Stránka 1 z 1

Mikrotik - Router OS - konfigurace firewallu

Odeslat příspěvekNapsal: 29. 6. 2020 12:39
od Denis30
Dobrý den,

rád bych Vás požádal, zda by mi tady někdo poradil s konfigurací firewallu u routeru Mikrotik RB750Gr3, kde běží Routr OS. Mám základní konfiguraci ETH1 - WAN, ostatní ETH - LAN. Potom mám nastaveno nějaké NATování pro přístup zvenčí na NAS a IP kamery přes Android aplikaci. Když jsem se podíval u svého providera na grafy přenesených dat, odchází z mé sítě docela hodně dat. V Mikrotiku přes tool Packet snifer je vidět, že IP kamery pořád generují nějaký provoz. Poradíte mi, jak tomu zamezit? Jaké je ve firewallu pravidlo pro úplné odstřihnutí dané IP adresy od internetu?

Předem Vám děkuji.

Re: Mikrotik - Router OS - konfigurace firewallu

Odeslat příspěvekNapsal: 29. 6. 2020 13:04
od Ondrej1
První nástřel
/ip firewall filter
add chain=forward action=drop out-interface=WAN src-address=ipadresa-kamery connection-state=new log=yes
(přeloženo do lidštiny, zahoď všechny pokusy kamery otevřít nové spojení směrem ven) a pak v logu zkoumat, jestli se toho nezahazuje moc.

Re: Mikrotik - Router OS - konfigurace firewallu

Odeslat příspěvekNapsal: 29. 6. 2020 14:09
od vladimir
To, co píše Ondrej1 je samozřejmě v pořádku, musíš ale zajistit, že kamery budou mít stále stejnou IP-adresu, ručním nastavením nebo rezervací v DHCP serveru pro MAC-adresu kamer. Pozor, druhá možnost nefunguje, pokud by byly v síti repeatery.

Jiná triviální možnost je nastavit kamerám IP-adresu ručně (pokud to kamera umožňuje, některé čínské hračky akceptují jenom DHCP) a nezadávat jim výchozí bránu. Bez ní do internetu nic posílat nemůžou.

Re: Mikrotik - Router OS - konfigurace firewallu

Odeslat příspěvekNapsal: 29. 6. 2020 22:50
od Denis30
Děkuji Vám za rady, ale asi dělám něco špatně :-(.
Nastavil jsem pravidlo přesně podle Ondreje1, dal ho úplně nahoru, ale v počitadle vidím stále 0B a když otevřu Torch, nebo Packet Sniffer tak vidím, že kamera vesele odesílá a přijímá data dále.
U IP kamey mám nastavenou statickou IP.

Re: Mikrotik - Router OS - konfigurace firewallu

Odeslat příspěvekNapsal: 30. 6. 2020 12:52
od vladimir
To pravidlo nezakazuje průběžnou komunikaci, ale blokuje (mělo by blokovat) vytvoření nového spojení. Kamera může mít dlouhodobě otevřené spojení z doby ještě před napsáním pravidla.

Mužeš zkusit zrušit to connection state = new, že by to blokovalo veškerou komunikaci, ale jestli máš aktivovaný FastTrack, tak pakety již navázaného spojení pravidla obcházejí, takže by to stejně nepomohlo.

Je to stejné i po restartu Mikrotika? Restartem by se přerušily všechny aktuálně navázané spojení a pak by se to pravidlo mělo projevit.

Re: Mikrotik - Router OS - konfigurace firewallu

Odeslat příspěvekNapsal: 30. 6. 2020 13:58
od Denis30
Právě že mě to včera napadlo taky,tak jsem provedl reboot Mikritika a stejně nenastala žádná změna.
Nedefinoval jsem tedy v rules žádné porty,protože chci zablokovat vše...nevím, jak napsali FW v kameře, aby si po zakázání stávajících portů kamera neotevřela zase nějaké jiné porty.

Re: Mikrotik - Router OS - konfigurace firewallu

Odeslat příspěvekNapsal: 30. 6. 2020 16:59
od Denis30
Ještě mě napadlo - je to určitě správně, že do pravidla firewallu dávám zahodit IP kamery na ETH1 - WAN?
IP kamery je z vnitřního rozsahu adres LAN a ten už přece na rozhraní ETH1 - WAN (výstupu) nefiguruje, nebo se pletu?

Re: Mikrotik - Router OS - konfigurace firewallu

Odeslat příspěvekNapsal: 30. 6. 2020 21:49
od soban
Teoreticky ano, ovšem asi by to chtělo víc analyzovat co kam kamera posílá a kam se znaží navázat spojení.

Taky možná napsat jak jsi to pravidlo zapsal zda ho máš správně.....

Re: Mikrotik - Router OS - konfigurace firewallu

Odeslat příspěvekNapsal: 30. 6. 2020 23:16
od Denis30
Pravidlo mám napsáno takto:
/ip firewall filter
add action=drop chain=forward connection-state="" log=yes out-interface=\
ether1 src-address=192.168.0.203

Re: Mikrotik - Router OS - konfigurace firewallu

Odeslat příspěvekNapsal: 1. 7. 2020 08:19
od soban
A v logu nic nemáš nebo co tam je?

Jinak vyhodil bych connection-state="" prostě zablokovat vše z té IP co chce jít na ether1

Kód: Vybrat vše
/ip firewall filter
add action=drop chain=forward log=yes out-interface=\
ether1 src-address=192.168.0.203


Když by to nepomohlo tak bych začal dělat pokusy kdy bych vypustil ten ether1 a pokud máš před tím pravidlo pro povolené navázané spojení tak TCP by mělo chodit, problém může být video které může chodit přes UDP.

Kód: Vybrat vše
/ip firewall filter
add action=accept chain=forward connection-state=established,related,untracked
add action=drop chain=forward log=yes src-address=192.168.0.203

Re: Mikrotik - Router OS - konfigurace firewallu

Odeslat příspěvekNapsal: 1. 7. 2020 08:43
od Denis30
Děkuju,až dorazím domů vyzkouším to.

Re: Mikrotik - Router OS - konfigurace firewallu

Odeslat příspěvekNapsal: 1. 7. 2020 10:33
od vladimir
Denis30 píše: aby si po zakázání stávajících portů kamera neotevřela zase nějaké jiné porty.
Jediná možnost, jak by to kamera mohla udělat, je přes UPnP. Zkontroluj, jestli ho máš zakázané. Menu IP, záložka UPnP.

soban píše:Jinak vyhodil bych connection-state=""
Jo, to bude možná ten problém, já to ve svých filtrech nemám, zadávám je v grafickém prostředí a když tam žádný status nezaháčkuji, tak to tam není vůbec. Takhle napsané by to mohlo znamenat, že se pravidlo vztahuje pouze na pakety, ketré nemají žádný status (prázdný řetězec) a ne libovolný status.

Re: Mikrotik - Router OS - konfigurace firewallu

Odeslat příspěvekNapsal: 1. 7. 2020 14:07
od soban
Jsem se díval jak se to projeví přes SSH a WWW.

Když zadáš přes SSH connection-state="" tak přes www je to menu otevřené a nezaškrtnuté žádné políčko, když to tam nedáš tak přes www jsou ty zaškrtávací políčka schovaná (status se nekontroluje).