Сейчас пытаюсь разобраться как настроить firewall на mikrotik-е, чтобы:
1. Можно было безопасно бэкапить данные с сервера1 на сервер2 с помощью Hyper Backup по rsync с ssh через интернет.
2. Можно было пользоваться Resilio Sync для синхронизации данных между компьютерами через интернет.
3. Можно было выходить в интернет с компьютеров в локальной сети.
4. Можно было скачивать торренты на компьютеры в локальной сети.
5. Можно было получить доступ к роутеру через Winbox и по https из локальной сети.
Ну если вы хотите в домашней сети сидеть и отслеживать кому какой порт нужен - флаг вам в руки.
Я предпочитаю не тратить время на настройку того, что вполне адекватно может настроиться само.
Хочу смотреть фильмы дома на любом устройстве - dlna. Хочу чтобы поставил на рабочий ноут сип клиента - и он заработал. А ходить на роутер и что то там настраивать - а смысл?
poisons: Оно вредно, когда производитель кладет болт на спеки и забивает на прошивки.
С учетом того, что тики сами пишут модулю, к upnp в плане безопастности нет претензий. Естественно речь идет со стороны WAN.
Вы слишком передергиваете.
Частью ботнета можно стать и без upnp и upnp в общем не сколько не облегчает настройку.
В сети столько дырявых dlink роутеров, которые имеют дырку при запросе обычного http curl например.
Что http дырявое решето ? :) Нет , кривые руки сами знаете где.
Поэтому если вам очень хочется открывать порты ручками в сетки на over 1000 человек, мне сложно вам отказать. Мне проще настроить мониторинг и сканер трафика и давать по башке тем, кто подхватил бота/вирус или просто решил поиграть в хакера.
poisons: Руслан Федосеев: Vladimir Zhurkin: Спасибо за совет. upnp включен. Пробросы портов для торрентов и прочего софта убрал.
PS. Это домашняя сеть и безопасность не на столько важна, чтоб для каждой программы ручками порты открывать.
Учтите что это не золотая пуля. Обязательно найдется софт, который не умеет upnp. Так что пусть upnp работает но если что то не заработает - пробрасывайте вручную
Vladimir Zhurkin: poisons:
Спасибо за рекомендации!
upnp c правилами 8 и 10 и правилом 33. add chain=forward action=drop in-interface=ether1 вроде работает нормально: у qBittorent-а статус в сети, все скачивается/раздается, Resilio Sync синхронизирует, Skype звонит.
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface=ether1
Кстати у qbittorent баг вроде и он не открывает порты по unpn/nat-pmp :)
Ну это просто так к слову.
и да показ работы skype, а то скажите, что скайп не работал, порядок планет не тот итд. Ну а ссылку да, почитайте , там много полезной инфы по iptables в частности.
Vladimir Zhurkin: poisons:
Все-таки странная штука получается. upnp включен. Отдельных правил в NAT для qbittorenta нет. Без правил firewall-а для qbittorent-а:
add action=accept chain=forward dst-port=11111 in-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=11111 in-interface=ether1 protocol=udp
проброс порта не работает, пишет - проблемы с сетью. С вышеуказанными правилами - все в порядке.
При этом Skype и Resilio Sync работают без каких-либо отдельных правил в firewall с включенным upnp.
Проблема самого qbittorent-а?
При этом transmission, расположенный на nas-сервере synology требует отдельного правила и в NAT, и в firewall.
transmission по умолчанию вроде не использует upnp.
Смотри по счетчикам, какое правило у тебя срабатывает.
Например правило Bogon и PortScanner я бы ставил выше. В первых рядах.
И логично его убрать из forward. Сканер портов конечно по желанию, но для Home сети я бы убрал. Вообще анализ сканирование лучше делать не средствами mikrotik.(внутри сети)
Правило >Разрешение выхода в интернет для локальной сети
Становится бессмысленно, так как у тебя два других правило разрешают соединение.
См мои скриншоты.
Vladimir Zhurkin: Спасибо!
Сканер оставил, так как он неплохо работает.
Правило "Разрешение выхода в интернет для локальной сети" я криво назвал. На самом деле - это разрешение внутри локальной сети:
add action=accept chain=forward src-address=192.168.100.0/24 in-interface=bridge
То есть я разрешаю forward с адресов локальной сети (src-address=192.168.100.0/24) в саму локальную сеть (in-interface=bridge).
Без этого правила нет доступа к другим компьютерам и серверам внутри сети.
Антон Николишин: его нет, так как ты перекрыл правилом bogon forward скорее всего, так как там указываются "частные сети" и правило обычно не ставят на forward.
Могу скинуть default firewall mikrotik, что бы его уже нормально накрутить.
Вот эти правила будут только грузить проц.
1-7 правило сканер портов, в микротике есть функция PSD можно все в одно правило запихнуть.
15-20 правила разрешены и в 23
с дропом инвалид тоже надо смотреть, он может и лишнее дропнуть
Спасибо!
Не пойму как их объединить в одно правило. Там же разная комбинация tcp флагов. Посоветуйте пожалуйста как?
В 15-20 правиле я разрешаю доступ к компьютерам локальной сети из интернета. А в 23 правиле я же разрешаю доступ из локальной сети (src-address=192.168.100.0/24 in-interface=bridge). Или это не правильно?
Если вы хотите по tcp флагам добавлять в адрес лист то, ок! PSD делает следующие, если хост обратился к вам за такой то интервал, на сколько-то портов, за столько-то сек, то какой-то action.
Смотрите, судя по этим правилам
# Разрешение доступа для torrent на комп1
15. add action=accept chain=forward dst-port=11111 in-interface=ether1 protocol=tcp
16. add action=accept chain=forward dst-port=11111 in-interface=ether1 protocol=udp
# Разрешение доступа для torrent на комп2
17. add action=accept chain=forward dst-port=22222 in-interface=ether1 protocol=tcp
18. add action=accept chain=forward dst-port=22222 in-interface=ether1 protocol=udp
# Разрешение доступа для Resilio Sync на комп2
19. add action=accept chain=forward dst-port=33333 in-interface=ether1 protocol=tcp
20. add action=accept chain=forward dst-port=33333 in-interface=ether1 protocol=udp
Вы разрешаете прохождения трафика через цепочку forward и входящий интерфейс ether1 (это приход правильно?), но судя по NAT правилам, трафик не дойдет. Допустим я пакет из вне, я хочу достучаться до компа в вашей локалке, я знаю о наличии ether1, но о наличии вашей локальной сети я не узнаю без правил dst-nat.
Спасибо за ссылки. Первые 4 я внимательно читал. Да и базовую настройку mikrotik-а делал по этим инструкциям и статье на хабре. Просто у меня профессия не связана с it и есть только базовые представления о работе сети. Поэтому я иногда подтупливаю, когда пытаюсь настроить что-то более сложное.