abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 07:00 | Nová verze

Google Chrome 84 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 84.0.4147.89 přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře. Opraveno bylo 38 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0
včera 21:55 | Zajímavý článek

Vláda v pondělí 13. července projednala Výroční zprávu o stavu otevřených dat za rok 2019. Ke stažení je na Portálu otevřených dat (pdf).

Ladislav Hagara | Komentářů: 0
včera 16:22 | Komunita

MojeFedora.cz informuje, že FESCo schválilo návrh, aby se jako výchozí editor v terminálu od Fedory 33 používalo GNU nano. Fedora doteď žádný výchozí editor pro terminál nastavený neměla a nechávala to na jednotlivých programech. Ty často používané, jako třeba git, ale ve výchozím stavu používaly editor vi, který autor návrhu nepovažuje za příliš intuitivní.

Ladislav Hagara | Komentářů: 17
včera 14:22 | Komunita

Dlouhodobá LTS podpora Debianu 8 Jessie vydaného 26. dubna 2015 skončila k 30. červnu 2020. K dispozici je placená rozšířená dlouhodobá podpora ELTS do 30. června 2022. Poslední opravné vydání Debianu 9 Stretch uvolněného 17. června 2017 bude vydáno 18. července 2020. Jeho dlouhodobá podpora je plánována do 30. června 2022. Plánujete-li ji využívat, vývojáři ocení vyplnění dotazníku ohledně této LTS podpory.

Ladislav Hagara | Komentářů: 4
včera 06:00 | Nová verze

Byla vydána nová verze 1.26.0 sady nástrojů pro správu síťových připojení NetworkManager. Novinkám se v příspěvku svém na blogu věnuje Thomas Haller.

Ladislav Hagara | Komentářů: 4
13.7. 13:00 | Zajímavý software

Laboratoře CZ.NIC zveřejnily software DNS Probe. Jeho úkolem je zachycovat DNS provoz na síťovém rozhraní (UDP i TCP), párovat DNS dotazy s příslušnými odpověďmi a exportovat konsolidované záznamy o každé jednotlivé DNS transakci, která se v síťovém provozu vyskytla.

Ladislav Hagara | Komentářů: 0
13.7. 08:00 | Nová verze

Byla vydána verze 2.2.0 svobodného softwaru HAProxy (The Reliable, High Performance TCP/HTTP Load Balancer; Wikipedie) řešícího vysokou dostupnost, vyvažování zátěže a reverzní proxy. Detailní přehled novinek v příspěvku na blogu společnosti HAProxy Technologies.

Ladislav Hagara | Komentářů: 2
13.7. 01:11 | Nová verze

Správce oken IceWM (Wikipedie) byl vydán ve verzi 1.7.0. Přehled novinek, vylepšení a oprav na GitHubu.

Ladislav Hagara | Komentářů: 9
12.7. 01:22 | Komunita

Před dvěma lety se Andrew Kelley rozhodl naplno věnovat se svému koníčku, tj. vývoji open source programovacího jazyka Zig (GitHub). Opustil své dobře placené místo v OkCupid a vytvořil si účet na Patreonu. Včera představil nadaci Zig Software Foundation zastřešující propagaci a další vývoj tohoto programovacího jazyka. Podpořit ji lze na GitHub Sponsors (aktuálně 66 % z měsíčního cíle 8 600 $).

Ladislav Hagara | Komentářů: 3
11.7. 22:11 | Nová verze

Byla vydána verze 2.0.10 multiplatformního integrovaného vývojového prostředí (IDE) pro rychlý vývoj aplikaci (RAD) ve Free Pascalu Lazarus (Wikipedie). Nově využívá nedávno vydaný Free Pascal Compiler (FPC) 3.2.0.

Ladislav Hagara | Komentářů: 14
Používáte některé open-source řešení [protokol] pro šifrovaný instant messaging?
 (22%)
 (31%)
 (4%)
 (11%)
 (17%)
 (5%)
 (13%)
 (24%)
Celkem 351 hlasů
 Komentářů: 39, poslední včera 00:13
Rozcestník

Dotaz: Mikrotik - Router OS - konfigurace firewallu

29.6. 09:58 Denis
Mikrotik - Router OS - konfigurace firewallu
Přečteno: 628×
Dobrý den,

rád bych Vás požádal, zda by mi tady někdo poradil s konfigurací firewallu u routeru Mikrotik RB750Gr3, kde běží Routr OS. Mám základní konfiguraci ETH1 - WAN, ostatní ETH - LAN. Potom mám nastaveno nějaké NATování pro přístup zvenčí na NAS a IP kamery přes Android aplikaci. Když jsem se podíval u svého providera na grafy přenesených dat, odchází z mé sítě docela hodně dat. V Mikrotiku přes tool Packet snifer je vidět, že IP kamery pořád generují nějaký provoz. Poradíte mi, jak tomu zamezit? Jaké je ve firewallu pravidlo pro úplné odstřihnutí dané IP adresy od internetu?

Předem Vám děkuji.

Řešení dotazu:


Odpovědi

Řešení 1× (vencour)
Max avatar 29.6. 10:15 Max | skóre: 68 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
1) pokud používáš bridge, zaškrtni si na něm "use ip firewall". To jen pro případ.
2) ve firewallu si vytvoř forwarde pravidlo, kde si můžeš specifikovat in/out interface a src adresu. Do src adresy dej tu, co chceš zakázat a v sekci "action" dej drop.
3) pokud těch adres potřebuješ zakázat více, tak si v sekci firewallu vytvoř "Address List" a v tom firewall pravidlu nevyplníš "src address", ale v záložce "advanced" vyplníš "Src Address List".
Zdar Max
Měl jsem sen ... :(
Jendа avatar 29.6. 13:17 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
K tomu je nutno dodat, že tohle pomůže, pokud je ta IP kamera pouze obyčejný malware (což naštěstí nejspíš všechny jsou). Pokud je to pokročilý malware, tak si může ukrást jinou IP ze stejného subnetu, a ta blokovaná nebude. Ideální by proto bylo dát některé porty do speciální VLAN a tu nepouštět do netu vůbec.
29.6. 23:07 Denis
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
Pokud by tomu tak bylo, že si IP kamera ukradne jinou IP ze subnetu, uvidím to, pokud provedu v Mikrotiku Tools/IP scan?
Jendа avatar 30.6. 00:03 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
Ano, pokud to udělá „hloupě“. Ne pokud nebude odpovídat na skeny (tipuju že to je sken pingací), ale jenom bude posílat pakety ven. Pokud je to sken ARPový, tak snad uvidíš.
29.6. 23:00 Denis
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
Děkuji za rady, ale asi dělám něco špatně :-(. Nastavil jsem pravidlo přesně podle bodu 2),dal ho úplně nahoru, bod 1) je také splněný, ale v počitadle vidím stále 0B a když otevřu Torch, nebo Packet Sniffer tak vidím, že kamera vesele odesílá a přijímá data dále. U IP kamey mám nastavenou statickou IP.
vencour avatar 29.6. 23:08 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
Hmm, u firewallu bych čekal toto: nastavit blokování na vstupním interfejsu, nebo třeba můžete pro potvrzení dát pravidlo s povolením, ale i počítáním. Jo a občas na existující spojení toto neplatí, je to pro nová spojení - ověřte si, co tam máte přesně.
A samozřejmě u bridge zapnout "ip filter", to zároveň vypne fast track. Pak přidat "forward, zdroj IP kamery, příslušný protokol, cílový port nebo rozmezí portů a drop nebo reject"
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
29.6. 10:23 PetebLazar | skóre: 19
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
Jestli jsou IP kamery (přes port-forwarding?) dostupné zvenku (z Internetu) může se na ně s požadavky obracet kdokoli (byť třeba opakovaně neúspěně). Zda útočníka zastaví zabezpečení kamery (heslo?) je otázkou a i tak zůstává problém vzdáleně zneužitelných zranitelností.

Lepším řešením by asi bylo oživení na Mikrotiku vhodné VPN (vyhnout OpenVPN) a přistupování k vnitřním zdrojům sítě skrze ni. VPN ve smyslu provozu vlastní Virtuální Privátní Sítě (typicky router=VPN server .. pc/ntb/tbl/SF=VPN klienti).
29.6. 10:45 chinook | skóre: 27
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
Proč nepoužívat OpenVPN?
29.6. 11:56 PetebLazar | skóre: 19
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
Mikrotik implementoval OpenVPN pouze přes TCP a aspoň z mých zkušeností je to výkonově docela tragédie.

Z hlediska výkonu na daném Mikrotiku (nemám zatím přímou zkušenost) by měl být optimální IPSec, který by měl být schopen využít dostupné hardwarové akcelerace.
vencour avatar 29.6. 19:28 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
Prý ve verzi 7 Routerosu má být OpenVPN přes UDP (ještě nemám potrvrzeno).
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
MMMMMMMMM avatar 29.6. 20:21 MMMMMMMMM | skóre: 43 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
29.6. 20:22 PetebLazar | skóre: 19
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
Ve fóru Mikrotiku se to (OpenPVN over UDP) v 7.0Beta zmiňuje snad již od loňska, zatím to vypadá že chybí podpora autentifikace certifikáty a AES256 a má to ještě co vychytávat. Někomu se vytvořením statického interface z kopie OpenVPN interface podařilo pomocí zvětšení fronty pfifo docílit rychlostí 20-120Mbps. Tak snad se jim to do finální verze povede dotáhnout.
6.7. 12:01 [Jooky]
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
Nechapem preco sa v kazdej diskusii, kde sa spomenie MikroTik ludia hned zacnu navazat do toho OpenVPN ... ano, ide to len cez TCP a ano, je to "pomalsie", ako co by teoreticky islo dosiahnut cez UDP, ale realne to nie je vobec problem ... napr na RB951G-2HnD (mipsbe / 1x 600 MHz) mi zvlada handlovat pppoe sessnu, routovanie / nat / firewall + samotne OpenVPN az do cca 30 Mbit/s ... na kontrolu kamier, nastavenie, instalaciu servra a x inych veci je to viac nez dostatocne. Castokrat ludia na asymetrickej linke ani nemaju tak rychly uplink, takze sa skorsie saturuje spojenie, ako CPU na routri ...

co sa tyka "RB750Gr3" aka "hEX" ... tak ten ma 4x core (2x cpu + HT) o 880 MHz. Ten by mohol dat aj viac cez OpenVPN, ale tu bude lepsia volba L2TP/IPSec. Ja mam "hEX S" (rovnaky CPU) a cez L2TP/IPSec mi to dava cca 450 Mbit/s ... potom je uz len otazka, co je viac priorita. Ci "rychlejsie" spojenie, alebo jednoduchsie nastavitelne. OpenVPN sa da cez klikatko nastavit snad v kazdom OS. L2TP/IPSec napr na ubuntu nema GUI nastavenie a tiez s tym moze byt problem ak sa ide cez NAT (clovek sa chce pripojit v hoteli, u ISP co nedava verejnu IP a podobne). To OpenVPN cez TCP casto krat prelezie aj cez proxy, co o spojeni cez UDP+GRE sa neda povedat ...
6.7. 13:59 PetebLazar | skóre: 19
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
6.7. 14:14 GeorgeWH | skóre: 40
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
+ nehovoriac o obmedzenej funkcnosti ovpn severa.
6.7. 15:31 [Jooky]
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
a teraz co ? ... ano, TCP over TCP nie je idealne, ale podstatne je ze to funguje ... a funguje to aj z roznych nie dobre nastavenych sieti, popripade takych, ktore maju umyselne filtrovane spojenia ... V idealnom svete by to malo aj UDP* a malo aj funkcie, ktore par percent uzivatelov pouziva ... ale zase raz, je to mala krabicka, krabicka je niekde pri kamerach a pripojenie na kamery funguje ... bezne cez ten MikroTik OVPN server spravujem kamery ani raz som s tym nemal problem. Na mojom Linux laptope si len kliknem pripojit, za par sekund napise pripojene a mozem spravovat kamery ... IPSec a podobne veci su sice pekne, ale az do momentu ked je clovek nuteny sa pripojit z nejakej siete, kde filtruju vsetko okrem TCP a UDP, alebo filtruju nie bezne porty ...

Ked sa s tym niekomu chce bavit, tak nech si kupi server a implementuje Linux verziu OpenVPN servra ... ale odhovarat niekoho, kto uz ma na to krabicku doma, od toho, aby ju vyuzil mi pride na hlavu postavene ... hlavne ked je to ako som pisal ... aj na znacne slabsom routerboarde to dava viac, ako maju ludia bezne uplink na asymetrickej linke ...

* stale je mozne na RouterOS pouzit aj napr L2TP, ktory ide primarne cez UDP. Ked ma clovek taku moznost, tak nemusi pouzit MPPE, ale moze IPSec ...

(Niekedy mam pocit, ze niektory ludia veci poznaju len z laboratoria a realnu konfiguraciu v praxi ani nevideli ...)
6.7. 23:44 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
Já na mikrotiku používám L2TP/IPSec naklikal jsem si to na mobilu a i na ubuntu bez problémů.

Dále mám tak propojené 2 lokality jedna nemá veřejnou IPv4 (VDSL O2) a připojuji se na mikrotik který má veřejnou IPv4 (kabelovka optika nej.cz kdysi riomedia)
6.7. 15:53 Nereknu | skóre: 21 | Neřeknu:)
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
chybí tam auth sha256, aes256 tam je ;)
6.7. 15:50 Nereknu | skóre: 21 | Neřeknu:)
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
ccr1009 ke mě domů dává 95mbits po openvpn s aes256 (s 128 šifrou to dává 90mbits). Ale je pravda, že je to hodně citlivé na odezvu - domů mám 8ms a to dává těch 85mbits, na záloze s odezvou 18ms už to dává "jen" 30mbits a po LTE to jede sotva 20.
6.7. 15:52 Nereknu | skóre: 21 | Neřeknu:)
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
místo 95 tam mělo být 85 :)
6.7. 16:22 PetebLazar | skóre: 19
Rozbalit Rozbalit vše Re: Mikrotik - Router OS - konfigurace firewallu
Možná je ten vliv latencí horší než lineární.

Jak říkal Frank z Tenkrát na Západě: "How can you trust a man who wears both a belt and suspenders? The man can't even trust his own pants." https://openvpn.net/faq/what-is-tcp-meltdown/

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.