Facebook  -  Twitter      

Questo forum fa uso dei cookie
Questo forum utilizza i cookie per memorizzare i dettagli del tuo login o della tua ultima visita. I cookie sono piccoli files di testo salvati nel computer; i cookie da noi utilizzati sono relativi unicamente ai servizi da noi forniti direttamente o dai banner pubblicitari. I cookie su questo forum salvano inoltre i dettagli relativi alle discussioni lette e alle tue preferenze personali. Sei pregato di selezionare il tasto OKAY se sei consapevole della presenza di questi files e ci autorizzi ad utilizarli per le informazioni specificate.

Indipendentemente dalla tua scelta un cookie verrà salvato per memorizzare nel tuo pc la risposta a questo form. Puoi modificare le impostazioni relative ai cookie nelle preferenze del tuo browser.

  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
Esempio sulla configurazione del firewall di RouterOS

#21
È possibile che le
Regole tolgano la connettivita dopo un po di tempo?
Inviato dal mio GT-I9300 con Tapatalk 2
Cita messaggio

#22
(21-12-2013, 16:06)nicozan72 Ha scritto: È possibile che le
Regole tolgano la connettivita dopo un po di tempo?
Inviato dal mio GT-I9300 con Tapatalk 2

No


sent from my iPhone using Tapatalk

---------------------------------------------

Cita messaggio

#23
salve
Ho visto questa configurazione che ha propostotrottolino, ma nel mio cao che oho solo un paio di pc che si collegano non faccio prima ed è pure più sicuro a negate tutto tranne le connesioni che avvengono da parte di questi pc?
Ciao
Luigi

..dimenticavo a cosa serve l'action Jump?
Cita messaggio

#24
(22-02-2014, 15:19)luigi67 Ha scritto: salve
Ho visto questa configurazione che ha propostotrottolino, ma nel mio cao che oho solo un paio di pc che si collegano non faccio prima ed è pure più sicuro a negate tutto tranne le connesioni che avvengono da parte di questi pc?
Ciao
Luigi

..dimenticavo a cosa serve l'action Jump?

E se poi dovessi aggiungere un PC?
Il jump lo usi dopo aver definito una categoria di pacchetti
Inviato dal mio Nexus 7 utilizzando Tapatalk

Cita messaggio

#25
(03-06-2013, 14:57)kikko Ha scritto:
Supponiamo che la rete privata abbia ip nella classe 192.168.0.0/24 e la rete pubblica (WAN) sia sull'interfaccia eth1. Vogliamo configurare il firewall per permettere tutte le connessioni al router dalla rete locale e inibire tutto il resto. Inoltre abilitiamo il protocollo ICMP sull'interfaccia wan  in modo tale che il router risponda ai ping da internet.
[hide]
Codice:
/ip firewall filter
add chain=input connection-state=invalid action=drop \
    comment="Drop Invalid connections"  
add chain=input connection-state=established action=accept \
    comment="Allow Established connections"  
add chain=input protocol=icmp action=accept \
    comment="Allow ICMP"
add chain=input src-address=192.168.0.0/24 action=accept \
    in-interface=!ether1
add chain=input action=drop comment="Drop everything else"  

Proteggere la LAN

Per proteggere la lan analizzaimo tutto il traffico che passa attraverso il router e blocchiamo il traffico indesiderato. Per il traffico icmp, tcp, udp creiamo delle chains, droppando tutti i pacchetti indesiderati:
Codice:
/ip firewall filter
add chain=forward protocol=tcp connection-state=invalid \
    action=drop comment="drop invalid connections"  
add chain=forward connection-state=established action=accept \
    comment="allow already established connections"  
add chain=forward connection-state=related action=accept \
    comment="allow related connections"  

Bloccare IP addresses:
Codice:
add chain=forward src-address=0.0.0.0/8 action=drop  
add chain=forward dst-address=0.0.0.0/8 action=drop  
add chain=forward src-address=127.0.0.0/8 action=drop
add chain=forward dst-address=127.0.0.0/8 action=drop
add chain=forward src-address=224.0.0.0/3 action=drop
add chain=forward dst-address=224.0.0.0/3 action=drop

add chain=forward protocol=tcp action=jump jump-target=tcp  
add chain=forward protocol=udp action=jump jump-target=udp  
add chain=forward protocol=icmp action=jump jump-target=icmp
Creiamo una chian per il tcp e neghiamo l'accesso ad alcune porte:
Codice:
add chain=tcp protocol=tcp dst-port=69 action=drop \
    comment="deny TFTP"
add chain=tcp protocol=tcp dst-port=111 action=drop \
    comment="deny RPC portmapper"  
add chain=tcp protocol=tcp dst-port=135 action=drop \
    comment="deny RPC portmapper"  
add chain=tcp protocol=tcp dst-port=137-139 action=drop \
    comment="deny NBT"  
add chain=tcp protocol=tcp dst-port=445 action=drop \
    comment="deny cifs"  
add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS"  
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus"  
add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus"  
add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice"  
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP"
Blocchiamo il traffico udp:
Codice:
add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP"  
add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper"  
add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper"  
add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT"  
add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS"  
add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice"  
Abilitiamo i ping sul router:
Codice:
add chain=icmp protocol=icmp icmp-options=0:0 action=accept \
    comment="echo reply"  
add chain=icmp protocol=icmp icmp-options=3:0 action=accept \
    comment="net unreachable"  
add chain=icmp protocol=icmp icmp-options=3:1 action=accept \
    comment="host unreachable"
add chain=icmp protocol=icmp icmp-options=3:4 action=accept \
    comment="host unreachable fragmentation required"  
add chain=icmp protocol=icmp icmp-options=4:0 action=accept \
    comment="allow source quench"  
add chain=icmp protocol=icmp icmp-options=8:0 action=accept \
    comment="allow echo request"  
add chain=icmp protocol=icmp icmp-options=11:0 action=accept \
    comment="allow time exceed"  
add chain=icmp protocol=icmp icmp-options=12:0 action=accept \
    comment="allow parameter bad"  
add chain=icmp action=drop comment="deny all other types"
[/hide]

Ok, ho impostato le regole di cui sopra e tutto sembra funzionare correttamente da circa un mese. Tutti i pc aziendali navigano e la rete non si sovraccarica.
Unico neo: ho provato a configurare openvpn per collegarmi dal pc di casa alla rete aziendale e la connessione si instaura solo disabilitando le regole del firewall. Una volta che la connessione si è instaurata posso ri-abilitare tutto e rimane attiva.
Dove e come vedo i log per analizzare il problema e capire quale regola o catena di regole mi provoca il blocco?
Grazie in anticipo per eventuali suggerimenti.
Cita messaggio

#26
(04-01-2018, 15:10)LoTo62 Ha scritto:
(03-06-2013, 14:57)kikko Ha scritto:
Supponiamo che la rete privata abbia ip nella classe 192.168.0.0/24 e la rete pubblica (WAN) sia sull'interfaccia eth1. Vogliamo configurare il firewall per permettere tutte le connessioni al router dalla rete locale e inibire tutto il resto. Inoltre abilitiamo il protocollo ICMP sull'interfaccia wan  in modo tale che il router risponda ai ping da internet.
Codice:
....... omesso ..............

Ok, ho impostato le regole di cui sopra e tutto sembra funzionare correttamente da circa un mese. Tutti i pc aziendali navigano e la rete non si sovraccarica.
Unico neo: ho provato a configurare openvpn per collegarmi dal pc di casa alla rete aziendale e la connessione si instaura solo disabilitando le regole del firewall. Una volta che la connessione si è instaurata posso ri-abilitare tutto e rimane attiva.
Dove e come vedo i log per analizzare il problema e capire quale regola o catena di regole mi provoca il blocco?
Grazie in anticipo per eventuali suggerimenti.

Sono scemo e quindi mi rispondo da solo: bastava leggere il wiki di mikrotik!
Ho, molto semplicemente, aggiunto:

Citazione:/ip firewall filter

add action=accept chain=input comment="OpenVPN" disabled=no dst-port=1194 protocol=tcp


prima del "Drop everything else"

In modo da istruire netfilter a far passare le richieste di connessione alla vpn.

Scusate per il post "quasi" inutile.
Cita messaggio


[-]
Condividi/Segnala (Mostra tutti)
Facebook Linkedin Twitter

Discussioni simili
Discussione Autore Risposte Letto Ultimo messaggio
  [Mikrotik] Basic Firewall hamtarociaoo 21 10'385 16-08-2016, 15:47
Ultimo messaggio: tecnofan
  Un altro esempio di Port Forwarding hamtarociaoo 0 1'115 22-11-2015, 18:11
Ultimo messaggio: hamtarociaoo
Bug un altro esempio di configurazione del firewall hamtarociaoo 23 5'747 06-02-2015, 08:15
Ultimo messaggio: kikko
  [Mikrotik] Firewall: Mangle hamtarociaoo 17 11'682 27-09-2013, 16:28
Ultimo messaggio: kikko
  [Mikrotik] Firewall: Address List hamtarociaoo 0 2'375 12-09-2013, 18:44
Ultimo messaggio: hamtarociaoo
  [Mikrotik] Firewall: Layer 7 hamtarociaoo 0 2'238 12-09-2013, 18:43
Ultimo messaggio: hamtarociaoo
  [Mikrotik] Firewall: Connection tracking hamtarociaoo 0 4'081 12-09-2013, 18:42
Ultimo messaggio: hamtarociaoo
Information [Mikrotik] RouterOS: il firewall hamtarociaoo 0 4'644 12-09-2013, 18:34
Ultimo messaggio: hamtarociaoo

Digg   Delicious   Reddit   Facebook   Twitter   StumbleUpon  


Utenti che stanno guardando questa discussione:
1 Ospite(i)


Powered by MyBB, © 2002-2018 MyBB Group.