搜尋
搜尋
  • 860

[研究所] MikroTik RouterOS 學習 (持續更新)

前往頁尾
EdiKeng
EdiKeng
EdiKeng
  • EdiKeng
  • 個人積分:52分
    文章編號:58536051
52分
4371樓
2015-12-11 23:21
gfx wrote:
您真的懂的這些filter...(恕刪)


喔, 這是由 Mikrotik Routeros Wiki 中, Basic-Universal-Firewall 參考而來,
http://wiki.mikrotik.com/wiki/Basic_universal_firewall_script
使用多年了, 僅瞭解部份功能, 但可能不全吧, 再試試 gfx 大的建議! 謝謝了! 有問題再行請教!

Updated:
試了 gfx 大的 script;

/ip firewall filter
set 0 src-port=!80 <- 修改為 !80 port syn flood check, 確保 http:// 運作, 請問 https:// port 443 或 port 8080 不需另行考慮嗎? 如有 NAS 需否改變?

move 0 2 <- 改為 先 check address 是否 drop, 在 check 是否加入 address list, 但如 event 發生時, 先 check, 隨後的 rule 就能立即 drop, 不是更確實嗎?
move 2 4

disable 4 <- 理解
disable 5 <- 無需 jump to icmp flow, 後續會執行, 理解
disable 6 <- 理解, 原本也無 block winbox.
disable 7 <- 理解, 同 disable 5
disable 8 <- 理解
move 9 11 <- 理解, 同 move 0 2
disable 20 <- disable 20,21 port knocking 1,2 卻留下 port knocking 3, 請問這樣能正常完成 port knocking 嗎?
disable 21
move 22 28 <- move port knocking 3 去 28, 卻不 disable, 有些不解?
disable 28 <- 28 "Drop anything else" 被 disable, 是否確定完成後再 enable? 但 enable 的話,
前面的 jump to icmp flow 被 disable 了, 後面的 icmp check 會被執行嗎?

謝謝 gfx 大的協助, 猶有些一知半解, 請賜教!
chrisintaipei
chrisintaipei
chrisintaipei
79分
4372樓
2015-12-12 2:31

gfx wrote:
/ip addres的Lan從192.168.0.1/24 改成192.168.0.1/23
/ip dhcp-server network的address也要從192.168.0.0/24 改成192.168.0.0/23
/ip pool的dhcp-pool則是設定成192.168.0.0/23 或是192.168.0.2-192.168.1.254也可以

這樣您的gateway一樣是192.168.0.1 ,但您可用的區網範圍卻涵蓋192.168.0.1-192.168.1.254
更重要的是其它的功能選項都無需改變,也無需新增bridge.

router設定完記得將電腦重開機,讓電腦網卡重新抓新的ip與submask.


謝謝你 GFX~
gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:58537485
1603分
4373樓
2015-12-12 3:34
necosjou wrote:
gfx大大請教一下...(恕刪)
想要匯入必定要修改成routeros能理解的格式.
把host存到記事本,然後用文書的取代功能編譯,無法大量取代的就自己敲鍵盤吧.
看用address-list鎖 或是web-proxy的access隨您高興,就只是前面的命令的字串替換罷了.

web-proxy的格式:
/ip proxy access
add action=deny dst-host=XXX.XXX.XXX


address-list的格式:
/ip firewall filter
add timeout=7d address=[:resolve XXX.XXX.XXX]


其實編譯完,就可複製內文直接貼到命令視窗進行匯入.
但貼上的內容量太大,會讓命令視窗當掉.
所以還是用檔案匯入的方式比較妥當.

用檔案匯入的方式很簡單,把編譯的文字檔存成檔名xxx.rsc
然後把xxx.rsc 用滑鼠拉放到winbox的files視窗內.
在命令視窗輸入import xxx.rsc ,再按enter鍵等會就會收到匯入完成的通知了.

gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:58537539
1603分
4374樓
2015-12-12 4:04
EdiKeng wrote:
喔, 這是由 Mikrotik...(恕刪)

filter若有用到抓取src-address或dst-address時,設定上最好是先封鎖,再抓取.
原因不在filter由上而下運作,而是確保下次循環檢查時封鎖或開放的list是優先運作.
------------------------------------
move用法是,假設項目編號是:
0
1
2
3
4

我想將3與1替換,
但命令非move 3 1 ,而是move 3 2

3是編號沒錯,
但2非是編號而是第2行....這樣懂吧.

set 0 src-port=!80 <- 修改為 !80 port syn flood check, 確保 http:// 運作, 請問 https:// port 443 或 port 8080 不需另行考慮嗎? 如有 NAS 需否改變?
為何這麼修,因為這跟web-proxy有關.跟您的電腦與nas完全無關...

重點在於chain ,這觀念套在所有項目.
input/output是發生在路由器上 ,而forward才是電腦對電腦.
所以唯有這條目chain改成forward才會對您的電腦或nas有作用,設src-port=!80,443才有關係.

所以您對路由器設了一堆防護 ,但對電腦的防護為0 ,您根本擺錯重點了.

您可以查樓上小弟貼的filter圖,有input與forward即這個原因.
若還不懂您可上網查"鳥哥的私房菜"防火牆這一區塊,上面有很詳盡的介紹.
EdiKeng
EdiKeng
EdiKeng
  • EdiKeng
  • 個人積分:52分
    文章編號:58540758
52分
4375樓
2015-12-12 14:10
gfx wrote:
filter若有用到抓取src-address或dst-address時,設定上最好是先封鎖,再抓取.
原因不在filter由上而下運作,而是確保下次循環檢查時封鎖或開放的list是優先運作.
...
set 0 src-port=!80 <- 修改為 !80 port syn flood check, 確保 http:// 運作, 請問 https:// port 443 或 port 8080 不需另行考慮嗎? 如有 NAS 需否改變?
為何這麼修,因為這跟web-proxy有關.跟您的電腦與nas完全無關...

重點在於chain ,這觀念套在所有項目.
input/output是發生在路由器上 ,而forward才是電腦對電腦.
所以唯有這條目chain改成forward才會對您的電腦或nas有作用,設src-port=!80,443才有關係.

所以您對路由器設了一堆防護 ,但對電腦的防護為0 ,您根本擺錯重點了.

您可以查樓上小弟貼的filter圖,有input與forward即這個原因.
若還不懂您可上網查"鳥哥的私房菜"防火牆這一區塊,上面有很詳盡的介紹.


不好意思, 還是有些混淆, 再次請教!
(1) syn flood check, 設定 !80 port, 那麼 port 80 是否防護洞開, 仍會被大量 syn flood 打癱? (個人沒使用 web-proxy)

(2) 大部分的攻擊來自外網針對 Router, 外網並不知內網 ip, 而 forward 需封包內網 ip, 是否會成為 invalid connection, 被drop? 但如內網電腦中毒, 或成殭屍跳板, forward rule 還能擋得住嗎?

個人非專業, 也許久沒接觸技術細節了, 非常生疏, 許多不懂的疑惑, 煩請見諒!
gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:58542141
1603分
4376樓
2015-12-12 17:24
filter rule 先封鎖,再抓取, 或反之, 在 Mikrotik 的 Wiki 的範例都是先抓取再封鎖, 沒找到相反的論述
其實就是個流程:

是先抓ip,再封鎖:
第1次抓到1.1.1.1時 ,把1.1.1.1放到list ,再依據list封鎖1.1.1.1
第2次循環一樣會再抓到1.1.1.1,再放到list. 只不過list已經有了不會再新增.
第3次一樣再抓到1.1.1.1 ...
第4次....
--------------------------------------
如果是先封,再抓ip:
第1次只抓到1.1.1.1 ,把1.1.1.1放到list
第2次循環因list封鎖1.1.1.1 ,因1.1.1.1已消失,所以無1.1.1.1抓取.
第3次循環因list封鎖1.1.1.1 ...
第4次....

抓取ip的動作一個是N次,一個是1次...用的資源不同
syn flood check, 設定 !80 port, 那麼 port 80 是否防護洞開, 仍會被大量 syn flood 打癱? (個人沒使用 web-proxy)
您既然不使用web-proxy ,又為何開放分享器src-port:80,443呢?

當chain=input時 ,
scr-port是分享器"本機"上網時,同意遠端伺服器回應 ;
dst-port是同意任何電腦,透過port:80,443連接分享器web主頁.

既然不使用"本機"分享器上網的唯一方式web-proxy ,那又何須開放遠端網路伺服器的回應?
直接封掉不是更好?
大部分的攻擊來自外網針對 Router, 外網並不知內網 ip, 而 forward 需封包內網 ip, 是否會成為 invalid connection, 被drop? 但如內網電腦中毒, 或成殭屍跳板, forward rule 還能擋得住嗎?

若是內網電腦真的已被攻陷,那就隨它去了.
firewall filter是個閘道,它的防護是封包經過路由器時這才能發生作用.
若是內網vs內網 ,這時封包走向是沒經過分享器,這閘道就顯得沒任何意義.

所以若攻陷分享器設的閘道,那你就唯獨可靠的就剩電腦的防毒工具囉.
EdiKeng
EdiKeng
EdiKeng
  • EdiKeng
  • 個人積分:52分
    文章編號:58542970
52分
4377樓
2015-12-12 19:13

gfx wrote:
其實就是個流程:
是...(恕刪)


理解了! 謝謝 gfx 大熱心詳細的解說!
elodie319
elodie319
elodie319
  • elodie319
  • 個人積分:59分
    文章編號:58544533
59分
4378樓
2015-12-12 22:13
看看你的ui port 是不是設定port 80 wan進來的部份
>正常不是應該是running嗎??

yes. stop 是不能使用的,我的做法是reset 第一步 建立proxy 就可以
gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:58544964
1603分
4379樓
2015-12-12 23:06
necosjou
necosjou
necosjou
  • necosjou
  • 個人積分:2分
    文章編號:58548100
2分
4380樓
2015-12-13 11:10

gfx wrote:
惡意網站黑名單:firewall...(恕刪)


感謝gfx大大,小弟已滙入完畢了
只是RB750GL的Memory變的超少的,只有17.1M…
  • 860
內文搜尋
搜尋
從 APP 打開從 APP 打開
X
X
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
請輸入您要前往的頁數(1 ~ 860)
確定
留言回報
取消 確定
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?