# Software > Ασφάλεια >  Basic MikroTik Firewall που να μην επηρεάζει το awmn

## tsatasos

Ψάχνω να βρω κάποια Basic Universal Firewall Rules να βάλω στο router μου που να μην επηρεάζουν το awmn.

Στα γρήγορα βρήκα αυτό:

http://wiki.mikrotik.com/wiki/Basic_...irewall_script

και αυτό:
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

*Στο 1ο που φτιάχνει μεταξύ άλλων και τα παρακάτω address lists:



```
add address=10.0.0.0/8 comment="Private[RFC 1918] - CLASS A # Check if you need this subnet before enable it"\
disabled=yes list=bogons

add address=192.168.0.0/16 comment="Private[RFC 1918] - CLASS C # Check if you need this subnet before enable it"\
disabled=yes list=bogons
```

Αυτά εννοείται τα ενεργοποιώ.

Πώς τα βλέπετε είναι οκ?
Πιο να προτιμήσω?

Αυτή τη στιγμή έχω μόνο τα παρακάτω, αλλά νομίζω δεν αρκούν:



```
/ip firewall filter
add action=drop chain=input comment="Drop Invalid connections" \
    connection-state=invalid in-interface=pppoe-out1-VDSL-30/2.5
add chain=input comment="Allow Established connections" connection-state=\
    established in-interface=pppoe-out1-VDSL-30/2.5
add chain=input comment="Allow Related connections" connection-state=related \
    in-interface=pppoe-out1-VDSL-30/2.5
add chain=input comment="Allow ICMP" disabled=yes in-interface=\
    pppoe-out1-VDSL-30/2.5 protocol=icmp
add chain=input comment="Allow web, winbox, proxy, pptp" connection-state=new \
    dst-port=80,8291,8080,1723 in-interface=pppoe-out1-VDSL-30/2.5 protocol=\
    tcp
add action=drop chain=input disabled=yes dst-port=53 in-interface=\
    pppoe-out1-VDSL-30/2.5 protocol=udp
add action=drop chain=input comment="Drop everything else" in-interface=\
    pppoe-out1-VDSL-30/2.5
add action=drop chain=output comment="Proxy only on one interface" protocol=\
    tcp src-address=!10.24.65.1 src-port=8080
add action=drop chain=forward comment=High_Upload-20-6-15 in-interface=\
    pppoe-out1-VDSL-30/2.5 src-address=5.12.146.164
add action=drop chain=forward comment="Drop Invalid connections" \
    connection-state=invalid protocol=tcp
add chain=forward comment="Allow Established connections" connection-state=\
    established
add chain=forward comment="Allow Related connections" connection-state=\
    related
```

----------


## Cha0s

Οτιδήποτε είναι στο forward chain *πρέπει* να είναι όσο πιο specific γίνεται.

Τώρα πχ κάνεις drop τα invalid connections κάτι που είναι λάθος και άνετα δημιουργεί blackholes.

Σε backbone routers έχεις ασύμμετρες διαδρομές επομένως ένα statefull firewall δεν μπορεί να δει ολόκληρα τα connections πάντα για να ξέρει αν κάνει είναι established/related/invalid ώστε να το κάνει allow ή drop.

Πρέπει να ορίζεις ακριβώς τι θες να καλύψεις με αυτά τα rules. Πχ μόνο αν τα πακέτα προέρχονται από το PPPoE, ή αν προορίζονται προς το LAN σου ή κάτι τέλος πάντων που να προσδιορίζει συγκεκριμένα σε ποια πακέτα (που ΔΕΝ είναι bb κίνηση) να γίνουν apply τα rules.

----------


## tsatasos

Α Ναι σωστά οπότε σε ότι είναι forward να βάλω in interface το pppoe κ dst addresses να βάλω το subnet του lan μου ε? 

Βασικά έψαχνα μήπως έχει κανείς κάποιους στάνταρ universal κανόνες που να προστατεύουν το lan Μας κ να μην επηρεάζουν το awmn.

----------


## Cha0s

> Α Ναι σωστά οπότε σε ότι είναι forward να βάλω in interface το pppoe κ dst addresses να βάλω το subnet του lan μου ε? 
> 
> Βασικά έψαχνα μήπως έχει κανείς κάποιους στάνταρ universal κανόνες που να προστατεύουν το lan Μας κ να μην επηρεάζουν το awmn.


Αν δεν κάνω λάθος, ότι πακέτο έρχεται από το PPPoE interface έχει dst-address την public IP σου, όχι το LAN σου.
Οπότε μάλλον δεν θα δουλέψει βάζοντας in-interface pppoe & dst-address το LAN σου.

Προς το παρόν άσε το κομμάτι του internet στην άκρη.

Πρώτα υλοποίησε το firewall που θες για το LAN σου (οπότε όλα τα FW rules θα πρέπει να αναφέρουν το LAN σου είτε ως src είτε ως dst).
Έπειτα κοιτάς το κομμάτι του Internet.
Δεδομένου ότι κάνεις NAT (όπως όλοι μας δηλαδή) μάλλον δεν χρειάζεται να ασχοληθείς με το forward chain για το internet.

Τα input rules που έχεις αρκούν για το κομμάτι του internet. Στο forward chain πέφτεις όταν κάνεις port-forwarding. (Αυτά όταν μιλάμε για κίνηση από το Internet προς εσένα)

Τώρα για κίνηση από εσένα προς το Internet υποθέτω εξαρτάται από το τι θες να κάνεις.


Κατά την άποψη μου δεν υπάρχουν universal rules.
Κάθε κόμβος και κάθε δίκτυο (ειδικά σήμερα) είναι διαφορετικά.

Μπορείς να βασιστείς σε στάνταρ practices όταν μιλάμε για firewalls και να το φέρεις στα μέτρα σου αλλά τυφλοσούρτη κάποιο έτοιμο configuration θεωρώ πως δεν υπάρχει και αν υπήρχε σίγουρα θα δημιουργούσε προβλήματα είτε στον κόμβο είτε στο backbone.

Για μένα η καλύτερη λύση είναι να ξηλώσεις τελείως το Internet από τον/τους routers του AWMN και να πάρεις ένα μικρό routerboard το οποίο θα παρεμβάλλεται μεταξύ ταράτσας & LAΝ σου.
Έτσι ορίζεις ότι rules θες χωρίς να επηρεάζεις καθόλου το backbone.
Συν ότι θα σου λύσει τα χέρια. Τα rules τείνουν να είναι αρκετά πιο απλά μετά έτσι.
Έχεις απλά interfaces να παίξεις. Ένα if πάει ταράτσα, ένα lan ένα (pppoe) internet.

----------


## tsatasos

Ok, ευχαριστώ cha0s θα το δω.

Βασικά μπήκα στην διαδικασία, γιατί σήμερα παρατήρησα αδικαιολόγητο upload στην vdsl (καρφωμένο 2.5Mbps), έκανα torch, είδα από ποιά ip ερχόταν και χωρίς να ξέρω πολλά πολλά με τον παρακάτω κανόνα το έκοψα:



```
add action=drop chain=forward in-interface=pppoe-out1-VDSL-30/2.5 src-address=5.12.146.164 comment=High_Upload-20-6-15
```

----------


## nikolas_350

Στο torch πάτησες να δεις και τι port ήταν;
Γιατί για dns attack βλέπω ενώ έχεις τον κανόνα είναι disadle 

add action=drop chain=input disabled=yes dst-port=53 in-interface=\
pppoe-out1-VDSL-30/2.5 protocol=udp

----------


## tsatasos

Όχι ρε γμτ, το ξέχασα, δεν είδα τι port ήταν.
Τον έχω disable γιατί έκανα δοκιμή όταν είχα το αυξημένο upload και δεν έκανε κάτι.

----------


## nikolas_350

> Όχι ρε γμτ, το ξέχασα, δεν είδα τι port ήταν.
> Τον έχω disable γιατί έκανα δοκιμή όταν είχα το αυξημένο upload και δεν έκανε κάτι.


Μπορεί αυτό που θα πω να είναι λανθασμένο αλλά νομίζω πως εάν παίζουμε με mangle, nat & firewall rules και κάνουμε συνέχεια αλλαγές, πολλές φορές δεν έχουν άμεση ισχύει εάν δεν πρόκειται για new session, new connection και έχει χαρακτηριστεί ήδη ως establish ή με άλλο packets, connection ή routing mark. 

Αυτό βέβαια χωρίς να ξέρω εάν το θέμα σου ανήκει σε αυτή την κατηγορία 
http://forum.mikrotik.com/viewtopic.php?t=92867

----------

