Помогите настроить Firewall Mikrotik'a

Тема в разделе "Вопросы начинающих", создана пользователем vvovvchik, 5 ноя 2015.

  1. vvovvchik

    vvovvchik Новый участник

    Здравствуйте всем. Помогите пожалуйста настроить Firewall аппарата Mikrotik RB2011UiAS-RM.
    Я уже обращался с данным вопросом в комментариях к статье "Настройка маршрутизатора RB2011. Устранение недостатков стандартной конфигурации." но сделав как велел Дмитрий результата не добился. Прочёл три части статьи "Настройка фильтрации трафика на Mikrotik." но всё равно сам не справлюсь.
    В общем всё по порядку...

    У нашей компании существует несколько десятков одинаковых по структуре и рангу локальных сетей, расположенных в разных городах. Адрес моей сети для примера 10.100.210.0/24. Оборудование подключено следующим образом:
    Первый порт микротика свободный;
    Во второй порт подключен спутниковый модем, через который осуществляется связь между всеми сетями;
    В третий и четвёртый порты подключены два Cisco Catalyst 2960 к которым в свою очередь подключено множество оборудования. Среди этого оборудования компьютер с IP 10.100.210.12, видеорегистратор IP 10.100.210.13, три IP видеокамеры с IP 10.100.210.(14,15,16).
    Задача №1 – запретить доступ к указанному выше оборудованию или полностью к моей сети из другой сети с адресом 10.100.220.0/24.
    Задача №2 – запретить доступ к указанному выше оборудованию или полностью к другой сети с адресом 10.100.220.0/24 из моей сети.
    Желательно все настройки выполнить на микротик’е своей сети, хотя и имеется удалённый доступ к чужим, но скорость низкая.

    Как я говорил выше, г-н Дмитрий велел делать так:
    Задача 1: ip firewall filter add chain=forward action=drop dst-address=10.100.210.0/24 src- address=10.100.220.0/24
    Задача 2: ip firewall filter add chain=forward action=drop dst-address=10.100.220.0/24 src-address=10.100.210.0/24

    Я сделал как в "Задача 1" но ничего не изменилось. До строки созданной мной там есть ещё 12 строк созданных человеком настраивавшим этот роутер прежде чем поставить у нас. Может мою строку нужно поднять повыше? Как это сделать из WinBox. Из Web морды просто двигается мышкой, а здесь не получается. Ну и побоялся двигать, так как не в коем случае нельзя нарушать то, что там уже настроено. Короче скрин прилагаю.
    Буду рад любому ответу, а подробно разжёванному вдвойне. Firewall.jpg
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    дайте вывод
    /ip firewall filter export
     
  3. vvovvchik

    vvovvchik Новый участник

    Здравствуйте! Пока не было ответов, я экспериментировал и одна задача решилась, а новые добавились.
    Строки в WinBox начали перемещаться мышкой после того как кликнул по значку # - вопрос снят.
    "Задача 2" начала работать после того как я поставил правило на позицию #8 - можно так оставить? Это ничему что там раньше было настроено не помешает? Я попробовал что работает (то есть из моей сети пропал доступ к чужой сети ) и удалил.
    Затем "Задачу 1" поставил на позицию #8 но проверить работает ли правило смогу лишь завтра.
    Пока изучал как работает "Задача 2" заметил следующее: если я указываю в Src. Address IP своего компьютера а в Dst. Adress чужую сеть, или любой IP из чужой сети - всё работает как надо. Но если в Dst. Adress я указываю IP оборудования своей сети (хоть тех же видеокамер) доступ не блокируется. Эту строку перемещал и на первую позицию, и в низ - не помогает. Поэтому -
    Задача №3 – запретить доступ к оборудованию (выборочно, не ко всей сети) находящегося в своей сети. (С компьютера с IP 10.100.210.12 запретить просмотр камеры с IP 10.100.210.14)

    А теперь пожалуйста только не ругайтесь - что значит:
    дайте вывод
    /ip firewall filter export
    Мне на панели слева нажать New Terminal и набрать там эту команду?
    Если правильно Вас понял и будет выдана какая то информация, я её Вам завтра покажу.
     
    Последнее редактирование: 10 ноя 2015
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Да. И вывод сюда.
     
    vvovvchik нравится это.
  5. vvovvchik

    vvovvchik Новый участник

    Здравствуйте Илья!
    Сегодня проверил как работает "Задача №1" - если правило перетянуть на позицию #8, то всё шикарно. Доступа к моей сети нет, и если это не мешает ничему другому что там настроено, то можно считать что задача решена. A вот Задача №3 очень актуальна.
    Вот то, что выдало по команде:
    MikroTik RouterOS 6.18 (c) 1999-2014 http://www.mikrotik.com/

    [?] Gives the list of available commands
    command [?] Gives help on the command and list of arguments

    [Tab] Completes the command/word. If the input is ambiguous,
    a second [Tab] gives possible options

    / Move up to base level
    .. Move up one level
    /command Use command at the base level
    [admin@gw.sar7124z.local] > /ip firewal filter export
    # nov/11/2015 09:06:24 by RouterOS 6.18
    # software id = 9EAE-HMXG
    #
    /ip firewall filter
    add chain=input comment="default configuration" protocol=icmp
    add chain=input comment="default configuration" connection-state=established
    add chain=input comment="default configuration" connection-state=related
    add chain=input protocol=161 src-address-list=snmp-get
    add action=drop chain=input protocol=161
    add action=drop chain=input comment="default configuration" in-interface=\
    ether1-gateway
    add chain=forward comment="default configuration" connection-state=\
    established
    add chain=forward comment="default configuration" connection-state=related
    add action=drop chain=forward dst-address=10.100.210.0/24 src-address=\
    10.100.220.0/24
    add chain=forward dst-address=0.0.0.0/0 src-address=10.100.210.0/25
    add chain=forward dst-address=0.0.0.0/0 src-address=10.101.210.0/24
    add chain=forward dst-address=10.100.210.0/25 src-address=0.0.0.0/0
    add chain=forward dst-address=10.101.210.0/24 src-address=0.0.0.0/0
    add action=drop chain=forward comment="default configuration" \
    connection-state=invalid
    [admin@gw.sar7124z.local] >
     

    Вложения:

    • Firewall.txt
      Размер файла:
      2,1 КБ
      Просмотров:
      4
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Формально, если у вас обе сети подключены к интерфейсам маршрутизатора, вы можете не указывать адреса, а использовать in-interface и out-interface
     
  7. vvovvchik

    vvovvchik Новый участник

    Илья, здравствуйте! Обязательно поэксперементирую по вашему совету, но я к сожалению слабовато во всём этом разбираюсь.
    Мне бы хотелось, если Вас не затруднит, чтобы вы наглядно показали как запретить с компьютера IP 10.100.210.12 подключаться к IP 10.100.210.xx.
    И как профессионал взгляните на тот вывод что я дал выше, восьмая строка (если считать с ноля) на правильной позиции (ничему не мешает).
    Вот я набросал как всё подключено. Заранее спасибо.
     

    Вложения:

    • Lan.jpg
      Размер файла:
      1.014,7 КБ
      Просмотров:
      8
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Так у вас каждый город воткнут в свой интерфес.
    При этом интерфейс не бридже и не в свитче (не имеет мастер порта).
    Тогда просто
    /ip firewall filter
    add chain-forward in-interface=city-1 out-interface=city2 action=drop
     
  9. vvovvchik

    vvovvchik Новый участник

    Илья здравствуйте! В каждом городе свой микротик, свой компьютер, свой видеорегистратор, камеры циски, спутниковые модемы и т.д. Во всех городах полностью одинаковый набор оборудования. 50 городов - 50 микротиков, связь между городами через спутник. Всё это хозяйство мониторят из центра мониторинга. Также есть возможность из одного любого города поковыряться в оборудовании любого другого города . Каждый микротик был изначально настроен подрядчиком, в ip firewall filter было 12 правил. Я добавил 13 правило, которое запрещает доступ из другого конкретного города в мой город. Оно начало работать когда перетащил его на 8 позицию . Давайте будем считать что это правильно и задача решена.
    На данный момент у меня такая задача:
    не получается закрыть доступ с моего компьютера к моим же камерам. К камерам другого города получается - к своим нет.
    Когда так: ip firewall filter add chain=forward action=drop dst-address=10.100.210.0/24 src- address=10.100.220.0/24 и на позиции #8,7,6...1 - работает!
    Когда так: ip firewall filter add chain=forward action=drop dst-address=10.100.210.12 src- address=10.100.210.14. и на любой позиции - не работает!
    И так: ip firewall filter add chain=forward action=drop dst-address=10.100.210.14 src- address=10.100.210.12. и на любой позиции - тоже не работает!
    Как правильно? Как запретить со своего компьютера подключаться к своей камере?
     
  10. Илья Князев

    Илья Князев Администратор Команда форума

    Если вы в одной подсети, трафик не придет на маршрутизатор, а будет отправлен напрямую.
     
  11. vvovvchik

    vvovvchik Новый участник

    Да, так точно, в одной подсети. Теперь понятно. Компьютер и камеры включены в первую циску и, получается, трафик коммутируется там не попадая в микротик.
    Ну и на последок, если я Вам ещё не надоел, такой вопрос: как в Address List правильно указать диапазон адресов. Например с 10.100.220.0/24 по 10.100.320.0/24. Затем с 10.100.330.0/24 и 10.100.340.0/24 пропустить и опять с 10.100.350.0/24 по 10.100.450/24.
    Спасибо!
     
  12. Илья Князев

    Илья Князев Администратор Команда форума

    Так добавляйте сколько угодно. Каждый раз из списка сверху выбираете одно и то же имя address-list
    Добавлять можно
    1.1.1.1 адрес
    1.1.1.1-3.3.3.3 диапазон
    1.1.1.0/24 подсеть.
     
  13. vvovvchik

    vvovvchik Новый участник

    Илья, огромное спасибо Вам за помощь.