Administrace komentářů

caute

na zaklde mojej temy : Dotaz: Router a AP - DDWRT/OpenWRT

som si kupil rb3011 + ubi ap a potreboval by som si overit zakladnu konfiguraciu routera (asi hlavne firewall).

Postupoval som podla tohto navodu s malymi odlisnostami: Mikrotik poprvé: základní konfigurace

• samozrejme som pouzil ip podla vlastneho uvazenia ale aj ja som pouzil podsiet /24
• namiesto oznacenia portov master a slave som vytvoril klasicky bridge a do neho som nahadzal vsetky porty okrem eth1 lebo podla toho co som zistil routeros uz nepodporuje oznacovanie portov master/slave + u vsetkych portov v bridgei som povolil hw offroad
• zatial som zakazal vsetky sluzby okrem winbox + som zmenil port na winbox a ssh + som pre moj ucet povolil pristup iba z konkretnych ip
• na pripojenie do inteernetu pouzivam pppoe klienta ktoreho som uz nastavil ale router mam zatial schvalne offline lebo si chcem najskor overit ake nastavenia firewallu alebo ine treba doplnit/zmenit.
• pppoe pripojenie som NATol podla spominaneho navodu

vo firewall filtry mam zatial iba skopirovane pravidla podla navodu:

Flags: X - disabled, I - invalid, D - dynamic
0  D ;;; special dummy rule to show fasttrack counters
     chain=forward action=passthrough

1    ;;; FastTrack
     chain=forward action=fasttrack-connection connection-state=established,related

2    ;;; Established, Related
     chain=forward action=accept connection-state=established,related

3    chain=input action=accept protocol=icmp

4    ;;; Drop invalid chain=forward action=drop connection-state=invalid log=yes log-prefix="invalid"

5    ;;; Drop incoming packets that are not NATted
     chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1 log=yes log-prefix="!NAT"

6    ;;; Drop incoming from internet which is not public IP

Pravidlu c. 6 vobec nerozumiem. Viem si ten koment samozrejme prelozit tak ze sa zablokuju vstky prich. pripojenia z wanu ktore nemaju verejnu ip, ale nerozumiem preco filter zobrazuje len comment k tomuto pravidlu bez ziadnych prikazov (chain, action...). Pravidlo som do terminalu zadal takto:

add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet

Pravidlu cislo 6 nerozumiem aj preto ze podla pravidla 5 by sa mala blokovat vsetka prichadzajuca komunikacia s vynimkou tej ktoru manualne povolim. Rozumiem tomu tak ze pravidlo cislo 5 blokuje vsetku prich. komunikaciu a keby som nahodou NATol nejake PC/server atd... tak to pusti ostatne nie. Takze ak je to tak ako som to pochopil preco do toho motat este 6. pravidlo o blokovani neverejnych IP?

Address list vo firewalle mam tiez len skopirovany z navodu a neviem ci sa address list moze dostat do konfliktu s mojimi nastavenymi adresami v mikrotiku lebo ako som uz pisal ja som pri nastaveni pouzil IP podla vlastneho uvazenia a nie priamo tie z

Neviem co teda presne pouzite address listy znamenaju (moze mi to niekto vysvetlit?) ale mam to takto:

add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet

+ zoznam povolenych ip s pristupom do routera

Este sem pridam vypis nastavenia natu:

Flags: X - disabled, I - invalid, D - dynamic
0 I  ;;; pppoe-out1 not ready
     chain=srcnat action=masquerade src-address=X.X.X.0/24 out-interface=pppoe-out1

Predpokladam ze not ready je len pretoze router neni na nete

V navode su tiez napisane pravidla pre vyhnutie sa brute force utokom ale tie som zatial nepouzil. Je to nutne?

Viem ze navod z ktoreho vychadzam je starsi a preto sa pytam co by som mal este pridat/zmenit/odobrat aby bol router schopny standardnej bezpecnej prevadzky? Nasledne sa uz sam budem pokusat ucit metodou pokus - omyl pracovat s roznymi moznostami routera.

Diky za rady a odpovede na otazku ohladom address listu a 6. pravidla.

BTW: Doteraz som bol zvyknuty na SOHO routery typu asus tplink a v nich bud ddwrt alebo original fw

BTW2: Sorry za formatovanie ale nefunguje mi tu editor