Os parece excesivo (obsesivo...) mi firewall/filter?

sfloresa dijo:
Si algo he aprendido en este foro es que por WAN no se debe acceder al router en ningún caso por motivos de seguridad. Para poder hacerlo, yo lo que hago es entrar por VPN (wireguard) a la LAN y ya desde allí acceder al router.
Haz clic para expandir...
Buenas noches,

En cualquier caso sea por VPN o como sea hay que añadir reglas en el /ip firewall filter... esas reglas por ejemplo para el tema de VPN vía IPSEC/L2TP son reglas de tipo input (17.-.udp, 50.-.ipsec-esp,51.-.ipsec-ah puertos 500,1701,4500) pero al tener esta regla activada que es muy importante:

add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN

dejo de tener acceso... como se supone que se hace sin deshabilitarla?

Cordialmente,

Juhn_Hoo
 
Juhn_Hoo dijo:
Buenas noches,

En cualquier caso sea por VPN o como sea hay que añadir reglas en el /ip firewall filter... esas reglas por ejemplo para el tema de VPN vía IPSEC/L2TP son reglas de tipo input (17.-.udp, 50.-.ipsec-esp,51.-.ipsec-ah puertos 500,1701,4500) pero al tener esta regla activada que es muy importante:

add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN

dejo de tener acceso... como se supone que se hace sin deshabilitarla?

Cordialmente,

Juhn_Hoo
Haz clic para expandir...
Poniendo reglas de accept específicas antes de esa regla de drop.

Saludos!
 
Juhn_Hoo dijo:
Buenas noches,

En cualquier caso sea por VPN o como sea hay que añadir reglas en el /ip firewall filter... esas reglas por ejemplo para el tema de VPN vía IPSEC/L2TP son reglas de tipo input (17.-.udp, 50.-.ipsec-esp,51.-.ipsec-ah puertos 500,1701,4500) pero al tener esta regla activada que es muy importante:

add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN

dejo de tener acceso... como se supone que se hace sin deshabilitarla?

Cordialmente,

Juhn_Hoo
Haz clic para expandir...
De la siguiente forma puedes poner una regla accept justo antes de esa, que no debes tocar (en el ejemplo, abro el puerto udp 12345 para wireguard):

Código: 
/ip firewall filter add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=12345 protocol=udp place-before [find comment="defconf: drop all not coming from LAN"]
 
sfloresa dijo:
De la siguiente forma puedes poner una regla accept justo antes de esa, que no debes tocar (en el ejemplo, abro el puerto udp 12345 para wireguard):

Código: 
/ip firewall filter add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=12345 protocol=udp place-before [find comment="defconf: drop all not coming from LAN"]
Haz clic para expandir...
Buenos días,

Sí, si lo he probado con l2tp-ipsec y funciona muy bien... solo que no funcionaba porque tenía que meter la interface L2TP en la lista LAN... ya que sinó quedaba capado por la regla del firewall

Cordialmente,

Juhn_Hoo
 
Cree un lista en firewall con mi un dominio que tengo. Y en la regla input, puse que source "staff"
 

Adjuntos

  • Captura de pantalla 2022-03-13 210906.png
    Captura de pantalla 2022-03-13 210906.png
    13.8 KB · Visitas: 44
  • Captura de pantalla 2022-03-13 210930.png
    Captura de pantalla 2022-03-13 210930.png
    31.1 KB · Visitas: 42
Debes estar conectado o registrado para responder aquí.

Similar threads

P
Presentación y duda básica
Respuestas
5
Visitas
298
pokoyo
D
IPTV Movistar Colombia con rb4011 y doble nat
Respuestas
10
Visitas
859
Jordi.Bcn
E
Bajo rendimiento con 7.1.1
Respuestas
9
Visitas
954
Emulero
martigs
Configuracion correcta firewall mikrotik
Respuestas
12
Visitas
1,562
martigs
E
Baja velocidad de bajada, alta de subida
Respuestas
3
Visitas
537
Emulero
Arriba