problém s filter rules

vohralik_t

Ahoj, chci se zeptat, snažím se na svém MK nastavit firewall ale trochu s tím bojuju.

Na mém mikrotiku mám nakonfigurované DNS se statickými adresami pro vnitřní sít. Vše funguje tak jak chci, až do chvíle než si nastavím filter rules. Pak mi přestane fungovat primární DNS které mám nastavené na můj MK a DNS začne běhat po sekundárním které mám nastavené na ISP tím pádem mi přestanou fungovat statické DNS záznamy které mám nastavené na svém MK.

Firewall mám nastavený tak že poslední dvě pravidla zakazujou všechen provoz, tak to chci. Ale před těmi pravidly mám nastavené povolení na DNS, které přes to nefunguje. Když zakážu poslední dvě pravidla co zakazujou všechno tak Primární DNS zase funguje. Nějaké rady ? díky

/ip firewall filter

add chain=forward comment="allow established connections" connection-state=\

established

add chain=forward comment="allow related connections" connection-state=\

add action=drop chain=forward comment="drop invalid connections" \

connection-state=invalid

add action=drop chain=forward comment="drop port scanners from blacklist" \

src-address-list="port scanners"

add action=drop chain=input comment="drop port scanners from blacklist" \

src-address-list="port scanners"

add action=add-src-to-address-list address-list="port scanners" \

address-list-timeout=2w chain=input comment=\

"add port scanners to blacklist" protocol=tcp psd=21,3s,3,1

add chain=forward disabled=yes dst-port=53 protocol=udp

add chain=forward disabled=yes dst-port=53 protocol=tcp

add chain=input disabled=yes dst-port=53 protocol=udp

add chain=input disabled=yes dst-port=53 protocol=tcp

add action=drop chain=input comment=drop in-interface=ether2-internet

add action=drop chain=forward in-interface=ether2-internet

mirek_k

Ta dvě pravidla pro DNS jsou zakázaná a chybí jim akce - ta by měla být allow.

Mirek

ludvik

action=accept je default a jako takový ve výpisu není uváděn.

ludvik

Ten DNS je přesně kde?

vohralik_t

Ten DNS je přesně kde?

jestli správně chápu dotaz tak DNS je přímo na MK co dělá router do internetu

vohralik_t

ještě sem přidal dvě pravidla i na input a stejně nic

add chain=input disabled=yes dst-port=53 protocol=udp

add chain=input disabled=yes dst-port=53 protocol=tcp

ludvik

Přidávat disablované pravidla nemá moc smyslu.

ludvik

Pokud tyhle dvě pravidla (enablovaná) přidáš na začátek (resp jako čtvrté, za to "invalid"), tak prostě DNS jít musí.

Bys nám také mohl trochu pomoci a dát sem výpis trochu lépe čitelný. Ale co už ...

Pokud je LAN strana jinde, než ether2, tak jediné pravidlo co ti může zakázat přístup na DNS server na tomto routeru je ta podivnost ohledně port scanneru.

Je to holt nedodržení štábní kultury. Na začátek každého chainu (INPUT, FORWARD) dej to established, related. Pak případně stále platná zákazová pravidla (např. to invalid). Poté povol co potřebuješ, aby bylo přístupné a na konci vše zakaž. Mluvím o INPUT.

Forward můžeš chtít obráceně ...

Mám takový pocit, že přesně tohle jsem zde psal už včera nebo předevčírem.

vohralik_t

DNS pravidla jsem tedy dal za jako 4té pravidlo za "invalid" nepomohlo, zkusil jsem vypnout pravidla na portscanner a taky nepomohlo. Eth1-lan_sít a Eth2-internet

Bohužel dělám pravidla přes winbox, a tohle je přes export firewallu přes terminál proto je to tak "nečitelné".

Filter rules po úpravě a bez portscanneru a stejně nic :(

/ip firewall filter

add action=accept chain=forward connection-state=established comment="allow established connections"

add action=accept chain=forward connection-state=related comment="allow related connections"

add action=drop chain=forward connection-state=invalid comment="drop invalid connections"

add action=accept chain=forward disabled=yes dst-port=53 protocol=udp

add action=accept chain=input disabled=yes dst-port=53 protocol=udp

add action=drop chain=input in-interface=ether2-internet

add action=drop chain=forward in-interface=ether2-internet

majklik

A s tímto firewallem ti to dělá co? Řekl bych, že když se klient obrátí na Mikrotik, tak mu vrátí ty statické záznamy, ale nebude schopen vrátit odpověď na něco z venku, protože předposlední pravidlo:

add action=drop chain=input in-interface=ether2-internet

způsobí, že DNS dotaz pře poslaný z toho RB směrem ven jeho interním DNS forwarderem, tak nedostane zpět odpověď. Jednoduchý test, na tom RB si pusť terminál a zkus dát ping na nějaké jméno: /ping www.porno.cz

Pokud ti to hodí, že nejde přeložit, tak máš problém (nebo vůbec nemáš na RB natavenu adresu DNS serveru, kam přeposílat neznámé dotazy od /ip dns).

Hodilo by se tma ještě na začátku mít pravidlo typu:

/ip firewall filter

add chain=input connection-state=established,related action=accept

ludvik

Což jsem mu radil ...

Hodilo by se tma ještě na začátku mít pravidlo typu:

/ip firewall filter

add chain=input connection-state=established,related action=accept

Holt je potřeba pořádný popis problému. Nemožnost překladu mikrotikem jsem přehlédl.

vohralik_t

A s tímto firewallem ti to dělá co? Řekl bych, že když se klient obrátí na Mikrotik, tak mu vrátí ty statické záznamy, ale nebude schopen vrátit odpověď na něco z venku, protože předposlední pravidlo:

add action=drop chain=input in-interface=ether2-internet

způsobí, že DNS dotaz pře poslaný z toho RB směrem ven jeho interním DNS forwarderem, tak nedostane zpět odpověď. Jednoduchý test, na tom RB si pusť terminál a zkus dát ping na nějaké jméno: /ping http://www.porno.cz

Pokud ti to hodí, že nejde přeložit, tak máš problém (nebo vůbec nemáš na RB natavenu adresu DNS serveru, kam přeposílat neznámé dotazy od /ip dns).

Hodilo by se tma ještě na začátku mít pravidlo typu:

/ip firewall filter

add chain=input connection-state=established,related action=accept

super teď to vypadá dobře. Zkusil jsem z terminalu pingnout porno.cz s zapnutým předposledním pravidlem a bez výsledku. Zkusil jsem ho zakázat a ping se rozběhl. Tak jsem předposlední pravidlo zase povolil a přidal add chain=input connection-state=established,related action=accep a už to běží jak si představuji. Děkuji za pomoc