defconf: drop all not coming from LAN výjimka

soban

No tak mu nastavuj pořád stejnou IP a tu povol. (Pokud nechceš povolit celý rozsah.)

jnw

jenže to je mobil a ten vždy něco dostane - proto jsem to směřoval na MAC

soban

A co tím chceš říct? I mobilu můžeš přiřadit pořád stejnou IP pokud je připojen přes wifi.
Pokud je to přes internet (LTE) tak tam je vhodné se mobilem připojit přes VPN na router tam si zase můžeš nastvit IP.

ludvik

A jestli je to novější android, tak i tu MAC bude mít možná pokaždé jinou.

jnw

MAC umím, dát na pevno - iPhone

ludvik

Tak pak každé pravidlo může mít spoustu podmínek. Jedna z nich je i zdrojová MAC. Takže si před ten poslední drop dáš nové, tentokrát accept pro tuto MAC.
Protokol MNDP používá UDP a port 5678.
Winbox potom TCP a port 8291.
MAC-Winbox je UDP a port 20561

Jestli to jde lépe a jednodušeji v rámci capsmanu netuším.

jnw

dal jsem před to tohle:
action=accept chain=input in-interface-list=!LAN src-mac-address=6C:71😃9:AD:37:AB
action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

ale nepomohlo, kde může být chyba?

soban

jnw Chceš přece tu MAC povolit odkudkoliv takže proč tam máš "in-interface-list=!LAN" ?

A samozřejmě pokud ten mobil není připojen napřímo tak paket bude mít jinou MAC.

jnw

odstranil jsem "in-interface-list=!LAN a nepomohlo

action=accept chain=input dst-port=8291 protocol=tcp src-mac-address=6C:71😃9:AD:37:AB

soban

jnw jako první bych odstranil tu MAC adresu, takže pro první pokus

action=accept chain=input dst-port=8291 protocol=tcp

Projde? Pokud ano tak pak bych tam přidal tu MAC a pokud neprojde tak máš špatnou MAC :-)

Fakt je problém dle MAC přiřadit IP a používat IP???

jnw

action=accept chain=input dst-port=8291 protocol=tcp
taky nejde i jiné IP než LAN

ludvik

jnw action=accept chain=input dst-port=8291 protocol=tcp

Toto ti povolí přístup na službu Winbox routeru, kde je toto pravidlo povoleno. Komplet a odevšad. Howg.
Pokud to nefunguje, tak mě napadá jen:
a) omezení je ještě v ip/services (nebo je použit jiný port)
b) někde před tímto pravidlem je jiné, které to zakazuje.
c) absolutně nerozumím, co tedy vlastně chceš.

Tvůj pojem LAN je použit jako interface-list. To je seznam rozhraní, síťových karet. Žádných IP se to netýká. Nijak to s nimi nepracuje.

Pojem "vidět ve winboxu" si chce upřesnit. Pokud je to seznam na záložce Neighbors klienta winboxu - tak vždy uvidíš jen nejbližší router, ten přímo přístupný přes L2 (tedy switche, bridge) z počítače, kde máš winbox spuštěný.

Každé pravidlo umožňuje vedle action zapnout i logování. Pak v logu routeru uvidíš, na jaký paket to pravidlo zabralo.

No a pokud chceš od někoho poradit s firewallem, je vhodné mu ho také celý ukázat. Přehledně.

jnw

mám 2 DHCP, jeden s IP rozsah 192.168.88.1-x a druhý 10.0.0.1-x

192... používám pro porty eth2-5
10....používám pro wlan1 a 2

jse mi to, že tovární firewall níže mi dovolí přihlásit se do winboxu jen pokud jsem kabelem, tedy na eth2-5, ale už ne, pokud jsem PC nebo mobil na wifi, a to mi jde.
tzn. na wifi ani ve winbox nevidím zařízení Mikrotik, připojené do eth2-4 - tam má cAPy, eth5 mám pro PC.
(po kabelu v eth5 už sousedy ve winbox vidím)

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

coitus

Nezmenil si nahodou cislo portu winboxu v IP/Services ?
Nemas zadane ip adresy v IP/Services/available from z ktorych je winbox dostupny ?
Mas to pravidlo vo firewalle uplne hore resp. pred pravidlom drop ?
Nemas v System/users/allowed address zadane nejake IP a prihlasujes sa z inej ?

ludvik

Budu trochu věštit z koule.

Máš tedy dva bridge? V jednom je eth2-5, ve druhém wlan1 a wlan2?
V interface-list s názvem LAN pak máš co? Předpokládám jen ten první bridge s eth.

Proto se z WLAN (předtím jsi psal VLAN, což je něco jiného ... příště bez překlepů a tak) na ten router nedostaneš. Na to ti pomůže pravidlo, které jsme ti už radili. Ale musí být na správném místě - před tímto:
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

Ať už použiješ obecné, nebo s tou MAC, dostaneš se pak z wifi na TENTO ROUTER.

Ale už NIKDY neuvidíš ty ostatní mikrotiky. Ty (dle mého věštění) jsou v jiném bridge, tedy provoz na ně se routuje. Neighbors prostě fungovat nebudou, budeš muset použít IP adresu. Ale dostaneš se tam, pokud nejsi zrovna připojený na interface v interface-list s názvem WAN.

pro jistotu:
Vše co je ve firewallu v chain=input se týká toho, co tam je napsané. Tedy INPUT. Vstup. A to na TENTO router. Není to "vstup co pak může někde vystoupit", to fakt ne.
Provoz, který jde ZKRZ router, nekončí na něm je pak v chain=forward.

jnw

věštěno zcela správně, děkuji
už se povedlo, udělal jsem to od továrního nastavení a jede to, použil jsem MAC. Díky
PS. jde zvolit nějak více MAC adres které by mohli mít přístup? Mě to dovolí zadat jen jednu - mohu dát více pravidel pod sebe?

pro coitus: nemám nic změněno - tovární nastavení

ludvik

Více MAC do jednoho pravidla nelze.
Více IP ano - na to se používají address-list.

Pokud jich máš málo, tak si nekomplikuj práci a prostě pod sebe.
Čistější je využít extra CHAIN.
Pravidlo jako takové (tak jak se ti tu radilo) uděláš co nejobecnější - tedy na input, tcp a port. Jako action pak použiješ JUMP a jako jump target napíšeš nějaký vlastní text, třeba "winboxExtra", prostě co chceš, aby to nějak vystihovalo.

Pravidla pro jednotlivé MAC pak píšeš zase co nejobecněji, tedy vyplníš jen src-mac, v políčku chain vybereš to co jsi vymyslel v předchozím odstavci a action jaké potřebuješ, v tomto případě tedy accept.
Postupně pro všechny MAC co chceš.

Chování je pak takové, že nové spojení na winbox (resp na službu, co jsi tam napsal) odskočí do toho chainu. Pokud tam zabere nějaké pravidlo, provede se daná action. Pokud tam nezabere nic, vrátí se zpracování zpět za ten JUMP.

Další stránka »