Проблем с пренасочване на порт

[iliqnmihailov]

Здравейте.

Имам следния проблем, IPS-то ми е VIVACOM и съответно те си имат ADSL рутер на който казаха че са  ми пренасочили всички портове към IP-то на микротика ми който е след ADSL-а. Пренасочвам даден порт от микротика към IP от вътрешната ми мрежа но не се получава, все дава че е затворен. Има ли някаква особеност при пренасочването на портове когато микротика е втори рутер.

Благодаря!!!

[JohnTRIVOLTA]

Преди 23 часа, iliqnmihailov написа:

У-вата са с не по стара от 2 месеца версия понеже ги ъпдейтвам периодично, точно коя е в момента не мога да кажа. 

Говорено е доста по-подобни проблеми и всеки път е едно и също с малки изключения. А именно говорим за свързани към публичното пространство не напълно защитени рутери или с определени пропуски.

Преди да подкачим рутера в публичното пространство трябва да го защитим с тези задължителни настройки ! От там вече всички сървиси се спират, а тези които се ползват се сменят обичайните портове , като за тях се ползват акцес листи и правила за брутфорс на същите. Добавят се правила и за портсканиране , като всички блек листи се дропят през RAW секцията.

Надявам се да имаш бекъпи на засегнатите устройства. Ъпдейт на РОС и фърм, ползване дори на юзър и парола с букви на кирилица, подсигуряване на рутера с горните правила и не би трябвало от тук на сетне да имаш проблем!

[111111]

Дай резултата от 

/ip firewall export

 

[master]

Пробва ли без мт да направиш постановката ако се съмняваш в конфигурацията. Това, че са ти казали нищо не значи. Имаше начин през web в тяхната система да си пренасочиш порт сам.

[iliqnmihailov]

/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related"
    connection-state=established,related
add action=fasttrack-connection chain=forward comment="defconf: fasttrack"
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,relate
    connection-state=established,related
add action=drop chain=forward in-interface=bridge_IN out-interface=bridge_O
add action=drop chain=forward in-interface=bridge_OUT out-interface=bridge_
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade"
add action=dst-nat chain=dstnat dst-port=8000 in-interface=WAN log=yes \
    protocol=tcp to-addresses=168.168.0.64 to-ports=8000
add action=dst-nat chain=dstnat dst-port=8001 in-interface=WAN log=yes \
    protocol=tcp to-addresses=168.168.0.64 to-ports=8001

 

В firewall-а има забрана само за между двата бриджа но пробвах със спрени правила за забрани и пак същия резултат.

Това изписва в логовете когато се помъча да пусна телнет през външното IP.

firewall,info dstnat: in:WAN out:(unknown 0), src-mac ec:cb:30:47:66:6a,
proto TCP (SYN), 113.96.223.207:57778->192.168.1.11:8000, len 40

192.168.1.11 е IP-то което ми дава ADSL-а на микротика и към което са пренасочени всички портове според VIVACOM.

[111111]

Не е спазено правило за висшестощо правило

 

какво се очаква от тези правила
 

/ip firewall filter
add action=drop chain=forward in-interface=bridge_IN out-interface=bridge_O
add action=drop chain=forward in-interface=bridge_OUT out-interface=bridge_

 

[iliqnmihailov]

Очаква се да не позволява достъп между два бриджа, което и правят успешно, но не там е проблемът ми.

[JohnTRIVOLTA]

преди 26 минути, 111111 написа:

Не е спазено правило за висшестощо правило

Мисля , че не е това проблема, те са и различни вериги ! Проблема мисля е в сорс ната защото не е определен интерфейс за изход на който да вземе адреса и не е нужно маскиране щом имаме статичен адрес, за това сложи следният сорс нат , другият го махни:

/ip fi nat add action=src-nat chain=srcnat out-interface=wan src-address=192.168.0.0/24 to-addresses=192.168.1.11

Редактирано 17 Май, 2018 от JohnTRIVOLTA

[iliqnmihailov]

преди 40 минути, JohnTRIVOLTA написа:

Мисля , че не е това проблема, те са и различни вериги ! Проблема мисля е в сорс ната защото не е определен интерфейс за изход на който да вземе адреса и не е нужно маскиране щом имаме статичен адрес, за това сложи следният сорс нат , другият го махни:

/ip fi nat add chain=srcnat out-interface=wan src-address=192.168.0.0/24 to-addresses=192.168.1.11

И така не се получава нищо.

Мисля че има нещо общо с ADSL рутера, защото имам още 20 у-ва на различни места и различни доставчици, които си работят и си прехвърлят портовете без проблем с тези правила.

Редактирано 17 Май, 2018 от iliqnmihailov

[111111]

Влез на сапунерката и си я настрой.

Tрябва да е активен DMZ.

[iliqnmihailov]

преди 48 минути, 111111 написа:

Влез на сапунерката и си я настрой.

Tрябва да е активен DMZ.

Нямам потребител и парола за нея. За по старите ги зная но тази е някаква по нова и не мога да вляза. През my.contact.bg също е невъзможно да намеря данни.

[111111]

има ги всичките 
задължително вадиш кабела към нета

 

[iliqnmihailov]

Здравейте.

Мисля че разбрах проблема, а той е че е плъзнал някакъв вирус hijame по у-вата в които съм влизал последните 2-3 седмици.

До колкото четох влиза през порта на winbox-а и сменя портове стартира процеси който спирам винаги но той си прави каквото си поиска.

Днес го разбрак като влязох в моето основно у-во и видях правила във firewall-а който не бях виждал до сега.

Утре ще ресетвам у-вото и се надявам да си изчисти и тая гад.

 

[JohnTRIVOLTA]

преди 9 минути, iliqnmihailov написа:

Здравейте.

Мисля че разбрах проблема, а той е че е плъзнал някакъв вирус hijame по у-вата в които съм влизал последните 2-3 седмици.

До колкото четох влиза през порта на winbox-а и сменя портове стартира процеси който спирам винаги но той си прави каквото си поиска.

Днес го разбрак като влязох в моето основно у-во и видях правила във firewall-а който не бях виждал до сега.

Утре ще ресетвам у-вото и се надявам да си изчисти и тая гад.

 

Сподели засегнатите устройства с коя версия на РОС са? До колкото знам, това се е случвало когато се ползва стари версии на WinBOX съответно и стари версии на РОС !

[iliqnmihailov]

преди 1 минута, JohnTRIVOLTA написа:

Сподели засегнатите устройства с коя версия на РОС са? До колкото знам, това се е случвало когато се ползва стари версии на WinBOX съответно и стари версии на РОС !

У-вата са с не по стара от 2 месеца версия понеже ги ъпдейтвам периодично, точно коя е в момента не мога да кажа. 

[JohnTRIVOLTA]

Към горното мога да добавя следното:

1.Ако вече ви е хакнат борда лично аз го префлашвам с нетинстал, независимо , че рисет и ъпдейт би бил достатъчен!

2.Да не се ползват http и telnet !!!

3.От публичното пространство да се ползва Winbox в secure mode и със сменен порт от този по подразбиране, акцес листа е добре да има , сменен порт по подразбиране и брут форс правила за порта.

4.От публичното пространство да се ползва ssh със сетнат /ip ssh set strong-crypto=yes , акцес листа е добре да има , сменен порт по подразбиране и брут форс правила за порта.

5. Ако има възможност си настройте L2TP IPSEC към мениджмънт LAN за достъп до устройствата и ползвайте през нея по-горе 3 и 4 начините за свързване !

 

Редактирано 25 Май, 2018 от JohnTRIVOLTA