Как правильно создать правило для файрвола Mikrotik?

Question

[Талян]

Подскажите, как бы так правильно сделать правило в файрволе для такого вот случая:
Микротик:
95.х.х.х/32 - WAN
192.168.1.1/24 - LAN
10.0.0.1/8 - L2TP

При подключении другим устройством к L2TP микротика я получаю доступ ко всем ресурсам локальной сети 192.168.1.0/24 так, как в микроте прописан такой маршрут.

Я хочу, чтобы все established и related подключения (инициализированные из нашего офиса) из сети 192.168.1.0/24 в сеть 10.0.0.0/8 - были разрешены.

А все подключения, инициализируемые из сети 10.0.0.0/8 в сеть 192.168.1.0/24 реджектились.

Добавив правило

add action=reject chain=forward comment="from vpn" connection-state="" dst-address=192.168.1.0/24 log=yes reject-with=icmp-network-unreachable src-address=10.0.0.0/24

Но что-то как-то оно не работает. Из 192.168.1.0/24 даже пинги не проходят.
Это то оно понятно, ответ ICMP не является RELATED соединением, и не может пробиться обратно.

Вот и думаю, можно ли как-то так хитро сделать? Что-то мне сдается, что нельзя, и файрвол нужно настраивать на компах 192.168.1.0/24, а не на микротике, но все же решил попытать удачу и задать вопрос здесь.

Comments

[nApoBo3]

Где правило разрешающее необходимы трафик?
Есть ли правила reject all?
Какой порядок правила и вопроса и разрешающего правила?

[Талян]

nApoBo3,

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=reject chain=forward comment="from vpn" connection-state="" disabled=yes dst-address=192.168.1.0/24 log=yes reject-with=icmp-network-unreachable \
    src-address=10.0.0.0/8
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="L2TP Accept" dst-port=500,1701,4500 in-interface=pppoe-Internet protocol=udp
add action=accept chain=input comment="Accept all from my home IP" src-address=9x.12x.14x.22x
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN log=yes
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

[kprohorow]

На клиентах маршруты прописаны? Не увидел этого в вопросе.

Answer 1

[Drno]

А если попробовать ip>routes>rules тут выставить?

Comments

[Талян]

ну я думаю будет та же ситуация. Если любым способом заблочить трафик из 10.0.0.0/8 в 192.168.1.0/24, то даже пинги ходить не будут.

[Drno]

Талян, ну впринципе то логично... туда трафф уйдет, а обратного ответа уже не будет...

[Талян]

Drno, короче пофиг, на каждом компе настрою файрвол да и все, либо шлюз запилю

[Drno]

Талян, да как по кайфу)) так то проще с микр разобраться. по идее принцип как правила для WAN интерфейса

Answer 2

[nApoBo3]

Ниже список ваших правил межсетевого экрана( который вы прислали в комментарий ).
Если мы говори о icmp запросе из 192.168.1.0/24 в 10.0.0.0/8.
Например: выполнение команды ping 10.0.0.15 на узле 192.168.1.44
Нас будут интересовать только forward правила( если нет хитрых правил pre и post routing ).
Упрощенно у нас два пакета.
Один от 192.168.1.44 к 10.0.0.15( запрос )
И ответный пакет от 10.0.0.15 к 192.168.1.44( ответ )
Запрос не подпадает не под одно правило из вашего списка( ниже ), а следовательно успешно проходит и "устанавливает" соединение( соединение появляется в connection tracking ).
Ответ на запрос подпадает под правило:

/ip firewall filter
add action=reject chain=forward comment="from vpn" connection-state="" disabled=yes dst-address=192.168.1.0/24 log=yes reject-with=icmp-network-unreachable \
src-address=10.0.0.0/8

И отбрасывается с ответом icmp-network-unreachable( зачем вы так делаете мне не понятно, вижу уже не первый раз, раньше всегда рекомендовался drop, может быть что-то поменялось ).

До правила:
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked

пакет не добирается. Вот у вас и нет ответа на пинг, т.е. пинг дошел, но ответ не пришел.

Comments

[Талян]

не понял, как не добирается? defconf accept related же первое в списке. Пакет сверху вниз по правилам файрвола идет же.

[nApoBo3]

Талян, приведите полное правило, я не вижу у вас такого.

[Талян]

nApoBo3, в комментах к вопросу гляньте

[nApoBo3]

Талян, я посмотрел в комментах к вопросу.
Первое правило в цепочке input не затрагивает forward пакеты.
Второе правило блокирует ответный icmp пакет.

[MaxKozlov]

nApoBo3,
/ip firewall filter
add action=reject chain=forward comment="from vpn" connection-state="" disabled=yes dst-address=192.168.1.0/24 log=yes reject-with=icmp-network-unreachable \
src-address=10.0.0.0/8

[Талян]

MaxKozlov, отключил, ибо пока толку от него ноль. Я думал вы чего предложите. У меня дефолтные правила после Quick Set, чего их там смотреть то

[Талян]

nApoBo3, ну, да. Знаю. Я об это и пишу.

[MaxKozlov]

Талян, Мне не очень понятно что вы имеете ввиду под "Но что-то как-то оно не работает. Из 192.168.1.0/24 даже пинги не проходят."
вам надо чтобы пинги ходили а остальное нет ?
а в state new добавить ?

[Талян]

MaxKozlov, я думаю не имеет смысл вообще продолжать решать мой вопрос, так как он заранее не имеет решения.

Я хочу чтобы Петя из 192.168 мог лазить по любым ресурсам из 10.0.0.0, а Вася из 10.0.0.0 не имел доступа ни к чему из 192.168.

Под ресурсами подразумевается все от А до Я: Пинги, SMB, FTP, HTTP, и любая другая хрень.

[MaxKozlov]

Талян, Ну почему же.
Как раз все tcp вы статусом new отсечёте, для пингов можно разрешить только приход ответа. вот для udp я не уверен, но по-моему оно тоже через state регулируется

Answer 3

[r_gurov]

Настоятельно рекомендую почитать про то как НЕ надо настраивать файрвол.