Firewall pravidla pro lokální porty

sachlj

Hlava mi nebere jak napsat pravidla pro firewall pro porty v lokální síti. Respektive mi jde o pravidlo kdy na serveru je MYSQL databáze do které se přistupuje přes port 3306. Potřebuji aby jakýkoliv počítač mohl zapisovat a přistupovat k databázi a žádný počítač z venku nemohl. Poradíte prosím? Nechci překlápět porty. Děkuji moc.

redmax

ip firewall filter add chain=forward protocol=tcp dst-port=3306 in-interface=WAN action=drop
Tedy uvnitř sítě není potřeba pravidlo, ale jenom bych dropnul zvenku port. Resp. bys měl mít dropnutý vše 1-65535 a povolené jen ty, které potřebuješ a nechat je nadřazené nad dropem.

sachlj

děkuji, vyzkouším

ludvik

chain input se týká paketů, které přijdou na router a zůstanou tam. Na ROS mu MySQL určitě neběží. Čili to musí být ve forward.

V lokální síti také leckdy nic moc omezovat nejde. Většinou je to přes switch a routeru se to netýká. Pak zbývají buď ACL na lepších switchích, nebo bridge filter (je-li to softwarový switch na mikrotiku). Případně firewally na serverech samotných.

Ale jinak bych řekl, že je ten firewall postavený špatně. Základ je:
a) zevnitř ven se omezovat většinou nemusí
b) je potřeba ochránit router sám, tedy na inputu, především z WAN strany.
c) zvenku dovnitř zakázat všechno, povolovat jen výjimky. Pak nehrozí, že si omylem něco vystavíš na internet.

drakgon

ludvik přesně tak... není co dodat...

redmax

ludvik Pardon, upsal jsem se. :-)
Edit: opravil jsem to, aby to případně dalšího nezmátlo. :-D

sachlj

Kompletně jsem přepracoval pravidla firewallu, nasadil jsem kompletně jiná, z tohoto wiki:
https://help.mikrotik.com/docs/display/ROS/Building+Advanced+Firewall
traffic se zrychlil a vše funguje.
apropo: používáte někdo pravidla pro Layer7? Já jsem našel jedno funkční pravidlo na FB:

/ip firewall layer7-protocol
add name=Block regexp="^.+(youtube.com|facebook.com).*\$"
/ip firewall filter
add action=reject chain=forward layer7-protocol=Block comment=Layer7

a pak jsem našel seznam pravidel ale zastaralý a odkaz na nový nefunguje.
http://l7-filter.sourceforge.net/protocols
nemáte náhodou někdo seznam aktuálních pravidel? Parádně to blokuje i apky na mobilech co tečou přes wifi.

radek_kovacik

Co znamená tento zápis (vyskytuje se na výše uvedených stránkách Mikrotiku - konkrétně zde):
/ipv6 firewall address-list add address=xxxx::/48 list=allowed

Jaký význam má to x?

ludvik

Význam to má stejný, jako v rovnicích ... doplň si tam čísla dle své potřeby.

sachlj

díky za rady. tohle funguje ale..je to jedno VELIKÉ ALE.
log v apache teď vypadá takto:
192.168.88.1 - - [03/Nov/2020:17:14:23 +0100] "GET /icons/rain.png HTTP/1.1" 404 505 "http://template.kvetinkova345.info/indexDesktop.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0" 192.168.88.1 - - [03/Nov/2020:17:14:23 +0100] "GET /icons/pressure.png HTTP/1.1" 404 505 "http://template.kvetinkova345.info/indexDesktop.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0" 192.168.88.1 - - [03/Nov/2020:17:14:23 +0100] "GET /icons/cloudbase.png HTTP/1.1" 404 505 "http://template.kvetinkova345.info/indexDesktop.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0" 192.168.88.1 - - [03/Nov/2020:17:14:23 +0100] "GET /icons/visibility.png HTTP/1.1" 404 505 "http://template.kvetinkova345.info/indexDesktop.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0" 192.168.88.1 - - [03/Nov/2020:17:14:23 +0100] "GET /scripts/jquery-ui.js HTTP/1.1" 200 74477 "http://template.kvetinkova345.info/indexDesktop.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0" 192.168.88.1 - - [03/Nov/2020:17:14:23 +0100] "GET /icons/footerIcon.png HTTP/1.1" 404 505 "http://template.kvetinkova345.info/indexDesktop.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0" 192.168.88.1 - - [03/Nov/2020:17:14:23 +0100] "GET /imgs/seasons/autumn.png HTTP/1.1" 304 181 "http://template.kvetinkova345.info/indexDesktop.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0" 192.168.88.1 - - [03/Nov/2020:17:14:23 +0100] "GET /icons/temp.png HTTP/1.1" 404 505 "http://template.kvetinkova345.info/indexDesktop.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0" 192.168.88.1 - - [03/Nov/2020:17:14:23 +0100] "GET /icons/wind.png HTTP/1.1" 404 505 "http://template.kvetinkova345.info/indexDesktop.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0" 192.168.88.1 - - [03/Nov/2020:17:14:23 +0100] "GET /icons/logo.png HTTP/1.1" 404 505 "http://template.kvetinkova345.info/indexDesktop.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0" 192.168.88.1 - - [03/Nov/2020:17:14:23 +0100] "GET /imgs/flags/big/cz.png HTTP/1.1" 200 8002 "http://template.kvetinkova345.info/indexDesktop.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0" 192.168.88.1 - - [03/Nov/2020:17:14:23 +0100] "GET /icons/rain.png HTTP/1.1" 404 505 "http://template.kvetinkova345.info/indexDesktop.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0" 192.168.88.1 - - [03/Nov/2020:17:14:23 +0100] "GET /icons/pressure.png HTTP/1.1" 404 505 "http://template.kvetinkova345.info/indexDesktop.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0" 192.168.88.1 - - [03/Nov/2020:17:14:23 +0100] "GET /icons/cloudbase.png HTTP/1.1" 404 505 "http://template.kvetinkova345.info/indexDesktop.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0" 192.168.88.1 - - [03/Nov/2020:17:14:23 +0100] "GET /icons/visibility.png HTTP/1.1" 404 505 "http://template.kvetinkova345.info/indexDesktop.php" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0" 192.1

všechen provoz je jen a IP routeru. K ničemu je mi teď tedy fail2ban který by, v případě nějakého pokusu o průnik zablokoval IP adresu routeru. Jak tedy na to aby to bylo správně?