Os parece excesivo (obsesivo...) mi firewall/filter?

jerogabe · 16 Febrero 2022

He cambiado los Ap de casa (por fin) y he aprovechado para meter capsman, tengo 4 redes wifis, IoT, Invitados, niños y la principal.

/ip firewall filter
add action=add-src-to-address-list address-list=LOGINS_FALLIDOS address-list-timeout=none-dynamic chain=input comment="REGISTRO DE LOGINS FALLIDOS" \
connection-state=new dst-port=8289 limit=!1/1m,3acket protocol=tcp
add action=add-src-to-address-list address-list=LOGINS_FALLIDOS_TELEGRAM address-list-timeout=none-dynamic chain=input connection-state=new dst-port=\
8289 limit=!1/1m,3acket protocol=tcp
add action=drop chain=forward comment="ACCESO A INTERNET BLOQUEDO POR EXCESO DE LOGINS" src-address-list=LOGINS_FALLIDOS
add action=drop chain=input comment="ACCESO A ROUTER BLOQUEDO POR EXCESO DE LOGINS" src-address-list=LOGINS_FALLIDOS
add action=drop chain=input comment="DROP INPUT INTERFACES INVITADOS -- IoT" in-interface-list="RED INVITADOS -- IoT"
add action=drop chain=input comment="DROP INPUT WIFI NI\D1OS" in-interface-list="RED NI\D1OS"
add action=drop chain=forward comment="DROP FORWARD WIFI INVITADOS -- IoT > LAN" in-interface-list="RED INVITADOS -- IoT" out-interface-list=LAN
add action=drop chain=forward comment="DROP FORWARD WIFI NI\D1OS -- IoT > LAN" in-interface-list="RED NI\D1OS" out-interface-list=LAN
add action=drop chain=forward comment="DROP FORWARD WIFI INVITADOS -- IoT > NI\D1OS" in-interface-list="RED INVITADOS -- IoT" out-interface-list=\
"RED NI\D1OS"
add action=drop chain=forward comment="DROP FORWARD WIFI INVITADOS --> IoT" in-interface=bridge-Invitados out-interface=bridge-IoT-WiFi
add action=accept chain=input comment="WIREGUARD ROAMING ACCEPT" dst-port=16880 in-interface-list=WAN-INTERNET log-prefix=\
"CONEXION WIREGUARD ROAMING ACEPTADA" protocol=udp
add action=accept chain=input comment="WIREGUARD PtP ACCEPT" dst-port=16881 in-interface-list=WAN-INTERNET log-prefix="CONEXION WIREGUARD PtP" protocol=\
udp
add action=accept chain=input comment="WINBOX WIREGUARD ROAMING" dst-port=8289 in-interface-list=WIREGUARD log-prefix="ACCESO POR WIREGUARD" protocol=\
tcp src-address-list=WIREGUARD-VPN
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes in-interface=CASA
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=\
WAN-INTERNET

Quitaríais/añadiríais algo?
El router es un Rb3011 y los caps son HapAc2.
Buenas noches!

pokoyo · 17 Febrero 2022

Me parece que se puede mejorar mucho. Cosas a tener en cuenta, como consejos generales:

Las reglas se procesan en orden, dentro de cada chain. Quiere decir que no vale de nada intercales reglas de forward en medio de las de input, puesto que el orden no es el que tú ves ahí, sino todas las de input en orden + todas las de forward en orden. Eso es lo primero a entender de cómo funciona un firewall mikrotik.
Normalmente, los huecos donde meter reglas de input y de forward adicionales son:
- en input, justo antes de la regla que tira todo tráfico que no viene de la LAN, "defconf: drop all not coming from LAN". Juega con esa lista para ahorrarte reglas adicionales absurdas sobre interfaces distintas del bridge principal que quieras considerar como LAN, considerando siempre que ese chain es el más delicado, porque es el acceso al propio router.
- En forward, a continuación de la última regla por defecto, "defconf: drop all from WAN not DSTNATed"
Más reglas = más CPU. Si te lías a meter reglas adicionales por las que tenga que pasar todo el tráfico, lo único que vas a conseguir es un incremento de la CPU y un peor rendimiento. Aprovecha siempre que puedas las reglas que aceptan el tráfico ya establecido, tanto en input como en forward (no digamos ya el fasttrack, que es la regla mágica de estos equipos).
Intenta que el firewall, siempre que puedas, trabaje por IP, en lugar de por interfaz.

Ahora, centrándome en tu setup:

La regla que hace referencia a los logins fallidos, me la sacaba de enmedio. ¿no quieres logins fallidos? Muy sencillo: restringe quien tiene acceso al chain de input. En lugar de dejar que todo el bridge (que suele ser quien pertenece a la lista LAN) tenga acceso al router, restríngelo a una interfaz concreta que esté fuera del bridge, de administración. O, si no quieres tocar la regla, define una IP (o lista de IPs) de administración para el único equipo que necesites que acceda al router, la reservas para tu(s) equipo(s) y metes ese rango en IP > Services, asociados a los servicios que quieras mantener abiertos (winbox/www). Y se acabaron los problemas, ya no necesitas esa regla ni la de telegram, que veo que ni se usa. El resto de reglas de DROP te las puedes ahorrar, simplemente con dejar que la reglas "defconf: drop all not coming from LAN" trabaje. O, si no quieres que ni esa trabaje, la cambias por una que haga drop de todo, como última regla de input.

Sólo con ese cambio, me acabo de cepillar todas las reglas adicionales que tienes en input. Lo único adicional que tendrías que aceptar sería el wireguard, con un par de reglas tal que así:

Código:

add action=accept chain=input comment="vpn: allow wireguard connection" dst-port=16880-16881 protocol=udp
add action=accept chain=input comment="vpn: allow wireguard admin clients to reach router" src-address=192.168.xx.0/24

Siendo 192.168.xx.0/24 tu segmento de administración para los clientes wireguard que quieras que lleguen en remoto a la configuración del router (por ejemplo, acceso a winbox, webfig, etc). Esa IP (concreta o rango, como está en mi ejemplo), la metes en IP -> Services, y andando.

Ya hemos reducido de 8 regla adicionales en input, a 2.

Veamos el chain de forward:

Si no consideramos que ya hemos prescindido, por lo mencionado anteriormente, de la regla que bloquea el acceso a internet por los login fallidos, nos quedan cuatro reglas, que por lo que entiendo lo único que hacen es que el IOT y la wifi de invitados se vean entre sí. Supongamos que los segmentos de red de invitados e IOT son, respectivamente, 192.168.90.0/24 / 192.168.91.0/24. Si metemos esos dos segementos en una lista de direcciones llamada "dirty-traffic", podríamos hacer esto:

Código:

ip firewall address-list/add list=dirty-traffic address=192.168.90.0/24
ip firewall address-list/add list=dirty-traffic address=192.168.91.0/24
add action=reject chain=forward comment="blocked: dirty traffic" out-interface-list=!WAN-INTERNET \
reject-with=icmp-net-prohibited src-address-list=dirty-traffic

Y así hemos bloqueado de un plumazo todo acceso desde esas subredes a todo lo que no sea internet. Basándome en la config por defecto (quito las reglas de ipsec que veo que no las usas en tu setup), y con las siguientes suposiciones, tendríamos (es un ejemplo, sustituye por lo que tú tengas)
segmento LAN: 192.168.88.0/24
segmento INVITADOS: 192.168.90.0/24
segmento IOT: 192.168.91.0/24
segmento administración wireguard: 192.168.87.0/24

Y el firewall quedaría tal que así (supongo 192.168.88.10 y 192.168.87.10 tus IPs de administración en LAN y Wireguard; cámbialo y ábrelo a segmentos enteros si lo necesitas y no coinciden con otros usuarios de tu LAN)

Restricción de acceso al equipo: por ssh sólo a una IP concreta, por winbox sólo a dos IP's concretas, una LAN y otra Wireguard, y por web a todo el segmento LAN y el segmento de admin de Wireguard (por ejemplo)

Código:

/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh address=192.168.88.10
set www-ssl disabled=yes
set api disabled=yes
set api-ssl disabled=yes
set winbox address=192.168.88.10,192.168.87.10
set www address=192.168.88.0/24,192.168.87.0/24

Creación de listas para restricción de tráfico inter LAN

Código:

ip firewall address-list/add list=dirty-traffic address=192.168.90.0/24
ip firewall address-list/add list=dirty-traffic address=192.168.91.0/24

Firewall minimalista (11 líneas)

Código:

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="vpn: allow wireguard connection" dst-port=16880-16881 protocol=udp
add action=accept chain=input comment="vpn: allow wireguard admin clients to reach router" src-address=192.168.87.0/24
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=\
WAN-INTERNET
add action=reject chain=forward comment="blocked: dirty traffic" out-interface-list=!WAN-INTERNET \
reject-with=icmp-net-prohibited src-address-list=dirty-traffic

Con esto no quiero decir que cambies tu setup, si tú estás contento con él, es lo que cuenta. Pero es para darte una idea de que las cosas se pueden afinar muchísimo, con respecto a lo que tienes.

Saludos!

jerogabe · 17 Febrero 2022

Las reglas son una mezcla de la red de hace unos dias con la nueva, si que hay que hacer limpieza, esta tarde me pongo a ello, muchas gracias crack!

jerogabe · 17 Febrero 2022

Buenas tardes, edito el mensaje;
Lo de ip/services ya lo tenía hecho, he creado address list para acceso al equipo desde mi red LAN y Wireguard y otra lista para en tráfico aislado.

Código:

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="WIREGUARD ACCEPT" dst-port=16880-16881 in-interface-list=WAN-INTERNET log-prefix=\
    "CONEXION WIREGUARD ACEPTADA" protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" src-address-list="!RED LAN-WG ADMIN"
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes in-interface=CASA
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=\
    WAN-INTERNET
add action=reject chain=forward comment="SOLO ACCESO A INTERNET" out-interface-list=!WAN-INTERNET reject-with=icmp-net-prohibited src-address-list=\
    "TRAFICO AISLADO TOTALMETE"

Bueno pues así quedó finalmente, que te parece? Añadir o quitar algo?
Mejor no @pokoyo ??

jerogabe · 17 Febrero 2022

Así quedó finalmente;

Código:

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.30.0/24,10.100.0.0/24 disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.30.0/24,172.16.10.0/24 port=8289
set api-ssl disabled=yes

Código:

/ip firewall address-list
add address=192.168.31.0/24 comment=IoT-WiFi list="TRAFICO AISLADO TOTALMETE"
add address=192.168.32.0/24 comment=INVITADOS list="TRAFICO AISLADO TOTALMETE"
add address=172.16.30.0/24 comment="RED DE DANIEL" list="TRAFICO AISLADO TOTALMETE"
add address=172.16.31.0/24 comment="RED DE CRISTIAN" list="TRAFICO AISLADO TOTALMETE"
add address=192.168.30.0/24 comment="RED DE CASA" list="RED LAN-WG ADMIN"
add address=172.16.10.0/24 comment="RED WIREGUARD ROAMING" list="RED LAN-WG ADMIN"

Código:

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="WIREGUARD ACCEPT" dst-port=16880-16881 in-interface-list=WAN-INTERNET log-prefix="CONEXION WIREGUARD ACEPTADA" protocol=udp
add action=drop chain=input comment="defconf: drop all not coming from LAN" src-address-list="!RED LAN-WG ADMIN"
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes in-interface=CASA
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN-INTERNET
add action=reject chain=forward comment="SOLO ACCESO A INTERNET" out-interface-list=!WAN-INTERNET reject-with=icmp-net-prohibited src-address-list="TRAFICO AISLADO TOTALMETE"

pokoyo · 17 Febrero 2022

Muchíiiiisimo mejor ahora

Lo has pillado a la primera.

Saludos!

jerogabe · 17 Febrero 2022

pokoyo dijo:
Muchíiiiisimo mejor ahora

Lo has pillado a la primera.

Saludos!

Muchas gracias, en las reglas anteriores sabia que aun podia tocar algo mas en la red que quiero aislar, en el icmp accept la he editado, ahora creo que está de 10!!

Código:

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp src-address-list="!TRAFICO AISLADO TOTALMETE"

Muchas gracias.

Canariote82 · 7 Marzo 2022

que te parece este

/ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
/ip firewall filter add action=drop chain=input comment="defconf: drop all not coming from LAN" connection-state=invalid in-interface-list=!LAN protocol=tcp
/ip firewall filter add action=accept chain=input dst-port=8728 protocol=tcp
/ip firewall filter add action=accept chain=input dst-port=9999 log=yes log-prefix=Winbox protocol=tcp
/ip firewall filter add action=accept chain=input dst-port=1701,500,4500 protocol=udp
/ip firewall filter add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
/ip firewall filter add action=drop chain=forward comment="Bloqueo porno" log=yes log-prefix=Adultos packet-mark=Adultos_Packet src-address-list="Bloqueo Porno"
/ip firewall filter add action=drop chain=forward comment="Bloqueo Vlan Wifi" dst-address-list=oficina src-address-list=Wifi
/ip firewall filter add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
/ip firewall filter add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state="" dst-address-list=!FueraFastrack log-prefix=fastrack src-address-list=!FueraFast
rack
/ip firewall filter add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
/ip firewall filter add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
/ip firewall filter add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
/ip firewall filter add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

Juhn_Hoo · 10 Marzo 2022

Buenos días,

Yo en el mío tengo lo siguiente:

/ip firewall filter
add action=accept chain=input comment=\ "DEFAULT CONFIGURATION CONNECTION ESTABLISHED-RELATED" connection-state=\ established,related
add action=fasttrack-connection chain=forward comment=\ "DEFAULT CONFIGURATION CONNECTION ESTABLISHED-RELATED" connection-state=\ established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward comment="FILTRA FAIL2BAN ASTERISK (5170)" \ dst-port=5170 protocol=udp src-address-list=F2B-Asterisk
add action=drop chain=input comment="FILTRA FAIL2BAN ASTERISK (5170)" \ dst-port=5170 protocol=udp src-address-list=F2B-Asterisk
add action=drop chain=forward comment="DENIEGA LOS PAQUETES INVALIDOS" \ connection-state=invalid
add action=drop chain=input comment="DENIEGA LO NO ESPECIFICADO" \ in-interface=VLAN.-.JAZZTEL_1074_DATA&VOIP

Como lo véis? Luego tengo muchas reglas deshabilitadas que se habilitan de forma manual durante su uso y luego se deshabilitan como por ejemplo:

add action=accept chain=input comment=\ "PERMITE BRUTE FORCE WINBOX (8291) WHITECLIENT" dst-port=8291 \ in-interface=VLAN.-.JAZZTEL_1074_DATA&VOIP protocol=tcp src-address-list=\ WhiteClient

Se puede abreviar más o concentrar más sin perder seguridad o securizarlo más?

Cordialmente,

Juhn_Hoo

pokoyo · 10 Marzo 2022

De verdad que no entiendo este hilo. Mikrotik te da por defecto un firewall que cumple con el 99% lo que un usuario doméstico quiere. Vosotros lo borráis, hacéis el vuestro, y luego preguntáis qué tal está... Pues la respuesta es simple: comparadlo con lo que hace el que viene por defecto. Si habéis conseguido lo mismo con la mitad de reglas, estará bien. Si acabáis teniendo un problema gordo de seguridad, no estará tan bien.

Si os queréis poner a discutir sobre reglas, me parece bien. O sobre cómo habéis abordado un tipo particular de problema que no cubre el firewall por defecto... pero, para todo lo demás -> firewall por defecto y andando.

Yo no me puedo parar a revisar una por una las reglas de firewall que os inventáis, sorry.

Saludos!

Juhn_Hoo · 11 Marzo 2022

pokoyo dijo:
De verdad que no entiendo este hilo. Mikrotik te da por defecto un firewall que cumple con el 99% lo que un usuario doméstico quiere. Vosotros lo borráis, hacéis el vuestro, y luego preguntáis qué tal está... Pues la respuesta es simple: comparadlo con lo que hace el que viene por defecto. Si habéis conseguido lo mismo con la mitad de reglas, estará bien. Si acabáis teniendo un problema gordo de seguridad, no estará tan bien.

Si os queréis poner a discutir sobre reglas, me parece bien. O sobre cómo habéis abordado un tipo particular de problema que no cubre el firewall por defecto... pero, para todo lo demás -> firewall por defecto y andando.

Yo no me puedo parar a revisar una por una las reglas de firewall que os inventáis, sorry.

Saludos!

Buenos días Pocoyo,

Lo primero no te enfades, puedo entender lo que dices pero entiende que en la gran mayoría de los casos la gente que se compra un Mikrotik acaba poniendo las reglas que dicen en un foro "como este u otros" para que funcione (modo ensayo error independientemente de que sea correcto) con los N operadores que hay... yo recuerdo haber empezado con una configuración de un tal "Malosa" para imagenio y un Mikrotik RB2100 desde eso ha llovido mucho... y muchos hemos cambiado de operador muchas veces.

Como dices hay líneas que son imprescindibles para que funcione internet sin ningún invento ni extra.... la pregunta era... supuestamente son estas?

/ip firewall filter
add action=accept chain=input comment=\ "DEFAULT CONFIGURATION CONNECTION ESTABLISHED-RELATED" connection-state=\ established,related
add action=fasttrack-connection chain=forward comment=\ "DEFAULT CONFIGURATION CONNECTION ESTABLISHED-RELATED" connection-state=\ established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward comment="DENIEGA LOS PAQUETES INVALIDOS" \ connection-state=invalid
add action=drop chain=input comment="DENIEGA LO NO ESPECIFICADO" \ in-interface=VLAN.-.JAZZTEL_1074_DATA&VOIP

Estas líneas son las básicas que tiene que tener todo Mikrotik en los filtros cambiando la interface para adaptarlas a cualquier operador?

Con esto puedes navegar, trabajar... etc sin fallas de seguridad ni perdidas de CPU por sobrecarga de filtros?

Disculpa si te ha molestado la pregunta no era mi intención.... A muchos de nosotros nos dicen que hay líneas que se tienen que añadir por defecto para mejorar el rendimiento y que por defecto para todos nos lo creemos aunque luego no sepamos exactamente para que sirven...

Cordialmente,

Juhn_Hoo

stargate4you · 11 Marzo 2022

Juhn_Hoo dijo:
A muchos de nosotros nos dicen que hay líneas que se tienen que añadir por defecto para mejorar el rendimiento y que por defecto para todos nos lo creemos aunque luego no sepamos exactamente para que sirven...

Yo el consejo que doy es leer detenidamente los hilos con chincheta que tenemos en el foro para ir entrando en el mundo Mikrotik.

Te darás cuenta que empezar con la configuración por defecto que monta el quickstep ya es gran parte del trabajo hecho. A partir de ahí, es cuando entramos en las configuraciones de nuestros operadores. Y más adelante ya podemos ir entrando en otros temas como las VPN, etc que están igualmente explicados en los temas fijados del foro Mikrotik.
Y descuida que nadie se enfada, estamos para ayudarnos en la medida de nuestras posibilidades.
Saludos.

pokoyo · 11 Marzo 2022

Juhn_Hoo dijo:
Lo primero no te enfades, puedo entender lo que dices pero entiende que en la gran mayoría de los casos la gente que se compra un Mikrotik acaba poniendo las reglas que dicen en un foro "como este u otros" para que funcione (modo ensayo error independientemente de que sea correcto) con los N operadores que hay... yo recuerdo haber empezado con una configuración de un tal "Malosa" para imagenio y un Mikrotik RB2100 desde eso ha llovido mucho... y muchos hemos cambiado de operador muchas veces.

No, si enfadado no estoy, simplemente quiero que entendáis que esto es un foro donde colaboramos todos, y que yo no soy soporte nivel 1 de Mikrotik. Es decir, esto que yo hago aquí (y si te has dado una vuelta por los manuales, lo verás) es intentar enseñaros a manejar vuestros equipos, no enseñaros a copiar y pegar, que eso me consta que ya sabéis. Mi propósito es enseñaros a hacer cosas, no daros una configuración hecha. Es decir, yo te doy la caña y te enseño a usarla, no te vendo el pescado.

Afortunadamente, desde hace mucho tiempo todos los equipos de mikrotik de gama no profesional (de la RB 1100ah para abajo), vienen con un script de auto-configuración. Ese script, sin tú hacer nada, te da un router que salen andando tal cual le pinches el puerto ethernet a cualquier otro chisme que tenga un servidor DHCP en ether1. El router es perfectamente funcional y tiene un firewall para quitarse el sombrero, tanto por lo simple que es, como por lo bien hecho que está. Estúdialo, y adáptalo a tus necesidades, si es que necesitas modificarlo un ápice.

Dicho esto, yo no soy partidario de los copia pega. Más que nada porque, si no entiendes lo que estás haciendo, estás en manos de otro, y de lo bien o mal intencionada que sea esa persona. Si entiendes lo que haces, hoy sabrás un poquito, mañana otro poquito, y cuando te quieras dar cuenta estás escribiendo manuales a destajo en un foro como este. Vamos, que yo no nací sabiendo, para que nos entendamos.

Te dejo para tu referencia un post donde se explica el firewall por defecto, que seguro te viene bien para entenderlo: https://www.adslzone.net/foro/mikro...otik-triple-vlan-jazztel.570793/#post-3541279

Saludos!

Juhn_Hoo · 11 Marzo 2022

pokoyo dijo:
No, si enfadado no estoy, simplemente quiero que entendáis que esto es un foro donde colaboramos todos, y que yo no soy soporte nivel 1 de Mikrotik. Es decir, esto que yo hago aquí (y si te has dado una vuelta por los manuales, lo verás) es intentar enseñaros a manejar vuestros equipos, no enseñaros a copiar y pegar, que eso me consta que ya sabéis. Mi propósito es enseñaros a hacer cosas, no daros una configuración hecha. Es decir, yo te doy la caña y te enseño a usarla, no te vendo el pescado.

Afortunadamente, desde hace mucho tiempo todos los equipos de mikrotik de gama no profesional (de la RB 1100ah para abajo), vienen con un script de auto-configuración. Ese script, sin tú hacer nada, te da un router que salen andando tal cual le pinches el puerto ethernet a cualquier otro chisme que tenga un servidor DHCP en ether1. El router es perfectamente funcional y tiene un firewall para quitarse el sombrero, tanto por lo simple que es, como por lo bien hecho que está. Estúdialo, y adáptalo a tus necesidades, si es que necesitas modificarlo un ápice.

Dicho esto, yo no soy partidario de los copia pega. Más que nada porque, si no entiendes lo que estás haciendo, estás en manos de otro, y de lo bien o mal intencionada que sea esa persona. Si entiendes lo que haces, hoy sabrás un poquito, mañana otro poquito, y cuando te quieras dar cuenta estás escribiendo manuales a destajo en un foro como este. Vamos, que yo no nací sabiendo, para que nos entendamos.

Te dejo para tu referencia un post donde se explica el firewall por defecto, que seguro te viene bien para entenderlo: https://www.adslzone.net/foro/mikro...otik-triple-vlan-jazztel.570793/#post-3541279

Saludos!

Buenas tardes,

Muchas gracias, en el post que me dejas se explican muchas cosas https://www.adslzone.net/foro/mikro...otik-triple-vlan-jazztel.570793/#post-3541279 que supuestamente deberíamos de saber pero que como muy bien has dicho al hacer un copia pega o el tipico por defecto... pues no analizamos... solo miramos lo que añadimos o quitamos...

Tengo dos dudillas igual tontas o no.

1.-.Sobre el tema de /ip firewall filter hay un orden en el que trabaja el firewall? las reglas han de ir en ese orden exacto? o en alguno en concreto
2.-.Hay una cosa que yo no uso (por desconocimiento que es in-interface-list entiendo que deben de ser listas y se definen en interface list... y en vez de usar in-interface o out-interface se usa el in-interface-list... según las reglas de los filtros del firewall..

Cordialmente,

Juhn_Hoo

pokoyo · 11 Marzo 2022

Juhn_Hoo dijo:
1.-.Sobre el tema de /ip firewall filter hay un orden en el que trabaja el firewall? las reglas han de ir en ese orden exacto? o en alguno en concreto

Sí, el firewall trabaja en orden, pero dentro de cada chain. Es decir, como si tuvieras dos (tres, cuatro, dependiendo de los chains que tengas) firewall que, individualmente cada uno, trabaja en el orden en el que ves las reglas. Por eso no tiene ningún sentido llevarse reglas de forward para arriba y poner una regla delante de todas las de input, como he visto a mucha gente que hace. Pero sí, el orden es MUY importante en el firewall, tanto por cómo se ejecutan las reglas, como por la eficiencia de las mismas (dos mismas reglas de accept, deberían ponerse en el orden en el que más tráfico reciban)

Juhn_Hoo dijo:
2.-.Hay una cosa que yo no uso (por desconocimiento que es in-interface-list entiendo que deben de ser listas y se definen en interface list... y en vez de usar in-interface o out-interface se usa el in-interface-list... según las reglas de los filtros del firewall..

Pues es una de las cosas más útiles que tiene el firewall, lo cual consigue independizar las reglas del tipo de conexión que tengas (pppoe con telefónica, vlan con cualquier otro operador, o conexión directa por ether1). Simplemente con decirle qué interfaz hace de WAN y/o de LAN, el resto de firewall no cambia un ápice.

Saludos!

Juhn_Hoo · 11 Marzo 2022

pokoyo dijo:
Sí, el firewall trabaja en orden, pero dentro de cada chain. Es decir, como si tuvieras dos (tres, cuatro, dependiendo de los chains que tengas) firewall que, individualmente cada uno, trabaja en el orden en el que ves las reglas. Por eso no tiene ningún sentido llevarse reglas de forward para arriba y poner una regla delante de todas las de input, como he visto a mucha gente que hace. Pero sí, el orden es MUY importante en el firewall, tanto por cómo se ejecutan las reglas, como por la eficiencia de las mismas (dos mismas reglas de accept, deberían ponerse en el orden en el que más tráfico reciban)

Pues es una de las cosas más útiles que tiene el firewall, lo cual consigue independizar las reglas del tipo de conexión que tengas (pppoe con telefónica, vlan con cualquier otro operador, o conexión directa por ether1). Simplemente con decirle qué interfaz hace de WAN y/o de LAN, el resto de firewall no cambia un ápice.

Saludos!

Buenas tardes,

Igual no me he explicado correctamente el PPPOE lo montas sobre una interface VLAN... la VLAN sobre un interface puerto físico... en las listas que defines como WAN el PPPOE, la VLAN, el ETHER00... que es lo que defines como WAN...

Obvio ya sé que la WAN es por donde entran y salen los datos pero como hay varias interfaces virtuales/lógicas... que se montan para tener red... igual hay que definirlas todas o solo con el puerto físico... es suficiente... o hay que ponerles todos...

Qué es lo más óptimo y más correcto? Se remite pantallazo por si aclara algo...

Cordialmente,

Juhn_Hoo

pokoyo · 11 Marzo 2022

Juhn_Hoo dijo:
Igual no me he explicado correctamente el PPPOE lo montas sobre una interface VLAN... la VLAN sobre un interface puerto físico... en las listas que defines como WAN el PPPOE, la VLAN, el ETHER00... que es lo que defines como WAN...

La que va más arriba, únicamente. Si tu conexión es PPPoE, el PPPoE es tu WAN.

Saludos!

Juhn_Hoo · 11 Marzo 2022

pokoyo dijo:
La que va más arriba, únicamente. Si tu conexión es PPPoE, el PPPoE es tu WAN.

Saludos!

Buenas tardes,

Perfecto empiezo a ver las cosas más concretas y especificamente... después de haber activado esta regla (que según tu es la más importante):

add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN

No puedo acceder al WinBox desde WAN como puedo permitir el acceso desde WAN a Winbox o a L2TP sin deshabilitar esta regla? o sea haciendolo correctamente...

Hasta la fecha lo hacia permitiendo unicamente ips publicas controladas... pero no tenía esa regla.

Nuevamente muchas gracias por todo

Cordialmente,

Juhn_Hoo

sfloresa · 11 Marzo 2022

Juhn_Hoo dijo:
Buenas tardes,

Perfecto empiezo a ver las cosas más concretas y especificamente... después de haber activado esta regla (que según tu es la más importante):

add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN

No puedo acceder al WinBox desde WAN como puedo permitir el acceso desde WAN a Winbox o a L2TP sin deshabilitar esta regla? o sea haciendolo correctamente...

Hasta la fecha lo hacia permitiendo unicamente ips publicas controladas... pero no tenía esa regla.

Nuevamente muchas gracias por todo

Cordialmente,

Juhn_Hoo

Si algo he aprendido en este foro es que por WAN no se debe acceder al router en ningún caso por motivos de seguridad. Para poder hacerlo, yo lo que hago es entrar por VPN (wireguard) a la LAN y ya desde allí acceder al router.

pokoyo · 11 Marzo 2022

Correcto. Por la WAN ni mijita. Si quieres acceder desde fuera a tu red, por VPN. Sino, si llegas tú, llega cualquiera.

Saludos!

Os parece excesivo (obsesivo...) mi firewall/filter?

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Usuari@ ADSLzone

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Usuari@ ADSLzone

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Adjuntos

Moderador ADSLZone - Mikrotik ★★★★★

Usuari@ ADSLzone

Usuari@ ADSLzone

Moderador ADSLZone - Mikrotik ★★★★★

Similar threads