Firewall в Mikrotik: разбираем, как обеспечивать безопасность сети
ฝัง
- เผยแพร่เมื่อ 15 ส.ค. 2017
- Firewall дает огромные возможности по управлению сетевым трафиком, проходящим через Mikrotik. Вы, как администратор сети, должны суметь разделить все потоки трафика. дать каждому из них свои права, а весь лишний трафик - заблокировать.
Firewall в Mikrotik по большей части позаимствован из IPTables из Linux.
На вебинаре мы подробно разберем все вкладки меню IP-Firewall, назначения всех параметров и пунктов.
Презентация
www.slideshare.net/mikrotik-t...
Консультации и помощь по MikroTik в нашем Telegram-канале: teleg.run/miktrain - วิทยาศาสตร์และเทคโนโลยี
![[HIGHLIGHT] หมีLIVEปะ? | EP.171 เห็นแต่ในจอ วันนี้มาต้องขอคารวะ](http://i.ytimg.com/vi/gPWLxa0e_Z8/mqdefault.jpg)
Спасибо за вебинар.
Спасибки Агроменное! Было очень интересно и полезно!
Роман, вы красавчик
Спасибо за материал
Шикарно!!!
Вразумительно и толково читать тему, при этом с нескольких источников ловить вопросы, обдумывать их, давать ответы... Что тут скажешь, это круто. Спасибо.
you all probably dont give a shit but does any of you know a trick to log back into an Instagram account??
I was dumb lost the account password. I appreciate any assistance you can offer me!
@Julius Dexter Instablaster ;)
@Duke Tristian I really appreciate your reply. I found the site through google and im in the hacking process now.
Takes a while so I will reply here later with my results.
@Duke Tristian It worked and I finally got access to my account again. I'm so happy!
Thank you so much you saved my ass!
@Julius Dexter Glad I could help :D
Реально крут, респект
Спасибо, красавчик!
Спасибо Вам
Супер спасибо
Спасибо
хороший термин - теоретическая безопасность
Приветствую! Подскажите пожалуйста, нужно чтоб адрес на который пробрасывается порт извне видел IP источника, а не IP mikrotikа.
Здравствуй Роман, подскажите или может участники переписки помогут. Есть база 1С выгруженная на компе во внутрянке с ip:и портом. Стоит микрот 951 с выделенным ip. Я прописал в nat правило и база в манго телефонии увиделась. Как ограничить к базе доступ только для сервиса Манго телефонии по Api. Сильно не пинайте сам только учусь, заранее спасибо
было бы неплохо, сделать небольшой графический скрипт для создания и редактирования правил файрволла, а это напоминает Linux Gentoo - с космическим порогом входа ...
в output не плохо реализовывается защита от брутфорса
Help .. Подскажите куда копать? В микротик приходит инет , для определенных сайтов поднят pptp client до внешнего vpn. Все работает пока на fw не включишь последнее правило - drop all. Какое правило нужно создать , чтоб заработало ?(
Пробовал , не завелось
chain=input protocol=tcp dst-port=1723 action=accept
chain=input protocol=tcp dst-port=47 action=accept
Здравствуйте. Подскажите в in.interface/out.interface, если соединение pppoe на (ether1) есть ли разница что указывать ether1 или pppoe?????
@@overburndz бро, спс за ответ но за это время я уже разобрался и давно уже сертификат получил. Не в обиду😁
Роман, понравилось видео. Но есть вопрос. Зачем пакеты которые дропать приходится, например при закрытии доступа кому либо куда либо, допускать до forward, ведь легче сразу на входе (input) их дропать, тогда меньше ресурсов железки будет задействовано? Или я не прав?
не прав. input - трафик в маршрутизатор. forward - через. цепочки - независимые друг с другом.
Роман, тогда есть еще несколько вопросов:
1. Правильно ли я понимаю, что решение о попадании пакетов в цепочку input или forward зависит от адреса назначения?
2. В видео на вопрос слушателя об очередности обработки трафика, NAT и firewall, вы сказали что сначала происходит натирование, а потом обработка firewall-ом. Тогда непонятно как отрабатывают правила для локальных клиентов, ведь после натирования происходит подмена ip отправителя?
3. После того как к пакету в цепочке forward было применено правило NAT, т.е. подменен ip, пакет все также остается в той же цепочке или переходит в output ?
Заранее благодарю за ответ.
1. Это происходит в routing decusion - именно так.
2. Натирование происходит в preroutind. Источник в случае c srcnat не изменяется - и он как был в forward - так там и остался.
3. Цепочки независимы. Forward не попадает в output.
4. Подробности можно посмотреть здесь:
wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6
Спасибо
@@MikrotikTraining т.е. forward вообще не принимает пакеты? Вот у меня, честно говоря, в голове такое не укладывается. Предположим мне говорят: передай вот это яблоко Маше. Я беру(!) это яблоко и передаю его Маше. В тот момент, когда я беру яблоко, я разве на себя пакет не принимаю?
Роман, добрый день! Если вам не трудно, подскажите пожалуйста как сделать доступ из локалки на внешний адрес через DNS mikrotik, не используя hairpin NAT?
Крайне не советую DNS mikrotik открывать на внешнем интерфейсе. Без harpin NAT другого способа не знаю.
Роман,доброго времени суток.Работаю с soho-сегментом сетевого оборудования,хочу более профессионально заниматься настройкой/внедрением,обслуживанинм.Вопрос немного риторический,но всё же: какая самая джуниорская должность в работе с оборудованием Mikrotik?Даётся ли такая информация на mum-выставках?Для каждодневного обучения всегда открыт.Хочется найти свой вектор развития(в разных проектах).Благодарю заранее.
Есть MTCNA сертификат, который дает достаточно хорошее представление об оборудовании mikrotik.
Mikrotik Training Смотрю ваше высткпление на mum2017.Интересно, а Вы с чего начинали?
Здравствуйте. Скажите в каком случае в цепочке forward используются интерфейсы in. interface или Out Interface. Понятно что надо какой то выбрать, но в каком случае какой? Я просто думаю что при цепочке forward используется пакет для интерфейса сперва является in а потом out или не так?
Просто поймите с какой стороны для вас тот или иной интерфейс. Например для ограничения выхода из локальной сети используется либо локальный интерфейс на in-interface, либо внешний интерфейс на out-interface. Правила делают одно и то же. Все зависит от задачи.
понятно получается из локалки пакет сперва идет на brige, и для brige пакет как входящий in interface, а потом пакет идет на (у меня Lte 4g модем подключен) Lte, и получается что когда трафик идет на Lte то по сути он является уходящим с Lte интерфейса, значит в Out interface надо ставить Lte.
Правильная логика?
Да.
ок спасибо
как заблокировать самсунговские сервера роутер Mikro Tik модель RB951G-2HnD
Я не понял прикола) в видео про настройку за 59 минут - это Сергей Грушко, а здесь Роман Козлов)))?
Роман здравствуйте мне нужен ваша помощь .как связаться с вами
Когда правил нету в firewall rules - разрешено всё со всех сторон, фаервол открыт, но вот дропающего правила, всё что не разрешено явно, я не увидел. Есть какое то правило, но оно для all ppp, а для вообще всего, что не разрешено явно, как будет выглядеть?
Что такое пользовательская цепочка? Если я на роутере в самом начале сбрасываю настройки по умолчанию и потом все навастриваю самостоятельно, у меня все цепочки будут ПОЛЬЗОВАТЕЛЬСКИЕ?
Что значит фраза "все настраиваю самостоятельно"? Если вы делаете настройку в рамках предопределенных цепочек (INPUT/FORWARD/OUTPUT), то пользовательским цепочкам неоткуда взяться, их надо создавать дополнительно, если сиё вообще необходимо.
видимо, если видео смотрели год назад (или больше), а тема непростая, народ на всё это забил, или перешёл на ДЛинки ))))
кто-то может подсказать что означает это правило: add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN.
Это правило стоит в дефолтной настройке роутера для защиты. Но ведь по факту это правило открывает доступ к нашей LAN для доступа из WAN.
По идее, єто правило закрывает (ибо action=drop) доступ из WAN для всех пакетов, кроме тех, что идут на проброшенные нами порты (см. настройку DST-NAT). Кстати, по-моему, connection-state=new здесь лишнее, если выше есть правило, разрешающее established, related. Потому что до єтого правила и так дойдут только new-пакеты.
а как дать разрешение, только на определенный хост?
Тоже интересно
13:33 правило "пасру" лол
А можно сделать как то так, чтобы при обращении на "заблокированный" сайт, все его IP адреса добавлялись автоматически в address list? Для дальнейшей его разблокировки через VPN. Можно конечно и вручную, но хотелось бы и такую версию проработать, если она возможна.
Я сделал правило "add dst to address list" на определенное доменное имя, оно отрезолвило IP адрес, но только один. А можно сделать чтобы все адреса резолвились? На подобии nslookup.
И подходят ли данные правила, которые вы рассмотрели в данном видео, для защиты домашнего роутера? У меня сейчас немного по другому сделаны правила.
Вот есть вроде хорошая статья, по настройке firewall bozza.ru/art-189.html вы как считаете, можно ли ее использовать в качестве настройки на домашнем роутере?
Если добавить доменное имя в /ip firewall address-list - будут добавлены все его ip адреса. Правило add dst to address list - добавляет destination - назначение, которое является по сути одним ip на который в данный момент обращаемся.
По большому счету для домашнего роутера хватает и default config.
Это я знаю, то что в address list можно добавить доменное имя и получить "все адреса" я говорил про другой метод. Чтобы при обращении к доменному имени, срабатывало автоматическое правило добавление этого адреса в address list. Но только если этот домен был заблокирован провайдером
Роман приветствую. Подскажи . Есть микротик 2011 и метро от ростелекома , интернет и телевидение у телевидения есть своя коробочка которая получает адрес от сервера и так далее... ко мне приходит 1 кабель витая, я ее втыкаю в 1 порт и настраиваю логин и пароль но при этом коробочка телевидения не получает адрес , подсказали с ростелекома что поставь хаб перед микротиком и все . так и есть стоит хаб перед микротиком один кабель идет на коробочку в торой на микротик и все работает но как то не очень зависит от хаба за 300 с али. когда стоит коммутатор за 9000 руб . Вопрос как например сделать если кабель от ростелекома воткнуть в 10 порт с 9 порта выходит на коробочку а с 8 выходит на 1 pppoe. (как разделить метро средствами микротика) надеюсь правильно объяснил. Благодарю.
privet u menia adin vapros. mojete atvechac? u menia vapros pra VPN.
Презентация недоступна
www.slideshare.net/mikrotik-training/firewall-mikrotik-78884293
Это. Сначала если тцп летит син. И дальше происходит ожидание ответного ака. Друп просто фильтрует имхо, режекть - отправляет ицмп. Для ресета соединения на источнике. Никаких рст в этом случае не передаётся ;) - ну может у микротика все по-другому в стеке тцп ;)
Чо за бред по акции тарпит? Ты инструменты для дос-атаки представляешь как работают? Правильнее всего (некоторые) инструменты генерят вообще рандомный адрес источника из некоторого скопа (чтобы пролезть через verrevpath провайдеру их брасов) и делается это для скрытия и разобщения атаки и разгрузки стека атакера. Бля 2 раза
Про рдп с тарпитом аж заслушался! Вот это неебаццо фильтер (по определению работающий на уровне l3-l4) что аж эмулирует л7! Может он просто кидает в ответ акк с сином? 8)
Он просто кидает akk с syn. В обход connection tracing.И держит соединение - никаких эмуляций l7 там нет.
Из wiki.mikrotik.comreject - drop the packet and send an ICMP reject messageЕсли у вас есть экспертиза в атаках на сети - давайте совместно проведем вебинар на тему защиты от DDoS.
А я как бы про это и говорил... Просто в презенташке чутка напридумано: относительно эмулирует соединение RDP... Даже у кошки интерсепт максимум во время ожидания отсылает кипэлайвы (но все зависит от настроек)... :)
Вебинар на какую тему? Это же в крайней степени некорректно ;)
От ДДоС, вообще говоря, защиты как таковой не имеется, есть рекомендации к снижению эффекта :) не более :) Хотя, может чо и изобрели (типа могучей утилиты CRUCK снижающий в 2 раза количество переборов брутфорса при атаке впа-пцк, которую один мой знакомый не видел, а видел знакомого, который знал того кто ее видел ;))...
Нет. От Дос атаки можно увернуться достаточно просто даже путем отсечения некоторой AS-ки связанной с атакующими адресами - Вы же помните про верревпас и настройки браса провайдера ;) С ДДос все сложнее - это же ботнет по факту с инстрементами Дос... Ну можно заблокировать весь интернет... :)
Есть, как я говорил, варианты снижения воздействия: это и динамические листы и всякого рода, лимиты как по количеству соединений в сервис, так и пропускной способности на соединение... Тут бы что-то аналогичное интерцепту - очень легко отсечь полуживые, духи и всякого рода "дутые" соединения... Но это же уже все по-взрослому... Да и все равно надо понимать, что будут пользователи, для которых получится провал в доступности...
Да и вообще - хДоС атаки - это поднасрать метод... киддистайл так сказать :)
Ну вот на вебинар наговорили) Может стоит именно про это и поговорить. Если будет интересно - пишите в телеграм или на почту.
Да не покупайте вы это говно особенно для дома ..