VLANy - Mikrotik kontrola FW

googler2

caute,
robil som 2 vlany (hostia a domaca siet) a nahodil som podla jedneho navodu aj komplet nove pravidla na firewall pretoze uz predtym mi padal net. Od Vas by som chcel vediet ci aktualne pravidla postacuju:

ip firewall filter


Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=input action=accept connection-state=established,related 

 1    chain=WAN>INPUT action=accept src-address-list=mgmt_ip 

 2    chain=input action=jump jump-target=WAN>INPUT in-interface=WAN 

 3    chain=input action=accept in-interface=fix_vlan 

 4    chain=input action=accept in-interface=host_vlan 

 5    chain=forward action=accept connection-state=established,related 

 6    chain=forward action=accept in-interface=fix_vlan out-interface=WAN 

 7    chain=forward action=accept in-interface=host_vlan out-interface=WAN 

 8    chain=forward action=drop in-interface=host_vlan out-interface=fix_vlan log=no log-prefix="" 

 9    chain=input action=drop connection-state=invalid 

10    chain=WAN>INPUT action=drop log=yes 

11    chain=input action=drop log=yes 

12    chain=forward action=drop connection-state=invalid 

13    chain=forward action=drop in-interface=WAN out-interface=fix_vlan 

14    chain=forward action=drop in-interface=WAN out-interface=host_vlan

ip firewall nat

0    chain=srcnat action=masquerade src-address-list=fix_ip out-interface=WAN log=no log-prefix="" 

 1    chain=srcnat action=masquerade src-address-list=host_ip out-interface=WAN log=no log-prefix="" 

 2    chain=dstnat action=dst-nat to-addresses=server ip to-ports=443 protocol=tcp dst-address-list=brana in-interface=WAN dst-port=443 log=no log-prefix="" 

 3    chain=dstnat action=dst-nat to-addresses=server ip to-ports=80 protocol=tcp dst-address-list=brana in-interface=WAN dst-port=80 log=no log-prefix=""

V mgmt address liste je len MT, SWITCHE a APcka,

moja topologia
gateway bridge od ISP -> MT ETH1 (WAN)
MT ETH2 -> SWITCH1 ETH1
SWITCH1 ETH2-ETH4 -> UBNT APs, ETH6-ETH16 -> Koncove zariadenia, ETH5 -> SWITCH2
SWITCH2 ETH2-ETH3 -> SERVER1 SERVER2, ETH4-ETH8 -> Koncove zariadenia, SWITCH2 ETH1 -> SWITCH1

Mam jednu VLANu, v ktorej su zaradene vsetky porty obidvoch switchov a tag je len MT port na switchi1, ostatne porty su untag.
Druha VLANa obsahuje len MT a APs, vsetky 4 porty tagovane

Siet pre hosti je prevadzkovana len na wifi UBNT APs. Tretiu MGMT VLANu nemam pretoze zo ziadneho navodu som nepochopil jej zmysel resp. ked som sa pokusil ju vytvorit tak mi nefungovala siet vobec.
Su teda tie pravidla ok alebo je tam nejaka vazna diera?

btw FW pravidla som robil podla tohto https://cnnc.cz/mikrotik-routeros-firewalling/
Este mam v plane si pozriet fail2ban v suvislosti s MT resp. DDoS pravidla a doplnit to

ludvik

Srovnej si to. Čtrnáct pravidel a vyznat se v tom nedá ... udělat chybu je pak tak krásně jednoduché, že se člověk až diví. Pěkně nejdříve input, pak forward, nakonec extra chainy (i když ten tvůj jediný je tam kvůli jednomu pravidlu úplně zbytečný). Pěkně pravidla pospolu.

Na první náhled - invalid bys měl dropovat hned na začátku po established,related.
input i forward by měl končit obecným dropem. Před ním pak povolovací výjimky.

Povolit komplet input z host_vlan mi přijde právě jako díra.

Použítí funkce interface-list ti to může také zjednodušit.

DNAT ti fungovat nebude ani jeden. Buď to musíš ve forwardu povolit také, nebo lze použít pravidlo connection NAT state.

Proč rozlišuješ maškarádu? Máš jen jednu WAN s jednou IP, ne? A dělat to address-listem ... no nevím. Co se stane s IP, kterou tam náhodou nebudeš mít? Pustíš ji na wan nepřeloženou.

googler2

diky aktualne to vyzera takto:

Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=input action=accept connection-state=established,related 

 1    chain=input action=drop connection-state=invalid 

 2    chain=input action=jump jump-target=WAN>INPUT in-interface=WAN 

 3    chain=input action=accept in-interface=fix_vlan 

 4    chain=input action=drop log=yes 

 5    chain=forward action=accept connection-state=established,related 

 6    chain=forward action=drop connection-state=invalid 

 7    chain=forward action=accept in-interface=fix_vlan out-interface=WAN 

 8    chain=forward action=accept in-interface=host_vlan out-interface=WAN 

 9    chain=forward action=accept protocol=tcp in-interface=WAN dst-port=80 log=no log-prefix="" 

10    chain=forward action=accept protocol=tcp in-interface=WAN dst-port=443 log=no log-prefix="" 

11    chain=forward action=drop in-interface=host_vlan out-interface=fix_vlan log=no log-prefix="" 

12    chain=forward action=drop in-interface=WAN out-interface=fix_vlan 

13    chain=forward action=drop in-interface=WAN out-interface=host_vlan 

14    chain=forward action=drop log=yes log-prefix="" 

15    chain=WAN>INPUT action=accept src-address-list=mgmt_ip 

16    chain=WAN>INPUT action=drop log=yes

pridane pravidlo pre porty 80 a 443 (diky ani som si nevsimol ze z vonku mi nejde server)
Pridane vseobecny drop na konci forwardu
Usporiadane pravidla podla odporucania - teraz to uz je asi ok (niekde som cital ze najskor musia ist vsetky accepty a po nich vsetky dropy preto som to tak mal predtym)
Vymazany accept inputu z host_vlan
Dve maskarady pouzivam preto aby som v pripade potreby mohol jednoduchsie zablokovat net vsetkym hostom a nie domacim
pokial mas na mysli ten mgmt address list tak do neho som dal len mikrotik, switche a APcka, ked do siete nahodou zapojim nove mgmt zariadenie tak ho do toho listu doplnim. Nestava sa casto ze by som rozsiroval alebo menil mgmt zariadenia v sieti takze mi to nebude vadit
interface listy som nepouzil pretoze mam premenovane defaultne nazvy ssamotnych interfaceov a navyse na MT pouzivam len dva fyzicke interface Eth1 (WAN) a Eth2 (fix_vlan a host_vlan).

ludvik

pořadí accept a drop záleží na tvých potřebách. Za důležitější považuji ten drop na úplném konci.

Interface list nemá s přejmenováním co společného. Spíš naopak - budeš mít potřebu přenést konfiguraci jinam. A tam se ti budou interface jmenovat jinak. V případě interface listu si upravíš jen ten, bude to pár řádků. A firewall bude stále v pořádku.

12+13 máš zbytečně.

9+10 lze opravdu řešit tím connection nat state. Má to tu výhodu, že pak přesměrování řešíš jen na jednom místě - v tabulce NAT.
7+18 lze řešit jednodušeji - nepotřebuješ omezovat in-interface. Všechny (pokud to dobře chápu), mají přístup na WAN. A ten interface list ti to srazí na jedno pravidlo. Nutné to samozřejmě není.

Pokud nepotřebuješ na inputu používat nic krom managementu (nabízí se třeba DNS, nebo NTP), tak to je jinak nejspíš ok.

googler2

ludvik Pokud nepotřebuješ na inputu používat nic krom managementu (nabízí se třeba DNS, nebo NTP), tak to je jinak nejspíš ok.

Nie som si isty ako to myslis - v DNS mam povolene remote requesty a servery mam zadane 3:

Samotny mikrotik (to preto aby aj v LAN sieti fungovalo pripojenie na server cez klasicku webovu domenu)
A potom este dva DNS servery mojho ISP

Ako NTP servery mam v MT tieto:

195.113.144.201
78.108.145.1

googler2

ludvik DNS on nijak neřeší. Čili z té host_vlan musí používat nějaké z internetu (za WAN). Resolver na tom mikrotiku mu fungovat nebude.

Tak som to otestoval pripojil som sa na host a potom som zadal do prehliadaca domenu servera a funguje to.Zabudol som napisat ze kazda vlana ma svoj dhcp server cize aj vlastny mikrotik dns takze mozno to je dovod ze to funguje
A ak si mal na mysli ze Mikrotik nebude fungovat v ramci host vlan pre "svet" tak to samozrejme chapem a preto som do DNS zadal aj servery mojho ISP

ludvik 9+10 lze opravdu řešit tím connection nat state.

Ak si myslel toto pravidlo:
add chain=forward connection-nat-state=dstnat action=accept
tak sa priznam ze si nie som isty ci spravne odhadujem co to pravidlo znamena ale myslim si ze to pravidlo povoli vseobecne vsetko co je natovane pricom konkretne NAT pravidla sa potom vzdy zadavaju iba do /ip firewall nat.
Je to tak?

googler2

ludvik 12+13 máš zbytečně.

a preco su pravidla 12,13 zbytocne? Ja ich chapem tak ze nedovoluju nepovoleny pristup z netu do lan.

ludvik

NTP máš na internetu, čili mu to projde obecným pravidlem.
Vlastní MK je v pohodě. OUTPUT neřeší a odpověď z internetu mu povolí to první pravidlo established,related.

DNS on nijak neřeší. Čili z té host_vlan musí používat nějaké z internetu (za WAN). Resolver na tom mikrotiku mu fungovat nebude.

ludvik

Ano, všetko. To je co chceš.

ludvik

Protože hned po nich máš drop na všechno.

googler2

sorry to som si neuvedomil 😃

googler2

teraz si pozeram log a zistil som ze to pravidlo 16

16 chain=WAN>INPUT action=drop log=yes

mi tu hadze strasne vela zaznamov (cca kazde 4 sekundy 1) je to normalne alebo sa treba tomu venovat?

02:21:12 firewall,info WAN>INPUT: in:WAN out:(unknown 0), src-mac xxx, proto TCP (SYN), ip nejakeho externehoho servera:59536->ip mojej gateway od isp:8071, len 40 02:21:16 firewall,info WAN>INPUT: in:WAN out:(unknown 0), src-mac xxxx, proto TCP (SYN), ip nejakehoho externeho servera2:9556->ip mojej gateway od isp:58558, len 52 02:21:19 firewall,info WAN>INPUT: in:WAN out:(unknown 0), src-mac xxxx, proto TCP (SYN), ip externeho servera3->ip mojej gateway od isp:58558, len 52 02:21:23 firewall,info WAN>INPUT: in:WAN out:(unknown 0), src-mac xxxx, proto UDP, ip nejakeho externeho servera4->ip mojej gateway od isp:58558, len 132 ...
Asi som zabudol v prvom poste napisat ze ISP pouziva NAT 1:1 a ta gateway ma ip s inej podsieti ako je moja podsiet.

Mozno je nejaky "konflikt" medzi mojou sietou a tou gateway a staci jej pridat nejaku vynimku alebo mozno to nie je ziadny problem, neviem

ludvik

To je naprosto normální. Pořád to bude někdo zkoušet.
Pokud už to chceš logovat, nastuduj si LIMIT, abys tam neměl úplně všechno.

radek_kovacik

ludvik Není lepší řešení, než pouze omezit zápis do logu, omezit přímo toho útočníka? Já mám tyhle problémy taky, ale nevím, jaká vlastnost ve firewallu by se na to dala použít a jak ji správně nastavit, aby pravidlo případně neblokovalo i regulérní požadavky. Jde to taky tím limitem nebo je na to něco jiného?

googler2

este mi napadlo ci musim mat povoleny komplet input z "domacej" vlany? Nebolo by menej rizikove definovat konkretne IPs, ktore budu mat pristup do administracie MT? Alebo sa mylim a ide tam aj o nieco ine okrem samotnej administracie MT?

Netreba doplnit este bogon pravidla?

ludvik

googler2 Na začátečníka vymýšlíš zbytečné složitosti. Samozřejmě, že čím větší omezení si vymyslíš, tím teoreticky bezpečnější to bude. Bude existovat méně zdrojů, odkud se může něco stát. Jenže zároveň čím víc omezení si vymyslíš, tím víc si sám sobě podřezáváš větev.

Který bogon? Všechny IP na světě jsou rozdané ...

Ono pod bezpečnost patří i údržba firmware jako takového. Můžeš si udělat firewall jaký chceš, ale pokud bude firmware děravý, nemusí ti to být moc platné.

ludvik

radek_kovacik To pravidlo zní "DROP & LOG". Jaké další/větší omezení útočníka máš na mysli?

googler2

radek_kovacik Není lepší řešení, než pouze omezit zápis do logu, omezit přímo toho útočníka? Já mám tyhle problémy taky, ale nevím, jaká vlastnost ve firewallu by se na to dala použít a jak ji správně nastavit, aby pravidlo případně neblokovalo i regulérní požadavky. Jde to taky tím limitem nebo je na to něco jiného?

Aj mna by zaujimalo co tym myslis?

radek_kovacik

ludvik Nemyslel jsem větší omezení útočníka, ale omezení obecně. Ten tvůj příspěvek jsem totiž pochopil tak, že by se měl omezit pouze zápis těchto údajů do logu, aby nebyl nepřehledný. Z toho právě vzešel ten dotaz. Jde na to použít ta podmínka LIMIT? Jaké tam nastavit limity?

googler2

ludvik Ono pod bezpečnost patří i údržba firmware jako takového. Můžeš si udělat firewall jaký chceš, ale pokud bude firmware děravý, nemusí ti to být moc platné.

To chapem, ale deravy firmware nijako neovplyvnim (mozem ho len aktualizovat), ale firewall pripadne este ine nastavenia na zvysenie bezpecnosti ovplyvnit mozem.

Ten bogon sa spomina na viacerych weboch, ale napr.aj tu http://blog.d3d.org/mikrotik-a-zakladni-nastaveni/

ludvik

googler2 Tady je napsaný ještě docela minimalisticky, asi to ničemu neublíží. Jen musíš myslet na to, jaké IP se ti pohybují za WAN. Pokud tvůj ISP jede na privátních, tak bysis podřízl komunikaci.
A je dost dobře možné, že zrovna tohle ISP blokuje sám od sebe ...

To spíš ty nezapomeň na techniku BCP38. Je o filtrování tvé LAN strany, nesmí z ní přijít zfalšovaná SRC IP.

Dobré také je mít v routovací tabulce blackhole routy:
/ip route
add distance=1 dst-address=100.64.0.0/10 type=blackhole
add distance=1 dst-address=169.254.0.0/16 type=blackhole
add distance=1 dst-address=172.16.0.0/12 type=blackhole
add distance=1 dst-address=192.168.0.0/16 type=blackhole
add distance=1 dst-address=10.0.0.0/8 type=blackhole

Ale opět záleží na tom, jak funguje ISP. Pokud na privátních, ty tam tu blackhole mít nesmíš (pokud nedisponuješ plnou routovací tabulkou, což na 99.5 % nedisponuješ).
Minimálně tvůj LAN rozsah by ale měl být blackhole routou pokryt.

googler2

ludvik

Ked som sa pokusil nastavit tie blackhole routy tak mi prestal fungovat net takze som ich vymazal. Ako si to myslel ze minimalne tie moje dva lan rozsahy by mali byt blackhole? Vsak je ziaduce aby bola moja siet "recheable" alebo som nieco nepochopil?
Snazil som sa najst nieco o tom bcp38 ale moc som tomu nerozumel a nikde som nenasiel nejaky step by step navod - asi to je mimo mojich schopnosti

Další stránka »