بستن تمام ورودی ها

[mohammade]

سلام دوستان.وقت بخیر
من داخل فایروال روتر اومدم ابتدا اون پورت هایی که نیاز دارم را برای رنج آی پی داخلی accept کردم مثل پورت های 80و443و110و25و1433و3389 و ....
حالا میام یک drop بنویسم که هرچی از بیرون میاد به روتر من drop بشه میام این roule رو که می نویسم اینترنت یوزرها قطع میشه.مشکل کارم کجاست؟چطور می تونم به غیر از اون چیزهایی که خودم می خوام باز باشه بقیه چیزها بسته بشه؟

---

موضوعات مشابه:

• استفاده از انتی ویروس داخل ویندوز مجازی برای استفاده در سیستم اصلی
• آموزش کامل شبیه سازی JunOS برای استفاده از دستگاه های Juniper در محیط GNS3 با استفاده از Qemu
• چطوری به طور مستقیم از کارت گرافیک Host برای سیستم عامل Guest روی vmware استفاده کنم؟
• راه حلی برای استفاده یک یوزر از فلش در محیط دامین وقتی پورت ها بسته هستند

---

[mojtaba461]

اینترنت روتر قطع نمیشه؟ یوزراتون چطور اینترنت میگیرن؟

[mohammade]

نه روتر اینترنت داره.من برای ارتباط به انترنت ppoe زدم.بعد اومدم address list درست کردم و آی پی یوزرهایی که می خوام اینترنت داشته باشند رو تو این addess list ا ضافه کردم و بعد یک nat نوشتم که در قسمت addvane -src-address رو برابر address list قرار دادم و action-masqerade .در حالت عادی اینترنت دارم ولی رولی که می نویسم همه چی از بیرون به غیر از پورت هایی که accept کردم بسته بشه اینترنت یوزرها قطع میشه.این هم یک عکس از رول ها

[mohammade]

پیشنهادی ندارید؟؟؟

[mojtaba461]

به ظاهر رول ها ایرادی نداره.
وقتی رول drop غیر فعال هست مثلا page که باز میکنن یوزرها رول مربوطه روشون اعمال میشه برای پورت 80 ؟ ببینید پکت هاش اضافه میشه؟ و وقتی رول drop فعال هست ببینید برای page باز کردن این رول پکت هاش اضافه میشه یا رول accept

[mohammade]

بله روا اعمال میشه.چه در حالت فعال و یا غیر فعال وقتی یک پیج باز میکنی به پورت 80 پکت ارسال میشه.ولی وقتی drop غیر فعال هست پیج باز میشه و زمانی که فعال هست پیج باز نمیشه

[mohammade]

وقتی که drop رو فعال می کنم با سیستم یوزر 8.8.8.8 یا 4.2.2.4 رو پینگ میکنم گینگ میکنه ولی پیج باز نمیکنه.داخل روتر هم اینترنت دارم.به رول هایی هم که بالا accept کردم پکت ارسال میشه ولی در واقع انگار رول ها عمل نمی کنند که این اتفاق میوفته

[mojtaba461]

دو تا رول که واسه پورت 80 نوشتید دلیلش چیه فرقی با هم دارن؟

یک بار همه رول هاتون رو غیر فعال کنید و رول های زیر رو به ترتیب ایجاد کنید:

کد:

ip firewall filter add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 action=accept

ip firewall filter add chain=forward src-address=192.168.0.0/24 protocol=udp dst-port=53 action=accept

ip firewall filter add chain=forward src-address=192.168.0.0/24 protocol=icmp action=accept

ip firewall filter add chain=forward src-address=192.168.0.0/24 action=drop

[mostafaa]

سلام
وقتی توی فایروال دارید Packet filtering انجام میدید باید رول هاتون رو در دو مسیر بنویسید تا درست کار بکنند، و یا اینکه از Connection Tracking استفاده کنید تا فایروال میکروتیک بتونه بصورت stateful عمل فایروالینگ رو براتون انجام بده.
مثلا اینجوری :

کد:

ip firewall mangle add chain=prerouting src-address=192.168.0.0/24 protocol=tcp dst-port=80,443,110 action=mark-connection new-connection-mark=accepted-ports
ip firewall filter add chain=forward connection-mark=accepted-ports action=accept
ip firewall filter add chain=forward action=drop


or 


ip firewall mangle add chain=prerouting in-interface=lan protocol=tcp dst-port=80,443,110 action=mark-connection new-connection-mark=accepted-ports
ip firewall filter add chain=forward connection-mark=accepted-ports action=accept
ip firewall filter add chain=forward in-interface=wan action=drop


or 


ip firewall filter add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80,443,110 action=accept
ip firewall filter add chain=forward dst-address=192.168.0.0/24 protocol=tcp src-port=80,443,110 action=accept
ip firewall filter add chain=forward action=drop

[mehrzadmo]

این روش نوشتن فایروال چندان مفید نیست . به دلیل اینکه امروزه هر نرم افزار و سرویسی چندین پورت متفاوت رو استفاده می کنه و بر عکس خیلی از کارها روی پورت 80 انجام میشه . مثلا کاربر با یه پ ر ا ک س ی تمام کارها رو می تونه انجام بده و ..
برای داشتن یه فایروال موثر پیشنهاد می کنم اطلاعاتتون رو بالا ببرید ...

[mohammade]

دو تا رول که واسه پورت 80 نوشتید دلیلش چیه فرقی با هم دارن؟

یک بار همه رول هاتون رو غیر فعال کنید و رول های زیر رو به ترتیب ایجاد کنید:

کد:

ip firewall filter add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80 action=accept

ip firewall filter add chain=forward src-address=192.168.0.0/24 protocol=udp dst-port=53 action=accept

ip firewall filter add chain=forward src-address=192.168.0.0/24 protocol=icmp action=accept

ip firewall filter add chain=forward src-address=192.168.0.0/24 action=drop

بله با هم فرق دارن.در قیمت advance-src-address و dst-address با هم فرق دارند.

- - - ادامه - - -

سلام
وقتی توی فایروال دارید Packet filtering انجام میدید باید رول هاتون رو در دو مسیر بنویسید تا درست کار بکنند، و یا اینکه از Connection Tracking استفاده کنید تا فایروال میکروتیک بتونه بصورت stateful عمل فایروالینگ رو براتون انجام بده.
مثلا اینجوری :

کد:

ip firewall mangle add chain=prerouting src-address=192.168.0.0/24 protocol=tcp dst-port=80,443,110 action=mark-connection new-connection-mark=accepted-ports
ip firewall filter add chain=forward connection-mark=accepted-ports action=accept
ip firewall filter add chain=forward action=drop


or 


ip firewall mangle add chain=prerouting in-interface=lan protocol=tcp dst-port=80,443,110 action=mark-connection new-connection-mark=accepted-ports
ip firewall filter add chain=forward connection-mark=accepted-ports action=accept
ip firewall filter add chain=forward in-interface=wan action=drop


or 


ip firewall filter add chain=forward src-address=192.168.0.0/24 protocol=tcp dst-port=80,443,110 action=accept
ip firewall filter add chain=forward dst-address=192.168.0.0/24 protocol=tcp src-port=80,443,110 action=accept
ip firewall filter add chain=forward action=drop

قسمت سوم رو قبل از فرمایش شما تست کرده بودم ولی متاسفانه این هم جواب نداد.ولی روش های اول و دوم رو تست نکردم.اون ها رو هم تست می کنم نتیجه رو اعلام می کنم.ممنون از راهنماییتون

- - - ادامه - - -

بله با هم فرق دارن.در قیمت advance-src-address و dst-address با هم فرق دارند.

- - - ادامه - - -



قسمت سوم رو قبل از فرمایش شما تست کرده بودم ولی متاسفانه این هم جواب نداد.ولی روش های اول و دوم رو تست نکردم.اون ها رو هم تست می کنم نتیجه رو اعلام می کنم.ممنون از راهنماییتون

قسمت اول و دوم رو هم تست کردم جواب نمیده.به رول Accept پکت ارسال میشه ولی پیج باز نمیکنه.
جالب تر اینچاست که امروز تست کردم وقتی drop رو فعال می کنم سایت google برای چند دقیقه باز میشه ولی بقیه سایت ها باز نمیشن.و همچنین سایت netengine.ir کلا باز هست و هیچ مشکلی نداره.جالبهههههههه!!!!
دوستان این نکته رو در نظر داشته باشند که وقتی drop رو فعال می کنم پینگ اینترنت رو دارم پیج نمیتونم باز کنم فقط.گفتم شاید مشکل dns داشته باشم که حتی یک nat نوشتم و پورت 53 رو به خود میکروتیک redirect کردم ولی مشکل حا نشد.

[mehrzadmo]

رول های فایروال رو اکسپورت کن بزار اینجا .

[mohammade]

رول های فایروال رو اکسپورت کن بزار اینجا .

این رول های فایروال
add chain=forward dst-port=110 protocol=tcp src-address=192.168.0.0/24
add chain=forward dst-port=25 protocol=tcp src-address=192.168.0.0/24
add chain=forward dst-address=192.168.0.0/24 protocol=tcp src-port=110
add chain=forward dst-address=192.168.0.0/24 protocol=tcp src-port=25
add chain=forward dst-port=587 protocol=tcp src-address=192.168.0.0/24
add chain=forward dst-port=53 protocol=udp src-address=192.168.0.3
add chain=forward dst-port=53 protocol=udp src-address=192.168.0.4
add chain=forward dst-port=53 protocol=udp src-address=192.168.0.0/24
add chain=forward protocol=tcp src-address=192.168.0.0/24 src-port=3389
add chain=forward dst-port=3389 protocol=tcp src-address=192.168.0.0/24
add chain=forward dst-port=80 protocol=tcp src-address=192.168.0.0/24 \
src-address-list=Users
add chain=forward protocol=tcp src-port=80
add chain=forward dst-port=443 protocol=tcp src-address=192.168.0.0/24 \
src-address-list=Users
add chain=forward protocol=tcp src-port=443
add chain=forward dst-address-list=OpenSite dst-port=80 protocol=tcp \
src-address=192.168.0.0/24
add chain=forward dst-address-list=OpenSite dst-port=443 protocol=tcp \
src-address=192.168.0.0/24
add chain=forward dst-port=2221 protocol=tcp
add chain=forward protocol=tcp src-port=2221
add chain=forward dst-port=1433 protocol=tcp
add chain=forward protocol=tcp src-port=1433
add chain=forward dst-port=5060 protocol=tcp
add chain=forward protocol=tcp src-port=5060
add chain=forward dst-port=8210 protocol=tcp src-address=192.168.0.0/24
add chain=forward dst-port=8291 protocol=tcp src-address=192.168.0.0/24
add chain=forward dst-port=8041 protocol=tcp src-address=192.168.0.0/24
add chain=forward protocol=icmp


nat

add action=src-nat chain=srcnat comment=Moheb-Factory dst-address=\
192.168.2.0/24 src-address=192.168.0.0/24 to-addresses=172.16.1.1
add action=src-nat chain=srcnat comment=Moheb-Zibavash dst-address=\
192.168.10.0/24 src-address=192.168.0.0/24 to-addresses=172.17.1.1
add action=src-nat chain=srcnat comment=VPN-src-nat dst-address=172.20.1.0/24 \
src-address=192.168.0.0/24 to-addresses=192.168.0.1
add action=masquerade chain=srcnat comment=VPN-Internet src-address=\
172.20.1.0/24
add action=masquerade chain=srcnat comment="Users Internet" src-address=\
192.168.0.0/24 src-address-list=Users to-addresses=X.X.X.X
add action=masquerade chain=srcnat comment="OpenSite Internet" \
dst-address-list=OpenSite src-address=192.168.0.0/24 to-addresses=\
X.X.X.X


در قسمت address-list هم آدرس IP یوزرها و سایت هایی که می حوام یاز باشند رو تحن عنوان دو گروه users , opensite اضافه می کنم.

[mehrzadmo]

برای این کار ترمینال رو باز کنید دستور زیر رو بزنید :
ip firewall
export filename='test'
بعد برید توی منوی فایل یه فایل با نام تست هست اونو بکشید روی دسک تاپتون با نت پد بازش کنید محتویاتش رو بزارید اینجا .

[mohammade]

دقیقا همین کا رو کردم.این محتویات بالا را به همین روش برداشتم و گذاشتم داخل سایت.فقط دیگه محتویات address-list چیز خاصی نبود رو نذاشتم.وگرنه بقیه رو کامل اوردم