12
Firewall Regel Gästenetz Mikrotik
Hi,
ich habe mehrere Netze über ein Routerboard realisiert. Die Internetverbindung wird von einer FritzBox hergestellt.
Das Netzwerk besteht aus folgenden Segmenten:
192.168.10.0/24 - Internet
192.168.20.0/24 - Gäste
192.168.30.0/24 - Privat
192.168.40.0/24 - Sonos
192.168.50.0/24 - Gebäudetechnik
Nun möchte ich eine wirkungsvolle Firewall Regel im MK hinterlegen die dem Gästenetz nur den Weg ins Internet ermöglicht.
Folgendes habe ich ausprobiert:
chain = Input
src address = 192.168.20.0/24
dst. address = 192.168.0.0/16
Action - drop
genügt das ?
Ist es zudem empfehlenswert den Internetzugang zusätzlich zu beschränken ?
Sicherlich in einem Privathaushalt etwas überzogen, mich interessiertes wie man es richtig macht.
ich habe mehrere Netze über ein Routerboard realisiert. Die Internetverbindung wird von einer FritzBox hergestellt.
Das Netzwerk besteht aus folgenden Segmenten:
192.168.10.0/24 - Internet
192.168.20.0/24 - Gäste
192.168.30.0/24 - Privat
192.168.40.0/24 - Sonos
192.168.50.0/24 - Gebäudetechnik
Nun möchte ich eine wirkungsvolle Firewall Regel im MK hinterlegen die dem Gästenetz nur den Weg ins Internet ermöglicht.
Folgendes habe ich ausprobiert:
chain = Input
src address = 192.168.20.0/24
dst. address = 192.168.0.0/16
Action - drop
genügt das ?
Ist es zudem empfehlenswert den Internetzugang zusätzlich zu beschränken ?
Sicherlich in einem Privathaushalt etwas überzogen, mich interessiertes wie man es richtig macht.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 272699
Url: https://administrator.de/contentid/272699
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
die Input-Chain ist dafür ungeeignet da die Pakete ja nicht an den Router selber sondern nur weitergeleitet werden, ich mach das immer so, wenn auf "ether1" der Internetzugang hängt (man beachte das Ausrufezeichen):
Gruß jodel32
-edit- kleine aber essentielle Korrektur
die Input-Chain ist dafür ungeeignet da die Pakete ja nicht an den Router selber sondern nur weitergeleitet werden, ich mach das immer so, wenn auf "ether1" der Internetzugang hängt (man beachte das Ausrufezeichen):
/ip firewall filter add chain=forward out-interface=!ether1 src-address=192.168.20.0/24 action=drop
-edit- kleine aber essentielle Korrektur
Das ist aber nun eine Globale Regel der ich dann für jedes Subnetz ausnahmen hinzufügen bzw. voranstellen muss, da ja das 20er Netz nicht definiert ist, richtig ?
Die anderen Netze müssen bei mir nicht beschränkt werden..
Die anderen Netze müssen bei mir nicht beschränkt werden..
Hatte es noch nachkorrigiert, sorry schon zu spät 
, da vergisst man das wichtigste ...
, da vergisst man das wichtigste ...
Super. Das sieht doch super aus.
Danke
Danke
Mit nur deiner Regel komme ich trotzdem aus dem Gästenetz noch auf die "unter Standard Route in der FritzBox" eingetragene Gatewayadressen.
Wenn ich nun meine Regel unten dran hänge, geht auch das nicht mehr. Spricht da was dagegen ?
Immerhin hat es den Vorteil das man nur das eine Gateway des Gästenetzes finden kann und keine Schlüsse auf andere Segmente schließen kann.....
Wenn ich nun meine Regel unten dran hänge, geht auch das nicht mehr. Spricht da was dagegen ?
Immerhin hat es den Vorteil das man nur das eine Gateway des Gästenetzes finden kann und keine Schlüsse auf andere Segmente schließen kann.....
Hallo,
Warum hast du denn dort Routen eingetragen? Deine Fritte kennt doch nur das Interne Interface (Pseudo MZ) und somit das 192.168.10.0/24. Mehr braucht die Fritte nicht zu kennen. Dein Routerboard macht doch das Routing deines Gastnetzes 192.168.20.0/24 zum 192.168.10.0/24 - oder nicht?
Das ist doch nur eine einfache Routerkaskade wobei dein Routerboard das Routing macht....
Gruß,
Peter
Warum hast du denn dort Routen eingetragen? Deine Fritte kennt doch nur das Interne Interface (Pseudo MZ) und somit das 192.168.10.0/24. Mehr braucht die Fritte nicht zu kennen. Dein Routerboard macht doch das Routing deines Gastnetzes 192.168.20.0/24 zum 192.168.10.0/24 - oder nicht?
Das ist doch nur eine einfache Routerkaskade wobei dein Routerboard das Routing macht....
Gruß,
Peter
Jetzt bin ich irritiert..... ich muss doch für jedes Subnetz eine Standard Route in der FB einrichten.....
Jetzt bin ich irritiert..... ich muss doch für jedes Subnetz eine Standard Route in der FB einrichten.....
Das ist auch RICHTIG, wenn du kein NAT auf dem Interface des MK machst welches zur Fritte geht und du normal routest.Wenn ich nun meine Regel unten dran hänge, geht auch das nicht mehr. Spricht da was dagegen ?
Wenn du normal routest, sicher, dann musst du die Subnetze schon im MK sperren, aber dann bitte auch in der Forward-Chain.Ich dachte Eingangs irrtümlich das die Fritte bei dir nur als Modem fungiert.
Wenn du hier stattdessen NAT auf ether1 gemacht hättest, wäre deine Regel überflüssig, aber doppeltes NAT wäre hier ja aus Performance-Sicht sowieso suboptimal.
Also, alles wird gut, und schöne Feiertage...
Gruß jodel32
Okay Super. Das nächste mal schreib ich's dazu, Sorry.
Ne, an NAT habe ich mich noch nicht ran getraut. Habe Entertain und möchte sicherstellen das das sauber läuft. Konnte bissher keine Infos über die Einrichtung finden mit der ich auch was anfangen konnte bzw auf den Mk übertragen kann.
Ne, an NAT habe ich mich noch nicht ran getraut. Habe Entertain und möchte sicherstellen das das sauber läuft. Konnte bissher keine Infos über die Einrichtung finden mit der ich auch was anfangen konnte bzw auf den Mk übertragen kann.
Jetzt bin ich irritiert..... ich muss doch für jedes Subnetz eine Standard Route in der FB einrichten.....
Ja und nein...Ja wenn du es umständlich machen willst
Du kannst aber mit Summarization arbeiten in der Router sprich CIDR Maske:
ip route 192.168.0.0 255.255.192.0 <ip_adr_routerboard>
Das routet dann allle Subnetze von 192.168.0.0 bis 192.168.63.254 über das Routerboard.
eine 16er oder 17er Subnetzmaske geht natürlich auch wie du sie benutzt.
Alle Netze einzeln muss man in der Tat nicht eintragen.
Zitat von @aqui:
>Du kannst aber mit Summarization arbeiten in der Router sprich CIDR Maske:
ip route 192.168.0.0 255.255.192.0 <ip_adr_routerboard>
>Du kannst aber mit Summarization arbeiten in der Router sprich CIDR Maske:
ip route 192.168.0.0 255.255.192.0 <ip_adr_routerboard>
Sehr cool. Daran habe ich noch nicht gedacht. Super Tipp. Danke
Aber angenommen ich setze deine vorgeschlagene Route, meine FB befindet sich innerhalb des Bereichs der Route also 192.168.10.1 sperre ich mich in dem Moment von der FB aus, richtig ?
Also besser kein /16 er Subnetz eintragen sonder eher wie du vorgeschlagen hast und die FB bzw dessen Netz in eines geändert welches nicht in den Routenbereich fällt...
Aber angenommen ich setze deine vorgeschlagene Route, meine FB befindet sich innerhalb des Bereichs der Route also 192.168.10.1 sperre ich mich in dem Moment von der FB aus, richtig ?
Nein, denn die Box nimmt hier immer vorrangig das längste Prefix aus den Einträgen der Routing-Tabelle, und das ist der schon in der Box vorhandene Eintrag 192.168.10.0/24 (Routing-Grundlagen) Die Reihenfolge nach der ein Router die Route wählt, ermittelt er nach folgenden Kriterien:
1. Prefix-Länge
2. Distanz
3. Metrik des Eintrags
Siehe auch
http://packetlife.net/blog/2010/aug/16/route-preference/
Gruß jodel32
