Mikrotik - Router OS - konfigurace firewallu

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod Denis30 29. 6. 2020 12:39

Dobrý den,

rád bych Vás požádal, zda by mi tady někdo poradil s konfigurací firewallu u routeru Mikrotik RB750Gr3, kde běží Routr OS. Mám základní konfiguraci ETH1 - WAN, ostatní ETH - LAN. Potom mám nastaveno nějaké NATování pro přístup zvenčí na NAS a IP kamery přes Android aplikaci. Když jsem se podíval u svého providera na grafy přenesených dat, odchází z mé sítě docela hodně dat. V Mikrotiku přes tool Packet snifer je vidět, že IP kamery pořád generují nějaký provoz. Poradíte mi, jak tomu zamezit? Jaké je ve firewallu pravidlo pro úplné odstřihnutí dané IP adresy od internetu?

Předem Vám děkuji.
Denis30
Kolemjdoucí

Odeslat příspěvekod Ondrej1 29. 6. 2020 13:04

První nástřel
/ip firewall filter
add chain=forward action=drop out-interface=WAN src-address=ipadresa-kamery connection-state=new log=yes
(přeloženo do lidštiny, zahoď všechny pokusy kamery otevřít nové spojení směrem ven) a pak v logu zkoumat, jestli se toho nezahazuje moc.
Ondrej1
Kolemjdoucí

Odeslat příspěvekod vladimir 29. 6. 2020 14:09

To, co píše Ondrej1 je samozřejmě v pořádku, musíš ale zajistit, že kamery budou mít stále stejnou IP-adresu, ručním nastavením nebo rezervací v DHCP serveru pro MAC-adresu kamer. Pozor, druhá možnost nefunguje, pokud by byly v síti repeatery.

Jiná triviální možnost je nastavit kamerám IP-adresu ručně (pokud to kamera umožňuje, některé čínské hračky akceptují jenom DHCP) a nezadávat jim výchozí bránu. Bez ní do internetu nic posílat nemůžou.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Denis30 29. 6. 2020 22:50

Děkuji Vám za rady, ale asi dělám něco špatně :-(.
Nastavil jsem pravidlo přesně podle Ondreje1, dal ho úplně nahoru, ale v počitadle vidím stále 0B a když otevřu Torch, nebo Packet Sniffer tak vidím, že kamera vesele odesílá a přijímá data dále.
U IP kamey mám nastavenou statickou IP.
Denis30
Kolemjdoucí

Odeslat příspěvekod vladimir 30. 6. 2020 12:52

To pravidlo nezakazuje průběžnou komunikaci, ale blokuje (mělo by blokovat) vytvoření nového spojení. Kamera může mít dlouhodobě otevřené spojení z doby ještě před napsáním pravidla.

Mužeš zkusit zrušit to connection state = new, že by to blokovalo veškerou komunikaci, ale jestli máš aktivovaný FastTrack, tak pakety již navázaného spojení pravidla obcházejí, takže by to stejně nepomohlo.

Je to stejné i po restartu Mikrotika? Restartem by se přerušily všechny aktuálně navázané spojení a pak by se to pravidlo mělo projevit.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Denis30 30. 6. 2020 13:58

Právě že mě to včera napadlo taky,tak jsem provedl reboot Mikritika a stejně nenastala žádná změna.
Nedefinoval jsem tedy v rules žádné porty,protože chci zablokovat vše...nevím, jak napsali FW v kameře, aby si po zakázání stávajících portů kamera neotevřela zase nějaké jiné porty.
Denis30
Kolemjdoucí

Odeslat příspěvekod Denis30 30. 6. 2020 16:59

Ještě mě napadlo - je to určitě správně, že do pravidla firewallu dávám zahodit IP kamery na ETH1 - WAN?
IP kamery je z vnitřního rozsahu adres LAN a ten už přece na rozhraní ETH1 - WAN (výstupu) nefiguruje, nebo se pletu?
Denis30
Kolemjdoucí

Odeslat příspěvekod soban 30. 6. 2020 21:49

Teoreticky ano, ovšem asi by to chtělo víc analyzovat co kam kamera posílá a kam se znaží navázat spojení.

Taky možná napsat jak jsi to pravidlo zapsal zda ho máš správně.....
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod Denis30 30. 6. 2020 23:16

Pravidlo mám napsáno takto:
/ip firewall filter
add action=drop chain=forward connection-state="" log=yes out-interface=\
ether1 src-address=192.168.0.203
Denis30
Kolemjdoucí

Odeslat příspěvekod soban 1. 7. 2020 08:19

A v logu nic nemáš nebo co tam je?

Jinak vyhodil bych connection-state="" prostě zablokovat vše z té IP co chce jít na ether1

Kód: Vybrat vše
/ip firewall filter
add action=drop chain=forward log=yes out-interface=\
ether1 src-address=192.168.0.203


Když by to nepomohlo tak bych začal dělat pokusy kdy bych vypustil ten ether1 a pokud máš před tím pravidlo pro povolené navázané spojení tak TCP by mělo chodit, problém může být video které může chodit přes UDP.

Kód: Vybrat vše
/ip firewall filter
add action=accept chain=forward connection-state=established,related,untracked
add action=drop chain=forward log=yes src-address=192.168.0.203
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod Denis30 1. 7. 2020 08:43

Děkuju,až dorazím domů vyzkouším to.
Denis30
Kolemjdoucí

Odeslat příspěvekod vladimir 1. 7. 2020 10:33

Denis30 píše: aby si po zakázání stávajících portů kamera neotevřela zase nějaké jiné porty.
Jediná možnost, jak by to kamera mohla udělat, je přes UPnP. Zkontroluj, jestli ho máš zakázané. Menu IP, záložka UPnP.

soban píše:Jinak vyhodil bych connection-state=""
Jo, to bude možná ten problém, já to ve svých filtrech nemám, zadávám je v grafickém prostředí a když tam žádný status nezaháčkuji, tak to tam není vůbec. Takhle napsané by to mohlo znamenat, že se pravidlo vztahuje pouze na pakety, ketré nemají žádný status (prázdný řetězec) a ne libovolný status.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod soban 1. 7. 2020 14:07

Jsem se díval jak se to projeví přes SSH a WWW.

Když zadáš přes SSH connection-state="" tak přes www je to menu otevřené a nezaškrtnuté žádné políčko, když to tam nedáš tak přes www jsou ty zaškrtávací políčka schovaná (status se nekontroluje).
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků