izven omrežja - izjeme" disabled=yes src-address=86.xx.xx.xx
add action=drop chain=input
Poglej še:
http://wiki.mikrotik.com/wiki/BOGON_Add...
http://wiki.mikrotik.com/wiki/Manual:IP...
http://wiki.mikrotik.com/wiki/Drop_port...
http://wiki.mikrotik.com/wiki/DDoS
http://wiki.mikrotik.com/wiki/Bruteforc...
Moraš pa vedeti, da je pomembno tudi zaporedje pravil.
//Imam pa vprašanje za znalce - na 80 Mbps povezavi mi od menjave modema (Telemach) Speedtest kaže download zgolj cca. 25 Mbps (pred menjavo modema je delalo na polno).
Torrent datoteke pa tudi danes delujejo na polno hitrost.
Če računalnik priklopim direktno na modem, tudi Speedtest kaže polno hitrost. Procesor na Mirkotiku ni nikoli obremenjen več kot 25 %. Tudi, če modem poenostavim na tovarniške nastavitve, se hitrost skoraj ne spremeni.
Ali ima kdo kakšno idejo kje bi lahko bila težava?
gensi ::
Se mi zdi, da je v firewall u skrajno koristno dodati pravilo:
add chain=input src-address=192.168.88.10-192.168.88.254
add chain=input src-address=94.XXX.XX.XXX (tvoj DNS 1)
add chain=input src-address=94.XXX.XX.XXX (tvoj DNS 2)
add chain=input comment="sinhronizacija ure" src-address=193.2.1.117
add chain=input comment="Prej določiš komu točno dovoliš prijavo oz. povezavo na ruter izven omrežja - izjeme, vse ostalo pa je blokirano" disabled=yes src-address=86.xx.xx.xx
add action=drop chain=input
Poglej še:
http://wiki.mikrotik.com/wiki/BOGON_Add...
http://wiki.mikrotik.com/wiki/Manual:IP...
http://wiki.mikrotik.com/wiki/Drop_port...
http://wiki.mikrotik.com/wiki/DDoS
http://wiki.mikrotik.com/wiki/Bruteforc...
Moraš pa vedeti, da je pomembno tudi zaporedje pravil.
//Imam pa vprašanje za znalce - na 80 Mbps povezavi mi od menjave modema (Telemach) Speedtest kaže download zgolj cca. 25 Mbps (pred menjavo modema je delalo na polno).
Torrent datoteke pa tudi danes delujejo na polno hitrost.
Če računalnik priklopim direktno na modem, tudi Speedtest kaže polno hitrost. Procesor na Mirkotiku ni nikoli obremenjen več kot 25 %. Tudi, če modem poenostavim na tovarniške nastavitve, se hitrost skoraj ne spremeni.
Ali ima kdo kakšno idejo kje bi lahko bila težava?
Zgodovina sprememb…
- spremenil: gensi ()
nejcsuha ::
Mimogrede, koliko bi znalci računali za konfiguracijo enega Mikrotika za domače omrežje. Recimo za QoS, par port forwardow, etc... Nič kompliciranega skratka.
V Virtua IT komercialne konfiguracije računamo 79 EUR na uro + ddv.
Imamo pa tudi blog, kjer poskušamo odgovarjat na pogosta vprašanja.
Za začetek dela z Mikrotikom, bi bilo primerno tole:
http://www.virtua-it.si/201202osnovna-k...
Sicer pa za lasten potrebe uporabljamo eno skripto, ki nastavi kup parametrov Mikrotika in je varnejša od privzete nastavitve. Jo bom malo počistil in posodobil in dal na github.
Lp,
nejc
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Mikrotik nastavitveOddelek: Omrežja in internet | 3204 (2604) | Poldi112 |
» | SSH forwarding na MikrotikuOddelek: Omrežja in internet | 1820 (1560) | miki133 |
» | Mikrotik RB2011UiAS-2HnD-IN na Amisu, bizarno počasen internet. (strani: 1 2 )Oddelek: Omrežja in internet | 12369 (9649) | Invictus |
» | mikrotik pomocOddelek: Pomoč in nasveti | 5179 (3425) | kronik |
» | pppoe+mikrotikOddelek: Omrežja in internet | 3530 (3108) | Senitel |