Facebook  -  Twitter      

Questo forum fa uso dei cookie
Questo forum utilizza i cookie per memorizzare i dettagli del tuo login o della tua ultima visita. I cookie sono piccoli files di testo salvati nel computer; i cookie da noi utilizzati sono relativi unicamente ai servizi da noi forniti direttamente o dai banner pubblicitari. I cookie su questo forum salvano inoltre i dettagli relativi alle discussioni lette e alle tue preferenze personali. Sei pregato di selezionare il tasto OKAY se sei consapevole della presenza di questi files e ci autorizzi ad utilizarli per le informazioni specificate.

Indipendentemente dalla tua scelta un cookie verrà salvato per memorizzare nel tuo pc la risposta a questo form. Puoi modificare le impostazioni relative ai cookie nelle preferenze del tuo browser.

  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
Esempio sulla configurazione del firewall di RouterOS

#1
Supponiamo che la rete privata abbia ip nella classe 192.168.0.0/24 e la rete pubblica (WAN) sia sull'interfaccia eth1. Vogliamo configurare il firewall per permettere tutte le connessioni al router dalla rete locale e inibire tutto il resto. Inoltre abilitiamo il protocollo ICMP sull'interfaccia wan in modo tale che il router risponda ai ping da internet.
[hide]
Codice:
/ip firewall filter
add chain=input connection-state=invalid action=drop \
    comment="Drop Invalid connections"  
add chain=input connection-state=established action=accept \
    comment="Allow Established connections"  
add chain=input protocol=icmp action=accept \
    comment="Allow ICMP"
add chain=input src-address=192.168.0.0/24 action=accept \
    in-interface=!ether1
add chain=input action=drop comment="Drop everything else"

Proteggere la LAN

Per proteggere la lan analizzaimo tutto il traffico che passa attraverso il router e blocchiamo il traffico indesiderato. Per il traffico icmp, tcp, udp creiamo delle chains, droppando tutti i pacchetti indesiderati:
Codice:
/ip firewall filter
add chain=forward protocol=tcp connection-state=invalid \
    action=drop comment="drop invalid connections"  
add chain=forward connection-state=established action=accept \
    comment="allow already established connections"  
add chain=forward connection-state=related action=accept \
    comment="allow related connections"

Bloccare IP addresses:
Codice:
add chain=forward src-address=0.0.0.0/8 action=drop  
add chain=forward dst-address=0.0.0.0/8 action=drop  
add chain=forward src-address=127.0.0.0/8 action=drop
add chain=forward dst-address=127.0.0.0/8 action=drop
add chain=forward src-address=224.0.0.0/3 action=drop
add chain=forward dst-address=224.0.0.0/3 action=drop

add chain=forward protocol=tcp action=jump jump-target=tcp  
add chain=forward protocol=udp action=jump jump-target=udp  
add chain=forward protocol=icmp action=jump jump-target=icmp
Creiamo una chian per il tcp e neghiamo l'accesso ad alcune porte:
Codice:
add chain=tcp protocol=tcp dst-port=69 action=drop \
    comment="deny TFTP"
add chain=tcp protocol=tcp dst-port=111 action=drop \
    comment="deny RPC portmapper"  
add chain=tcp protocol=tcp dst-port=135 action=drop \
    comment="deny RPC portmapper"  
add chain=tcp protocol=tcp dst-port=137-139 action=drop \
    comment="deny NBT"  
add chain=tcp protocol=tcp dst-port=445 action=drop \
    comment="deny cifs"  
add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS"  
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus"  
add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus"  
add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice"  
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP"
Blocchiamo il traffico udp:
Codice:
add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP"  
add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper"  
add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper"  
add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT"  
add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS"  
add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice"
Abilitiamo i ping sul router:
Codice:
add chain=icmp protocol=icmp icmp-options=0:0 action=accept \
    comment="echo reply"  
add chain=icmp protocol=icmp icmp-options=3:0 action=accept \
    comment="net unreachable"  
add chain=icmp protocol=icmp icmp-options=3:1 action=accept \
    comment="host unreachable"
add chain=icmp protocol=icmp icmp-options=3:4 action=accept \
    comment="host unreachable fragmentation required"  
add chain=icmp protocol=icmp icmp-options=4:0 action=accept \
    comment="allow source quench"  
add chain=icmp protocol=icmp icmp-options=8:0 action=accept \
    comment="allow echo request"  
add chain=icmp protocol=icmp icmp-options=11:0 action=accept \
    comment="allow time exceed"  
add chain=icmp protocol=icmp icmp-options=12:0 action=accept \
    comment="allow parameter bad"  
add chain=icmp action=drop comment="deny all other types"
[/hide]
MTCNA Certified
MTCRE Certified
------------------------------
www.routerositalia.it
www.ubntitalia.it
Cita messaggio

#2
ma tutte queste sequenze come si applicano?sono passaggi del winbox o sequenze del terminale?
Cita messaggio

#3
(03-06-2013, 16:43)nicozan Ha scritto: ma tutte queste sequenze come si applicano?sono passaggi del winbox o sequenze del terminale?

è la stessa identica cosa Wink
MTCNA Certified
MTCRE Certified
------------------------------
www.routerositalia.it
www.ubntitalia.it
Cita messaggio

#4
beh un po lunghi come passaggi winbox!
Cita messaggio

#5
(03-06-2013, 16:50)nicozan Ha scritto: beh un po lunghi come passaggi winbox!

ma no dai meno di due minuti
MTCNA Certified
MTCRE Certified
------------------------------
www.routerositalia.it
www.ubntitalia.it
Cita messaggio

#6
ma fammi capire, quando tu dici "ad chain" devo andare nel relativo menu del winbox?
Cita messaggio

#7
ip firewall filter clicchi su + ed aggiungi una chain
MTCNA Certified
MTCRE Certified
------------------------------
www.routerositalia.it
www.ubntitalia.it
Cita messaggio

#8
(03-06-2013, 16:55)trottolino Ha scritto: ip firewall filter clicchi su + ed aggiungi una chain

tanto per vedere se ho capito qualcosa Dodgy , .... non sarebbe sufficiente anche fare un copia incolla di una riga alla volta in telnet ? o addirittura copia incolla del tutto in uno script e eseguirlo ?
Cita messaggio

#9
(16-07-2013, 22:41)Arturob Ha scritto:
(03-06-2013, 16:55)trottolino Ha scritto: ip firewall filter clicchi su + ed aggiungi una chain

tanto per vedere se ho capito qualcosa Dodgy , .... non sarebbe sufficiente anche fare un copia incolla di una riga alla volta in telnet ? o addirittura copia incolla del tutto in uno script e eseguirlo ?

Esattamente

Sent from my PMP5580C using Tapatalk 4 Beta
MTCNA Certified
MTCRE Certified
------------------------------
www.routerositalia.it
www.ubntitalia.it
Cita messaggio

#10
Ma le regole all'inizio del trhead sono la stessa cosa di quelle del thread sulla protezione da virus e sulla protezione da dos? vanno leggermente cambiate (a parte ip della lan) oppure non vanno applicate se visto che ho gia messo protezione da virus, attacchi dos e port scan?
Cita messaggio


[-]
Condividi/Segnala (Mostra tutti)
Facebook Linkedin Twitter

Discussioni simili
Discussione Autore Risposte Letto Ultimo messaggio
  [Mikrotik] Basic Firewall hamtarociaoo 21 8'080 16-08-2016, 15:47
Ultimo messaggio: tecnofan
  Un altro esempio di Port Forwarding hamtarociaoo 0 839 22-11-2015, 18:11
Ultimo messaggio: hamtarociaoo
Bug un altro esempio di configurazione del firewall hamtarociaoo 23 4'659 06-02-2015, 08:15
Ultimo messaggio: kikko
  [Mikrotik] Firewall: Mangle hamtarociaoo 17 10'055 27-09-2013, 16:28
Ultimo messaggio: kikko
  [Mikrotik] Firewall: Address List hamtarociaoo 0 1'955 12-09-2013, 18:44
Ultimo messaggio: hamtarociaoo
  [Mikrotik] Firewall: Layer 7 hamtarociaoo 0 1'902 12-09-2013, 18:43
Ultimo messaggio: hamtarociaoo
  [Mikrotik] Firewall: Connection tracking hamtarociaoo 0 3'718 12-09-2013, 18:42
Ultimo messaggio: hamtarociaoo
Information [Mikrotik] RouterOS: il firewall hamtarociaoo 0 4'123 12-09-2013, 18:34
Ultimo messaggio: hamtarociaoo

Digg   Delicious   Reddit   Facebook   Twitter   StumbleUpon  


Utenti che stanno guardando questa discussione:
1 Ospite(i)


Powered by MyBB, © 2002-2017 MyBB Group.