Os parece excesivo (obsesivo...) mi firewall/filter?

Si algo he aprendido en este foro es que por WAN no se debe acceder al router en ningún caso por motivos de seguridad. Para poder hacerlo, yo lo que hago es entrar por VPN (wireguard) a la LAN y ya desde allí acceder al router.
Buenas noches,

En cualquier caso sea por VPN o como sea hay que añadir reglas en el /ip firewall filter... esas reglas por ejemplo para el tema de VPN vía IPSEC/L2TP son reglas de tipo input (17.-.udp, 50.-.ipsec-esp,51.-.ipsec-ah puertos 500,1701,4500) pero al tener esta regla activada que es muy importante:

add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN

dejo de tener acceso... como se supone que se hace sin deshabilitarla?

Cordialmente,

Juhn_Hoo
 
Buenas noches,

En cualquier caso sea por VPN o como sea hay que añadir reglas en el /ip firewall filter... esas reglas por ejemplo para el tema de VPN vía IPSEC/L2TP son reglas de tipo input (17.-.udp, 50.-.ipsec-esp,51.-.ipsec-ah puertos 500,1701,4500) pero al tener esta regla activada que es muy importante:

add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN

dejo de tener acceso... como se supone que se hace sin deshabilitarla?

Cordialmente,

Juhn_Hoo
Poniendo reglas de accept específicas antes de esa regla de drop.

Saludos!
 
Buenas noches,

En cualquier caso sea por VPN o como sea hay que añadir reglas en el /ip firewall filter... esas reglas por ejemplo para el tema de VPN vía IPSEC/L2TP son reglas de tipo input (17.-.udp, 50.-.ipsec-esp,51.-.ipsec-ah puertos 500,1701,4500) pero al tener esta regla activada que es muy importante:

add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN

dejo de tener acceso... como se supone que se hace sin deshabilitarla?

Cordialmente,

Juhn_Hoo
De la siguiente forma puedes poner una regla accept justo antes de esa, que no debes tocar (en el ejemplo, abro el puerto udp 12345 para wireguard):

Código:
/ip firewall filter add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=12345 protocol=udp place-before [find comment="defconf: drop all not coming from LAN"]
 
De la siguiente forma puedes poner una regla accept justo antes de esa, que no debes tocar (en el ejemplo, abro el puerto udp 12345 para wireguard):

Código:
/ip firewall filter add action=accept chain=input comment="vpn: allow wireguard-rw" dst-port=12345 protocol=udp place-before [find comment="defconf: drop all not coming from LAN"]
Buenos días,

Sí, si lo he probado con l2tp-ipsec y funciona muy bien... solo que no funcionaba porque tenía que meter la interface L2TP en la lista LAN... ya que sinó quedaba capado por la regla del firewall

Cordialmente,

Juhn_Hoo
 
Cree un lista en firewall con mi un dominio que tengo. Y en la regla input, puse que source "staff"
 

Adjuntos

  • Captura de pantalla 2022-03-13 210906.png
    Captura de pantalla 2022-03-13 210906.png
    13.8 KB · Visitas: 44
  • Captura de pantalla 2022-03-13 210930.png
    Captura de pantalla 2022-03-13 210930.png
    31.1 KB · Visitas: 42
Arriba