Facebook  -  Twitter      

Questo forum fa uso dei cookie
Questo forum utilizza i cookie per memorizzare i dettagli del tuo login o della tua ultima visita. I cookie sono piccoli files di testo salvati nel computer; i cookie da noi utilizzati sono relativi unicamente ai servizi da noi forniti direttamente o dai banner pubblicitari. I cookie su questo forum salvano inoltre i dettagli relativi alle discussioni lette e alle tue preferenze personali. Sei pregato di selezionare il tasto OKAY se sei consapevole della presenza di questi files e ci autorizzi ad utilizarli per le informazioni specificate.

Indipendentemente dalla tua scelta un cookie verrà salvato per memorizzare nel tuo pc la risposta a questo form. Puoi modificare le impostazioni relative ai cookie nelle preferenze del tuo browser.

  • 0 voto(i) - 0 media
  • 1
  • 2
  • 3
  • 4
  • 5
[Mikrotik] Basic Firewall

#1
Di seguito sono elencate alcune regole per una configurazione base del firewall di routerOS. Il primo passo è quello di creare una address-list:
[hide]
Codice:
/ip firewall address-list add address=x.x.x.x/x disabled=no list=support

dove x.x.x.x è la subnet che dovrà avere pieno accesso al router

Codice:
/ip firewall address-list

add address=0.0.0.0/8 comment="Self-Identification [RFC 3330]" disabled=no list=bogons
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A # Check if you need this subnet before enable it"\
disabled=yes list=bogons
add address=127.0.0.0/16 comment="Loopback [RFC 3330]" disabled=no list=bogons
add address=169.254.0.0/16 comment="Link Local [RFC 3330]" disabled=no list=bogons
add address=172.16.0.0/12 comment="Private[RFC 1918] - CLASS B # Check if you need this subnet before enable it"\
disabled=yes list=bogons
add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C # Check if you need this subnet before enable it"\
disabled=yes list=bogons
add address=192.0.2.0/24 comment="Reserved - IANA - TestNet1" disabled=no list=bogons
add address=192.88.99.0/24 comment="6to4 Relay Anycast [RFC 3068]" disabled=no list=bogons
add address=198.18.0.0/15 comment="NIDB Testing" disabled=no list=bogons
add address=198.51.100.0/24 comment="Reserved - IANA - TestNet2" disabled=no list=bogons
add address=203.0.113.0/24 comment="Reserved - IANA - TestNet3" disabled=no list=bogons
add address=224.0.0.0/4 comment="MC, Class D, IANA # Check if you need this subnet before enable it"\
disabled=yes list=bogons

Adesso configuriamo la protezione contro: SynFlood, ICMP Flood, Port Scan, spam e-mail e molto altro. Per ulteriori informazioni, leggere i commenti.
Codice:
/ip firewall filter

add action=add-src-to-address-list address-list=Syn_Flooder address-list-timeout=30m chain=input \
comment="Add Syn Flood IP to the list" connection-limit=30,32 disabled=no protocol=tcp tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" disabled=no src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment="Port Scanner Detect"\
disabled=no protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" disabled=no src-address-list=Port_Scanner
add action=jump chain=input comment="Jump for icmp input flow" disabled=no jump-target=ICMP protocol=icmp
add action=drop chain=input\
comment="Block all access to the winbox - except to support list # DO NOT ENABLE THIS RULE BEFORE ADD YOUR SUBNET IN THE SUPPORT ADDRESS LIST"\
disabled=yes dst-port=8291 protocol=tcp src-address-list=!support
add action=jump chain=forward comment="Jump for icmp forward flow" disabled=no jump-target=ICMP protocol=icmp
add action=drop chain=forward comment="Drop to bogon list" disabled=no dst-address-list=bogons
add action=add-src-to-address-list address-list=spammers address-list-timeout=3h chain=forward comment="Add Spammers to the list for 3 hours"\
connection-limit=30,32 disabled=no dst-port=25,587 limit=30/1m,0 protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" disabled=no dst-port=25,587 protocol=tcp src-address-list=spammers
add action=accept chain=input comment="Accept DNS - UDP" disabled=no port=53 protocol=udp
add action=accept chain=input comment="Accept DNS - TCP" disabled=no port=53 protocol=tcp
add action=accept chain=input comment="Accept to established connections" connection-state=established\
disabled=no protocol=tcp
add action=accept chain=input comment="Accept to related connections" connection-state=related disabled=no protocol=tcp
add action=accept chain=input comment="Full access to SUPPORT address list" disabled=no src-address-list=support
add action=drop chain=input comment="Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED"\
disabled=yes
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" disabled=no icmp-options=8:0 limit=1,5 protocol=icmp
add action=accept chain=ICMP comment="Echo reply" disabled=no icmp-options=0:0 protocol=icmp
add action=accept chain=ICMP comment="Time Exceeded" disabled=no icmp-options=11:0 protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" disabled=no icmp-options=3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD disabled=no icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" disabled=no protocol=icmp
add action=jump chain=output comment="Jump for icmp output" disabled=no jump-target=ICMP protocol=icmp
[/hide]
Cita messaggio

#2
ciao hamtarociaoo, colgo l'occasione per una domanda riguardante le regole di firewall di cui sopra.
Girovagando per la rete ho trovato le stesse info su altri siti, ma nessuno specificava se le regole di default debbano essere lasciate o no.

Per conto mio, le sto disabilitando una per una e non ho trovato particolari malfunzionamenti, per cu isarei dell'idea di rimuoverle del tutto, dopo aver aggiunto queste, mi dai conferma?

Grazie
Cita messaggio

#3
A quali regole ti riferisci? Di solito in una configuazione base si hanno due regole: una che accetta le connessioni normali e una che blocca quelle non formulate in modo corretto, indendi quelle?
Cita messaggio

#4
nel mio c'eraqo queste... come Quick set ho selezionato Home AP:

ho RouterOS 6.19

Codice:
[admin@router] /system script> /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 X  ;;; default configuration
      chain=input action=accept protocol=icmp log=no log-prefix=""

1 X  ;;; default configuration
      chain=input action=accept connection-state=established log=no log-prefix=""

2 X  ;;; default configuration
      chain=input action=accept connection-state=related log=no log-prefix=""

3 X  ;;; default configuration
      chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""

4 X  ;;; default configuration
      chain=forward action=accept connection-state=established log=no log-prefix=""

5 X  ;;; default configuration
      chain=forward action=accept connection-state=related log=no log-prefix=""

6    ;;; default configuration
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

si, comunque mi riferisco a quelle... pensavo di rimuoverle dopo aver aggiunte quelle del tuo post.
Cita messaggio

#5
(28-08-2014, 15:33)daktari77 Ha scritto: nel mio c'eraqo queste... come Quick set ho selezionato Home AP:

ho RouterOS 6.19

[admin@router] /system script> /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 X ;;; default configuration
chain=input action=accept protocol=icmp log=no log-prefix=""

1 X ;;; default configuration
chain=input action=accept connection-state=established log=no log-prefix=""

2 X ;;; default configuration
chain=input action=accept connection-state=related log=no log-prefix=""

3 X ;;; default configuration
chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""

4 X ;;; default configuration
chain=forward action=accept connection-state=established log=no log-prefix=""

5 X ;;; default configuration
chain=forward action=accept connection-state=related log=no log-prefix=""

6 ;;; default configuration
chain=forward action=drop connection-state=invalid log=no log-prefix=""

si, comunque mi riferisco a quelle... pensavo di rimuoverle dopo aver aggiunte quelle del tuo post.

puoi rimuoverle ma devi sostituirle Smile
MTCNA Certified
MTCRE Certified
------------------------------
www.routerositalia.it
www.ubntitalia.it
Cita messaggio

#6
(28-08-2014, 15:33)daktari77 Ha scritto: nel mio c'eraqo queste... come Quick set ho selezionato Home AP:

ho RouterOS 6.19

Codice:
[admin@router] /system script> /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 X  ;;; default configuration
      chain=input action=accept protocol=icmp log=no log-prefix=""

1 X  ;;; default configuration
      chain=input action=accept connection-state=established log=no log-prefix=""

2 X  ;;; default configuration
      chain=input action=accept connection-state=related log=no log-prefix=""

3 X  ;;; default configuration
      chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""

4 X  ;;; default configuration
      chain=forward action=accept connection-state=established log=no log-prefix=""

5 X  ;;; default configuration
      chain=forward action=accept connection-state=related log=no log-prefix=""

6    ;;; default configuration
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

si, comunque mi riferisco a quelle... pensavo di rimuoverle dopo aver aggiunte quelle del tuo post.

puoi rimuoverle ed utilizzare quelle della guida, sono simili Smile
Cita messaggio

#7
Ecco tutte le regole, la mia idea era di eliminare quelle di default poichè mi sembra che le successive contengano regole simili.

Codice:
[admin@router] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 X  ;;; default configuration
      chain=input action=accept protocol=icmp log=no log-prefix=""

1 X  ;;; default configuration
      chain=input action=accept connection-state=established log=no log-prefix=""

2 X  ;;; default configuration
      chain=input action=accept connection-state=related log=no log-prefix=""

3 X  ;;; default configuration
      chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""

4 X  ;;; default configuration
      chain=forward action=accept connection-state=established log=no log-prefix=""

5 X  ;;; default configuration
      chain=forward action=accept connection-state=related log=no log-prefix=""

6    ;;; default configuration
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

7    ;;; Blocca tutti gli accessi a  winbox - eccetto quelli provenienti dalla address-list SUPPORT
      chain=input action=drop protocol=tcp src-address-list=!support dst-port=8291 log=no log-prefix=""

8    ;;; Add Syn Flood IP to the list
      chain=input action=add-src-to-address-list tcp-flags=syn protocol=tcp address-list=Syn_Flooder address-list-timeout=30m connection-limit=30,32 log=no log-prefix=""

9    ;;; Drop to syn flood list
      chain=input action=drop src-address-list=Syn_Flooder log=no log-prefix=""

10    ;;; Port Scanner Detect
      chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1 address-list=Port_Scanner address-list-timeout=1w log=no log-prefix=""

11    ;;; Drop to port scan list
      chain=input action=drop src-address-list=Port_Scanner log=no log-prefix=""

12    ;;; Jump for icmp input flow
      chain=input action=jump jump-target=ICMP protocol=icmp log=no log-prefix=""

13    ;;; Jump for icmp forward flow
      chain=forward action=jump jump-target=ICMP protocol=icmp log=no log-prefix=""

14    ;;; Drop to bogon list
      chain=forward action=drop dst-address-list=bogons log=no log-prefix=""

15    ;;; Add Spammers to the list for 3 hours
      chain=forward action=add-src-to-address-list protocol=tcp address-list=spammers address-list-timeout=3h dst-port=25,587 connection-limit=30,32 limit=30/1m,0 log=no log-prefix=""

16    ;;; Avoid spammers action
      chain=forward action=drop protocol=tcp src-address-list=spammers dst-port=25,587 log=no log-prefix=""

17    ;;; Accept DNS - UDP
      chain=input action=accept protocol=udp port=53 log=no log-prefix=""

18    ;;; Accept DNS - TCP
      chain=input action=accept protocol=tcp port=53 log=no log-prefix=""

19    ;;; Accept to established connections
      chain=input action=accept connection-state=established log=no log-prefix=""

20    ;;; Accept to related connections
      chain=input action=accept connection-state=related log=no log-prefix=""

21    ;;; Full access to SUPPORT address list
      chain=input action=accept src-address-list=support log=no log-prefix=""

22 X  ;;; Drop anything else! # DO NOT ENABLE THIS RULE BEFORE YOU MAKE SURE ABOUT ALL ACCEPT RULES YOU NEED
      chain=input action=drop log=no log-prefix=""

23    ;;; Echo request - Avoiding Ping Flood
      chain=ICMP action=accept protocol=icmp icmp-options=8:0 limit=1,5 log=no log-prefix=""

24    ;;; Echo reply
      chain=ICMP action=accept protocol=icmp icmp-options=0:0 log=no log-prefix=""

25    ;;; Time Exceeded
      chain=ICMP action=accept protocol=icmp icmp-options=11:0 log=no log-prefix=""

26    ;;; Destination unreachable
      chain=ICMP action=accept protocol=icmp icmp-options=3:0-1 log=no log-prefix=""

27    ;;; PMTUD
      chain=ICMP action=accept protocol=icmp icmp-options=3:4 log=no log-prefix=""

28    ;;; Drop to the other ICMPs
      chain=ICMP action=drop protocol=icmp log=no log-prefix=""

29    ;;; Jump for icmp output
      chain=output action=jump jump-target=ICMP protocol=icmp log=no log-prefix=""
Cita messaggio

#8
scusate se mi intrometto nella discussione: io al posto tuo disabiliterei quelle di default e ci metterei su quelle che ti ha consigliato @hamtarociaoo , fatta questa prova vedi se tutto è perfettamente funzionante.
Wink
MTCNA Certified
MTCRE Certified
------------------------------
www.routerositalia.it
www.ubntitalia.it
Cita messaggio

#9
Concordo Smile poi se vedi che manca qualcosa aggiungerai a mano per migliorare la situazione, prima di fare modifiche è utile comprenderne l'utilitá Angel
Cita messaggio

#10
Concordo sulla necessità/utilità di comprendere l'utilità, infatti nel tempo libero leggo le regole e le studio.

Ma nel frattempo, visto l'export delle mie attuali regole (che sono le stesse postate da hamtarociaoo) posso procedere con la cancellazione delle regole di default ed eventualmente apportare qualche modifica?

Ricordo che la mia è una lan casalinga!

P.s. dimenicavo che sono su rete Fastweb, quindi il mio router è collegato all'HAG!
Cita messaggio


[-]
Condividi/Segnala (Mostra tutti)
Facebook Linkedin Twitter

Discussioni simili
Discussione Autore Risposte Letto Ultimo messaggio
Bug un altro esempio di configurazione del firewall hamtarociaoo 23 4'661 06-02-2015, 08:15
Ultimo messaggio: kikko
  Esempio sulla configurazione del firewall di RouterOS kikko 23 7'675 22-02-2014, 16:57
Ultimo messaggio: kikko
  [Mikrotik] Firewall: Mangle hamtarociaoo 17 10'059 27-09-2013, 16:28
Ultimo messaggio: kikko
  [Mikrotik] Firewall: Address List hamtarociaoo 0 1'956 12-09-2013, 18:44
Ultimo messaggio: hamtarociaoo
  [Mikrotik] Firewall: Layer 7 hamtarociaoo 0 1'903 12-09-2013, 18:43
Ultimo messaggio: hamtarociaoo
  [Mikrotik] Firewall: Connection tracking hamtarociaoo 0 3'719 12-09-2013, 18:42
Ultimo messaggio: hamtarociaoo
Information [Mikrotik] RouterOS: il firewall hamtarociaoo 0 4'125 12-09-2013, 18:34
Ultimo messaggio: hamtarociaoo

Digg   Delicious   Reddit   Facebook   Twitter   StumbleUpon  


Utenti che stanno guardando questa discussione:
1 Ospite(i)


Powered by MyBB, © 2002-2017 MyBB Group.