[Megoldva] Mikrotik port forward tűzfal szabály

Segítségeteket kérném a megfelelő tűzfal szabály létrehozásában. Az eszköz Mikrotik hAPac2. A port forward szabályom szerintem jó, legalábbis, ha meghívom a böngészőből látom a winboxban a byte-ok és a csomagok számát is nőni.

 > ip firewall filter export 
# feb/07/2023 10:25:00 by RouterOS 6.49.7
# software id = XQP8-1QZR
#
# model = RBD52G-5HacD2HnD

/ip firewall filter
add action=drop chain=input comment="Input filter a k\FCls\F5 DNS t\E1mad\E1sok ellen" dst-port=53 protocol=udp src-address=!192.168.0.0/16
add action=fasttrack-connection chain=forward connection-state=established,related dst-address=192.168.5.0/24
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward comment=ProxmoxVE connection-nat-state="" connection-state=established,related dst-port=8006 protocol=tcp src-port=8006
add action=accept chain=input comment="Established connections" connection-state=established
add action=accept chain=input in-interface=!pppoe-digi src-address=192.168.0.0/24
add action=accept chain=forward connection-state=established,related
add action=add-src-to-address-list address-list=blacklist address-list-timeout=1d10m chain=input comment="port scanners kiv\E9d\E9s\E9re" protocol=tcp \
    psd=21,3s,3,1
add action=drop chain=input comment="drop blacklist input" src-address-list=blacklist
add action=drop chain=forward comment="drop blacklist forward" src-address-list=blacklist
add action=drop chain=input comment="Invalid csomagok eldob" connection-state=invalid
add action=drop chain=forward comment="Invalid csomagok eldob" connection-state=invalid
add action=drop chain=input comment="Input filter a k\FCls\F5 DNS t\E1mad\E1sok ellen" dst-port=53 protocol=udp src-address=!192.168.0.0/16
add action=fasttrack-connection chain=forward connection-state=established,related dst-address=192.168.5.0/24
add action=accept chain=forward connection-state=established,related
add action=accept chain=input comment="Established connections" connection-state=established
add action=accept chain=input in-interface=!pppoe-digi src-address=192.168.0.0/24
add action=add-src-to-address-list address-list=blacklist address-list-timeout=1d10m chain=input comment="port scanners kiv\E9d\E9s\E9re" protocol=tcp \
    psd=21,3s,3,1
add action=drop chain=input comment="drop blacklist input" src-address-list=blacklist
add action=drop chain=forward comment="drop blacklist forward" src-address-list=blacklist
add action=drop chain=input comment="Invalid csomagok eldob" connection-state=invalid
add action=drop chain=forward comment="Invalid csomagok eldob" connection-state=invalid

Ugye a fentiekből a 

add action=accept chain=forward comment=ProxmoxVE connection-nat-state="" connection-state=established,related dst-port=8006 protocol=tcp src-port=8006

sor lenne a releváns. 

Még egy kis infó:

A

/ip firewall connection print detail

parancs releváns sora, tehát a NAT szabályom így néz ki.

    C   d protocol=tcp src-address=192.168.5.181:50460 dst-address=79.120.174.212:8006 reply-src-address=192.168.5.153:8006 
            reply-dst-address=192.168.5.181:50460 tcp-state=syn-sent timeout=4s orig-packets=1 orig-bytes=52 orig-fasttrack-packets=0 
            orig-fasttrack-bytes=0 repl-packets=0 repl-bytes=0 repl-fasttrack-packets=0 repl-fasttrack-bytes=0 orig-rate=0bps repl-rate=0bps 

Hozzászólások

Szerkesztve: 2023. 02. 07., k – 11:08

Nem tudsz csatlakozni a Proxmox Serverhez, de a csomagok száma nö ?

Tudtommal dst-port és az src-port között "és" kapcsolat van nem "vagy", tehát akkor játszik ez a szabály ha a forrás port és a cél port is 8006, viszont akkor is csak annyit csinál,  hogy növeli a countert ha a kapcsolat már felépült és mivel accept van nem hajta végre a többi szabályt.
Én kivenném az "src-port=8006" részt, de ez csak feltételezés, mivel nem tudtam kihámozni mi a tényleges probléma.

Vagy az én tüzfal ismereteim koptak meg az évek során.
 

Nem, nem a te ismereteiddel van gond. Visszaolvasva én nem irtam le jól a problémát.

Szeretném elérni a proxmox servert az internet felől a mikrotik fix ip címén, amit bekapcsoltam a /ip cloud alatt. Ehhez ugye port forward kell,illetve a tűzfalon is engedélyezni kell a forgalmat. Ami furcsa, hogy a mikrotik ddns keresztül (sn.mynetname.net) elérem a 8006-os porton. Szóval nem igazán értem.

Kérdezzetek,ha nem világos amit írok

A Webfig/winbox-ba ha összekattingatod a dstnat-ot az nem jó?
Mindenképp a terminálos megoldás kell?

Elvileg, mert nincs most Mikrotik a kezem ügyében:

/ip firewall nat add chain=dstnat action=dst-nat dst-port=8006 to-addresses=<Proxmox IP> protocol=tcp src-address=<Ahonnan engedni szeretnéd>

a src-address nem kell, ha az egész világot szeretnéd beengedni a Proxmoxodra :)

Innen szereztem

Szerkesztve: 2023. 02. 07., k – 11:18

Próbáltad ideiglenesen a minden mehet forward-ot? Akkor sem megy?

Meg szerintem a "new" is kéne, az engedi az első kapcsolódást.

És mi van az "ip firewall nat" szabályban?

Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.

Nekem olyan mintha 2 exportot összemásoltál volna, a módosítás elöttit és a módosítás utánit.

a forward rész lecsupaszított változata:

add action=fasttrack-connection chain=forward connection-state=established,related dst-address=192.168.5.0/24
add action=accept                     chain=forward connection-state=established,related
add action=accept                     chain=forward comment=ProxmoxVE connection-nat-state="" connection-state=established,related dst-port=8006 protocol=tcp src-port=8006
add action=accept                     chain=forward connection-state=established,related

1. sor: minden ami a 192.168.5.0/24-re megy az megy a "fasttrack-ba"
2. sor: minden felépült kapcsolat engedve van
3. sor: ide nem kellene eljutnia mivel a 2. sor már átengedte a kapcsolatot
4. sor: redundáns a 2. sorral, ide sem kellene eljutnia, ahogy a 3. sorra sem

DNS:

biztos hogy azt a DNS-servert kérdezed le amit akarsz? nem pedig a Mikrotik saját DNS-forwarderét?

Csak az established, related csomagokat engedélyezed. Ha kapcsolódni próbálsz, akkor a connection-state először new lesz és ha létrejött a kapcsolat, utána lesz established.

Nagyon konyhanyelven, a filterben nem fogsz port forwardot gyártani. Ha jól értem, valami ilyesmi kell neked:

 

/ip firewall nat add action=dst-nat chain=dstnat comment="Procmox kívüről" dst-port=8006 protocol=tcp to-addresses=192.168.5.PROXMOX_IP to-ports=8006 in-interface=WAN-INTERACE-VAGY-GROUP-NEVE

 

de nem fontolnád meg hogy csak VPN mögül érd el? kicsit biztonságosabb lenne.

KoviX

Még egyszer köszönöm mindenkinek!

A Proxmox (és általában a legtöbb rendszer) adminisztrációs felülete nem internet-proof, nem arra van tervezve és tesztelve, hogy internet felől érkező random próbálkozásokat lekezeljen, hanem arra, hogy normális user-t vagy beenged vagy nem (ismeri a hitelesítő adatokat vagy sem). Általában az ilyen admin felületek elszeparált management VLAN-ban (vagy teljesen külön fizikai hálózaton) vannak, és még a helyi hálózatról sem érhetően el "könnyen", nem még a publikus internetről...

A legtöbb ilyen felület fejlesztésénél nem fő szempont, hogy minden létező (és még nem létező) támadás ellen védjen.

Ezek miatt nekem eszembe sem jutna kitenni publikus netre semmilyen rendszer admin felületét.

A Cloudfare nem csodaszer, nem tűzfal, nem IPS/IDS, hanem egy web proxy. Pontosan ugyan úgy lehet rajta keresztül is keresni a sérülékenységeket a Proxmox beléptető kódjában, mint Cloudfare nélkül. Aztán a Proxmox-szal az a szerencséje a támadónak, hogy ha bejut egyszerre kap hozzáférést minden rendszeredhez...

A saját biztonságodat csorbítod nem kicsit azzal, hogy ilyen admin portot/felületet (bármilyen közvetítőn keresztül) kiteszel a netre. Tudom, a kényelem nagy úr. De csak itt a HUP-on mennyi olyan kis és nagy cégről olvasni, ahol a kényelem miatt (a biztonságot csorbítva) irtózatosan megszívták...