MikroTik RB952

[Fester182]

ok vdaka skusim a potom dam vediet.

[16cmfan]

https://www.i4wifi.cz/MikroTik-RouterBo ... vc-L4.html

Asi donho pojdem a z 952 si spravim wifi "kartu"

Budem mat za relativne lacno Gigove porty aspon ako kupovat 962

Co vy na to ? Keby som nemal 952 a mal 100e idem asi do 962 ale ked uz mam 952 tak tento HEX asi bude dobra volba...

[mp3turbo]

vcelku dobre.

[16cmfan]

lebo aj tak cez wifi nepotrebukem tahat nad 100mbps.. potom dam vediet

[Odar]

Ja rozmyslam, ze k RB951G-2HnD dokupim RBwAPG-5HacT2HnD, nech mam 5 GHz. Zda sa mi to rozumnejsie a flexibilnejsie, ako predavat RB951G-2HnD a kupovat hAP ac.

[16cmfan]

Mam v praci par tychto AP - keby si chcel, mozem daco vyskusat na nom aby si vedel do coho ides

[16cmfan]

Trosku som sa hral s FW. Viz. print nizsie.. co vlastne chcem ?

- chcem blokovat poziadavky na moje DNS z vonku
- zablokovat pristup cez 80
- zablokovat, aby z wifiny 2.4 nemali pristup na ine subnety len smerom do netu

nejake navrhy na vylepsenie ?

Kód: Vybrať všetko

s: X - disabled, I - invalid, D - dynamic 
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 

 1    chain=forward action=fasttrack-connection log=no log-prefix="" 

 2    ;;; ZAKAZ WEB Z VONKU
      chain=input action=drop protocol=tcp in-interface=ether1 dst-port=80 log=no log-prefix="" 

 3    ;;; BLOKUJ VSETKY POZIADAVKY NA MOJE DNS Z VONKU (tcp)
      chain=input action=drop protocol=tcp in-interface=ether1 dst-port=53 log=no log-prefix="" 

 4    ;;; BLOKUJ VSETKY POZIADAVKY NA MOJE DNS Z VONKU (udp)
      chain=input action=drop protocol=udp in-interface=ether1 dst-port=53 log=no log-prefix="" 

 5    ;;; VZDIALENY PRISTUP
      chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix="" 

 6    chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix="" 

 7    chain=input action=accept protocol=gre log=no log-prefix="" 

 8    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.24.0/24 
      dst-address=192.168.2.0/24 out-interface=!ether1 log=no log-prefix="" 

 9    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.24.0/24 
      dst-address=192.168.3.0/24 out-interface=!ether1 log=no log-prefix="" 

10    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.24.0/24 
      dst-address=192.168.4.0/24 out-interface=!ether1 log=no log-prefix="" 

11    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.24.0/24 
      dst-address=192.168.5.0/24 out-interface=!ether1 log=no log-prefix="" 

12    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.24.0/24 
      dst-address=192.168.50.0/24 out-interface=!ether1 log=no log-prefix="" 

13    ;;; defconf: accept established,related

[mp3turbo]

>> chcem blokovat poziadavky na moje DNS z vonku

pravidlo s cislom 3 a 4, mas ho dobre za prepokladu ze na interface ether1 je viazana VYHRADNE verejna adresa. Ak je tam aj nejaka vnutorna, uz je zle.




>> zablokovat pristup cez 80

Kukam na pravidlo cislo 2, hovori ze "vsetko co ide na port 80 na Mikrotiku [cize akukolvek adresu ktora sa nachadza priamo na Mikotiku] a pribehne cez interface ether1 zakazat". Znovu plati to co hore == na ether1 iba verejna adresa a dosiahol si co si chcel. Z vnutornych INTERFEJSOV (vsetkych) mozes ist na mikrotikovy web server.




>> zablokovat, aby z wifiny 2.4 nemali pristup na ine subnety len smerom do netu

tipnem si : na 2.4 wifine mas adresy 192.168.24.x ; ostatne segmenty som tiez vyluskal z pravidiel 8,9,10,11,12. Mas to spravene dobre, akurat by som tam nedaval out-interface (je to zbytocne a nechcene v buducnosti : ked tam NEDAS podmienku vystupneho interfejsu, mozes v buducnosti lubovolne prehadzovat tie ostatne vnutorne segmenty ako len chces, napriklad aj na interface ether1. Tak ako to mas teraz, ked prehodis akukolvek vnutornu siet na ether1 - napriklad v buducnosti prerobis siet a von na internet sa pojde cez ine zariadenie, nie cez tento konkretny Mikrotik - tak potom zrazu prestanes blokovat pristup z 2.4 wifiny do sieti 192.168.2.x, 3.x, 4.x, 5.x a 50.x pretoze pravidla 8 az 12 sa NEUPLATNIA kvoli tomu ze vystupny interface uz bude ether1). Proste z pravidiel 8-12 by som vyhodil "out-interface=!ether1"


Poznamka : z wifiny 2.4 teraz MOZES IST na Mikrotikove sluzby, bez obmedzenia. Moze pouzivat jeho DNS, moze sa skusit prihlasit na mikrotikovy SSH, moze si z mikrotiku otvorit web stranku a tam spekulovat nad autorizaciou - nedajboh sa vyskytne nejaky cez HTTP postaveny attack, ze ? Cize sucastou politiky "z wifiny 2.4 iba na internet" by som este zakazal z wifiny 2.4 ist na mikrotik, kompletne. Cize napriklad:

/ip firewall add chain=input dst-port=53 src-address=192.168.24.0/24 action=accept comment=povolit-DNS-na-mikrotiku-zo-siete-192-168-24-x
/ip firewall add chain=input src-address=192.168.24.0/24 action=drop comment=akekolvek-ine-pokusy-o-pripojenie-na-mikrotik-zo-siete-192-168-24-x


vsetko co ide na mikrotik (lebo chain=input) zo zdrojovej adresy 192.168.24.x treba zahodit. Zase by som nespecifikoval interfejs odkial ta zdrojova adresa musi prist, je to zbytocne. Samozrejme este pred tym zahodenim tym nestastnikom povolim DNS, ak ho pouzivaju z mikrotiku.


Cheers !

[16cmfan]

Takze vypis:

Kód: Vybrať všetko

0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 

 1    chain=forward action=fasttrack-connection log=no log-prefix="" 

 2    ;;; ZAKAZ WEB Z VONKU
      chain=input action=drop protocol=tcp in-interface=ether1 dst-port=80 log=no log-prefix="" 

 3    ;;; BLOKUJ VSETKY POZIADAVKY NA MOJE DNS Z VONKU (tcp)
      chain=input action=drop protocol=tcp in-interface=ether1 dst-port=53 log=no log-prefix="" 

 4    ;;; BLOKUJ VSETKY POZIADAVKY NA MOJE DNS Z VONKU (udp)
      chain=input action=drop protocol=udp in-interface=ether1 dst-port=53 log=no log-prefix="" 

 5    ;;; VZDIALENY PRISTUP Z WINBOXu
      chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix="" 

 6    ;;; POVOLIT PPTP na port 1723
      chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix="" 

 7    ;;; POVOLIT PPTP na protocole 47
      chain=input action=accept protocol=gre log=no log-prefix="" 

 8    ;;; POVOLIT NESTASTNIKOM DNSko cez TCP
      chain=input action=accept protocol=tcp src-address=192.168.24.0/24 dst-port=53 log=no log-prefix="" 

 9    ;;; POVOLIT NESTASTNIKOM DNS cez UDP
      chain=input action=accept protocol=udp src-address=192.168.24.0/24 dst-port=53 log=no log-prefix="" 

10    ;;; UKAZAT PROSTREDNICKEK PRI POKUSE O LOGIN NA MIKROTICEK
      chain=input action=drop src-address=192.168.24.0/24 log=no log-prefix="" 

11    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.24.0/24 
      dst-address=192.168.2.0/24 log=no log-prefix="" 

12    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.24.0/24 
      dst-address=192.168.3.0/24 log=no log-prefix="" 

13    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.24.0/24 
      dst-address=192.168.4.0/24 log=no log-prefix="" 

14    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.24.0/24 
      dst-address=192.168.5.0/24 log=no log-prefix="" 

15    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.24.0/24 
      dst-address=192.168.50.0/24 log=no log-prefix="" 

16    ;;; defconf: accept established,related
      chain=forward action=accept connection-state=established,related log=no log-prefix="" 

17    ;;; PINGUJESE ZIJES!
      chain=input action=accept protocol=icmp log=no log-prefix="" 

18    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

19    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1 log=no 
      log-prefix="" 

20    chain=input action=accept connection-state=established 

21    chain=input action=accept connection-state=related 

22    chain=input action=drop in-interface=ether1 log=no log-prefix="" 

Otestoval som to - cez web sa nedostanu na mikrotik a ostatne ssh/telnet/winbox doriesim potom ale to ani nevedia co to je

DNSko mi nefungovalo a potom mi tuklo ze treba aj UDP aj TCP tam mat

>> chcem blokovat poziadavky na moje DNS z vonku

pravidlo s cislom 3 a 4, mas ho dobre za prepokladu ze na interface ether1 je viazana VYHRADNE verejna adresa. Ak je tam aj nejaka vnutorna, uz je zle.

Ahoj, neviem teraz ci spravne chapem: Myslis mat priamo verejnu IP na WAN porte od ISP ? Lebo na WAN mam inu - internu co dava ISP cize som za NATom tak ?

VEREJNA - moj ISP - preklad z Verejnej na IP od ISP ► smer moj MT, tak ? Tak ci onak - zapol som si mobilny net a skusil najprv dat action=accept a dostal som sa na web rozhranie MT, ked som natukal verejnu do google chrome cez mobil (mobilny net O2). Ked som dal drop - uz sa nedalo dostat na web inf...

inak diky za rady a tesim sa na dalsiu diskusiu

[mp3turbo]

jaj, nejak automaticky som myslel ze na mikrotiku mas verejnu adresu v zmysle "toto je moje pripojenie". Zabudol som davno ze existuju provideri ktori nedavaju svojim zakaznikom verejne na ich zariadenia

no proste na ether1 mas to co je pre teba vonkajsi svet (aj ked to nie je technicky "verejna" adresa, je to nieco co mas od providera 10.x.x.x alebo 192.168.x.x a proste je to pre teba verejny nebezpecny svet). Ostatne plati ako bolo napisane.

Security by obscurity u mna neobstoji. To ze uzivatelia nevedia co je ssh alebo telnet neznamena ze by to pre nich malo byt povolene, pretoze staci prvy kretenik ktory donesie zavireny notebook pripadne ktori si na tvojej sieti zaviri a uz mas o srandu postarane.

[16cmfan]

Dobre tak som im zakazal aj ssh, telnet cez tcp aj udp a winbox cez tcp

EDIT, takze takto to mam:

Kód: Vybrať všetko

10    ;;; UKAZAT PROSTREDNICKEK PRI POKUSE O LOGIN NA MIKROTICEK
      chain=input action=drop src-address=192.168.24.0/24 log=no log-prefix="" 

11    chain=input action=drop protocol=tcp src-address=192.168.24.0/24 dst-port=22 log=no log-prefix="" 

12    chain=input action=drop protocol=udp src-address=192.168.24.0/24 dst-port=22 log=no log-prefix="" 

13    chain=input action=drop protocol=tcp src-address=192.168.24.0/24 dst-port=23 log=no log-prefix="" 

14    chain=input action=drop protocol=udp src-address=192.168.24.0/24 dst-port=23 log=no log-prefix="" 

15    chain=input action=drop protocol=tcp src-address=192.168.24.0/24 dst-port=8291 log=no log-prefix="" 

16    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.24.0/24 
      dst-address=192.168.2.0/24 log=no log-prefix="" 

17    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.24.0/24 
      dst-address=192.168.3.0/24 log=no log-prefix="" 

18    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.24.0/24 
      dst-address=192.168.4.0/24 log=no log-prefix="" 

19    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.24.0/24 
      dst-address=192.168.5.0/24 log=no log-prefix="" 

20    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.24.0/24 
      dst-address=192.168.50.0/24 log=no log-prefix="" 

[16cmfan]

Pozrite co som nasiel: http://mikrotikconfig.com/

[Chris]

Ja rozmyslam, ze k RB951G-2HnD dokupim RBwAPG-5HacT2HnD, nech mam 5 GHz. Zda sa mi to rozumnejsie a flexibilnejsie, ako predavat RB951G-2HnD a kupovat hAP ac.

Asi by som rovno kupil totok

http://access-pointy-routery.heureka.sk ... p500-e-k9/#

[16cmfan]

Tak teraz je MIkroTik pekny aj z vonku (nie ze by sa mne nepacil dizajn, ale vela ludi kruti nosom ked nejaky vidi... )

https://www.i4wifi.cz/MikroTik-RouterBo ... html?cur=1

[Chris]

nechapem naco tam pchaju AC, ked tam daju 100MBit siet.

https://www.i4wifi.cz/MikroTik-RouterBo ... hog27k8bn2