Fórumok
Segítségeteket kérném a megfelelő tűzfal szabály létrehozásában. Az eszköz Mikrotik hAPac2. A port forward szabályom szerintem jó, legalábbis, ha meghívom a böngészőből látom a winboxban a byte-ok és a csomagok számát is nőni.
> ip firewall filter export
# feb/07/2023 10:25:00 by RouterOS 6.49.7
# software id = XQP8-1QZR
#
# model = RBD52G-5HacD2HnD
/ip firewall filter
add action=drop chain=input comment="Input filter a k\FCls\F5 DNS t\E1mad\E1sok ellen" dst-port=53 protocol=udp src-address=!192.168.0.0/16
add action=fasttrack-connection chain=forward connection-state=established,related dst-address=192.168.5.0/24
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward comment=ProxmoxVE connection-nat-state="" connection-state=established,related dst-port=8006 protocol=tcp src-port=8006
add action=accept chain=input comment="Established connections" connection-state=established
add action=accept chain=input in-interface=!pppoe-digi src-address=192.168.0.0/24
add action=accept chain=forward connection-state=established,related
add action=add-src-to-address-list address-list=blacklist address-list-timeout=1d10m chain=input comment="port scanners kiv\E9d\E9s\E9re" protocol=tcp \
psd=21,3s,3,1
add action=drop chain=input comment="drop blacklist input" src-address-list=blacklist
add action=drop chain=forward comment="drop blacklist forward" src-address-list=blacklist
add action=drop chain=input comment="Invalid csomagok eldob" connection-state=invalid
add action=drop chain=forward comment="Invalid csomagok eldob" connection-state=invalid
add action=drop chain=input comment="Input filter a k\FCls\F5 DNS t\E1mad\E1sok ellen" dst-port=53 protocol=udp src-address=!192.168.0.0/16
add action=fasttrack-connection chain=forward connection-state=established,related dst-address=192.168.5.0/24
add action=accept chain=forward connection-state=established,related
add action=accept chain=input comment="Established connections" connection-state=established
add action=accept chain=input in-interface=!pppoe-digi src-address=192.168.0.0/24
add action=add-src-to-address-list address-list=blacklist address-list-timeout=1d10m chain=input comment="port scanners kiv\E9d\E9s\E9re" protocol=tcp \
psd=21,3s,3,1
add action=drop chain=input comment="drop blacklist input" src-address-list=blacklist
add action=drop chain=forward comment="drop blacklist forward" src-address-list=blacklist
add action=drop chain=input comment="Invalid csomagok eldob" connection-state=invalid
add action=drop chain=forward comment="Invalid csomagok eldob" connection-state=invalid
Ugye a fentiekből a
add action=accept chain=forward comment=ProxmoxVE connection-nat-state="" connection-state=established,related dst-port=8006 protocol=tcp src-port=8006
sor lenne a releváns.
Még egy kis infó:
A
/ip firewall connection print detail
parancs releváns sora, tehát a NAT szabályom így néz ki.
C d protocol=tcp src-address=192.168.5.181:50460 dst-address=79.120.174.212:8006 reply-src-address=192.168.5.153:8006
reply-dst-address=192.168.5.181:50460 tcp-state=syn-sent timeout=4s orig-packets=1 orig-bytes=52 orig-fasttrack-packets=0
orig-fasttrack-bytes=0 repl-packets=0 repl-bytes=0 repl-fasttrack-packets=0 repl-fasttrack-bytes=0 orig-rate=0bps repl-rate=0bps
Hozzászólások
Nem tudsz csatlakozni a Proxmox Serverhez, de a csomagok száma nö ?
Tudtommal dst-port és az src-port között "és" kapcsolat van nem "vagy", tehát akkor játszik ez a szabály ha a forrás port és a cél port is 8006, viszont akkor is csak annyit csinál, hogy növeli a countert ha a kapcsolat már felépült és mivel accept van nem hajta végre a többi szabályt.
Én kivenném az "src-port=8006" részt, de ez csak feltételezés, mivel nem tudtam kihámozni mi a tényleges probléma.
Vagy az én tüzfal ismereteim koptak meg az évek során.
Nem, nem a te ismereteiddel van gond. Visszaolvasva én nem irtam le jól a problémát.
Szeretném elérni a proxmox servert az internet felől a mikrotik fix ip címén, amit bekapcsoltam a /ip cloud alatt. Ehhez ugye port forward kell,illetve a tűzfalon is engedélyezni kell a forgalmat. Ami furcsa, hogy a mikrotik ddns keresztül (sn.mynetname.net) elérem a 8006-os porton. Szóval nem igazán értem.
Kérdezzetek,ha nem világos amit írok
― Philip K. Dick
?
Az nem fix ip-t ad csak ddns-t azt aktuális címedhez.
Én írtam hülyeséget. Sorry.
― Philip K. Dick
A Webfig/winbox-ba ha összekattingatod a dstnat-ot az nem jó?
Mindenképp a terminálos megoldás kell?
Elvileg, mert nincs most Mikrotik a kezem ügyében:
a src-address nem kell, ha az egész világot szeretnéd beengedni a Proxmoxodra :)
Innen szereztem
Próbáltad ideiglenesen a minden mehet forward-ot? Akkor sem megy?
Meg szerintem a "new" is kéne, az engedi az első kapcsolódást.
És mi van az "ip firewall nat" szabályban?
Furi az egész,mert a névszerverrel megy a port forward. Csak ip-n nem megy. A szabályt szerintem fentebb leírtam,de lehet rossz paranccsal listáztam ki?
― Philip K. Dick
Itt mi van?
ip firewall nat print
2 ;;; PVE
chain=dstnat action=dst-nat to-addresses=192.168.5.153 to-ports=8006 protocol=tcp dst-port=8006 log=no log-prefix
― Philip K. Dick
Nekem olyan mintha 2 exportot összemásoltál volna, a módosítás elöttit és a módosítás utánit.
a forward rész lecsupaszított változata:
add action=fasttrack-connection chain=forward connection-state=established,related dst-address=192.168.5.0/24
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward comment=ProxmoxVE connection-nat-state="" connection-state=established,related dst-port=8006 protocol=tcp src-port=8006
add action=accept chain=forward connection-state=established,related
1. sor: minden ami a 192.168.5.0/24-re megy az megy a "fasttrack-ba"
2. sor: minden felépült kapcsolat engedve van
3. sor: ide nem kellene eljutnia mivel a 2. sor már átengedte a kapcsolatot
4. sor: redundáns a 2. sorral, ide sem kellene eljutnia, ahogy a 3. sorra sem
DNS:
biztos hogy azt a DNS-servert kérdezed le amit akarsz? nem pedig a Mikrotik saját DNS-forwarderét?
Jogos. Javítottam. A dolog helyrejött. Elérem a porton a szervert.
― Philip K. Dick
Csak az established, related csomagokat engedélyezed. Ha kapcsolódni próbálsz, akkor a connection-state először new lesz és ha létrejött a kapcsolat, utána lesz established.
Nagyon konyhanyelven, a filterben nem fogsz port forwardot gyártani. Ha jól értem, valami ilyesmi kell neked:
/ip firewall nat add action=dst-nat chain=dstnat comment="Procmox kívüről" dst-port=8006 protocol=tcp to-addresses=192.168.5.PROXMOX_IP to-ports=8006 in-interface=WAN-INTERACE-VAGY-GROUP-NEVE
de nem fontolnád meg hogy csak VPN mögül érd el? kicsit biztonságosabb lenne.
KoviX
Igen köszönöm, a VPN lesz a következő.
A fenti megoldással műxik.
Köszönöm!
― Philip K. Dick
Hasonlót írtam fentebb, ahol to-ports lemaradt, azzal a kiegészítéssel hogy ha nem tesz bele forrás szükítést, gyakorlatilag az egész világ fele megnyitja a proxmox-ot, ami nem igazán jó megoldás.
A VPN szerintem is erösen ajánlott.
Igen. Mindannyian jó megoldást javasoltatok. VPN helyett most azon dolgozom, hogy betegyem cloudfare mögé. Az is ad egyfajta védelmet a támadások ellen, illetve nagyon jól managelhetőek a cname rekordok.
― Philip K. Dick
Szerintem ne dolgozz ezen, mármint a Cloudflare mögé tevéssel, azzal max azt éred el amit gallo is írt, a VPN a megoldás, ezen ne spórolj.
pedig végignéztem hogy volt-e, de átsiklottam rajta. Csak azt vettem észre, hogy mindenki a filter rule-okon kattog. Sry, teljesen jó volt amit írtál.
KoviX
Még egyszer köszönöm mindenkinek!
― Philip K. Dick
A Proxmox (és általában a legtöbb rendszer) adminisztrációs felülete nem internet-proof, nem arra van tervezve és tesztelve, hogy internet felől érkező random próbálkozásokat lekezeljen, hanem arra, hogy normális user-t vagy beenged vagy nem (ismeri a hitelesítő adatokat vagy sem). Általában az ilyen admin felületek elszeparált management VLAN-ban (vagy teljesen külön fizikai hálózaton) vannak, és még a helyi hálózatról sem érhetően el "könnyen", nem még a publikus internetről...
A legtöbb ilyen felület fejlesztésénél nem fő szempont, hogy minden létező (és még nem létező) támadás ellen védjen.
Ezek miatt nekem eszembe sem jutna kitenni publikus netre semmilyen rendszer admin felületét.
A Cloudfare nem csodaszer, nem tűzfal, nem IPS/IDS, hanem egy web proxy. Pontosan ugyan úgy lehet rajta keresztül is keresni a sérülékenységeket a Proxmox beléptető kódjában, mint Cloudfare nélkül. Aztán a Proxmox-szal az a szerencséje a támadónak, hogy ha bejut egyszerre kap hozzáférést minden rendszeredhez...
A saját biztonságodat csorbítod nem kicsit azzal, hogy ilyen admin portot/felületet (bármilyen közvetítőn keresztül) kiteszel a netre. Tudom, a kényelem nagy úr. De csak itt a HUP-on mennyi olyan kis és nagy cégről olvasni, ahol a kényelem miatt (a biztonságot csorbítva) irtózatosan megszívták...
Rendben. Megfogadom a tanácsodat és csak VPN mögül fogom elérni a Proxmox felületét. Azonnal telepítek is egy VPN szervert a mikrotik routerre.
― Philip K. Dick