2
Mikrotik hex firewall regeln
Hallo mal wieder....
Bin jetzt von einem älteren RB750 auf den aktuellen RB750G3 Hex umgestiegen, geht auch alles soweit. Jedoch habe ich noch Probleme mit den Firewall-Regeln. Habe 4 verschiedene Netze, an eth3 ist auch der Internetrouter. Prinzipiell sollen alle Netze voneinander getrennt sein, aber alle sollen auf das I-Net Zugriff haben und auch z.B. eth2 auf alle anderen Netze. Hatte versucht die alten Regeln zu übernehmen und anzupassen, das geht aber nicht so einfach.
Könnte mir evtl. jemand helfen und ein paar Tips und Vorschläge geben?
Wäre toll, vielen Dank und viele Grüße
Lutz
Bin jetzt von einem älteren RB750 auf den aktuellen RB750G3 Hex umgestiegen, geht auch alles soweit. Jedoch habe ich noch Probleme mit den Firewall-Regeln. Habe 4 verschiedene Netze, an eth3 ist auch der Internetrouter. Prinzipiell sollen alle Netze voneinander getrennt sein, aber alle sollen auf das I-Net Zugriff haben und auch z.B. eth2 auf alle anderen Netze. Hatte versucht die alten Regeln zu übernehmen und anzupassen, das geht aber nicht so einfach.
Könnte mir evtl. jemand helfen und ein paar Tips und Vorschläge geben?
Wäre toll, vielen Dank und viele Grüße
Lutz
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 333454
Url: https://administrator.de/contentid/333454
Ausgedruckt am: 23.11.2024 um 09:11 Uhr
2 Kommentare
Neuester Kommentar
Ich nochmal, hier ein Versuch meiner filter:
/ip firewall filter
add action=drop chain=forward comment="Internet zeitweise blocken f\FCr 4" \
in-interface=ether4
add action=drop chain=forward comment="Internet zeitweise blocken f\FCr 4" \
in-interface=ether4
add action=drop chain=input comment=\
"MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" \
connection-state=invalid p2p=fasttrack
add action=accept chain=input comment=\
"Bereits vorhandene Verbindungen akzeptieren" connection-nat-state="" \
connection-state=established
add action=accept chain=input comment=\
"Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)" \
connection-state=related protocol=icmp
add action=return chain=forward comment=\
"Neue Verbindungen nach Firewall-Regeln"
add action=accept chain=forward comment=\
"Verbindung von Netz 0.0 initialisiert erlauben" dst-address-type="" \
in-interface=ether2 src-address-type=""
add action=accept chain=forward in-interface=ether4 in-interface-list=all \
out-interface=ether1 out-interface-list=all
add action=drop chain=forward comment="Rest verwerfen"
/ip firewall filter
add action=drop chain=forward comment="Internet zeitweise blocken f\FCr 4" \
in-interface=ether4
add action=drop chain=forward comment="Internet zeitweise blocken f\FCr 4" \
in-interface=ether4
add action=drop chain=input comment=\
"MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" \
connection-state=invalid p2p=fasttrack
add action=accept chain=input comment=\
"Bereits vorhandene Verbindungen akzeptieren" connection-nat-state="" \
connection-state=established
add action=accept chain=input comment=\
"Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)" \
connection-state=related protocol=icmp
add action=return chain=forward comment=\
"Neue Verbindungen nach Firewall-Regeln"
add action=accept chain=forward comment=\
"Verbindung von Netz 0.0 initialisiert erlauben" dst-address-type="" \
in-interface=ether2 src-address-type=""
add action=accept chain=forward in-interface=ether4 in-interface-list=all \
out-interface=ether1 out-interface-list=all
add action=drop chain=forward comment="Rest verwerfen"
Router OS ist Router OS. Eigentlich solltest du bei gleicher Version die Regeln einfach übernehmen können.
Denk an die "First match wins" Regel bei der Reihenfolger der Filterstatements !
Du kannst nichts erlauben und später wieder verbieten oder andersrum !
Im Grunde sind deine Regeln recht einfach:
Am Inbound Interface von Netz 1 steht dann einfach:
DENY Source=Netz 1, Destination= Netz 2
DENY Source=Netz 1, Destination= Netz 3
DENY Source=Netz 1, Destination= Netz 4
PERMIT Source=Netz 1, Destination= any
Analog dann an Netz 2:
DENY Source=Netz 2, Destination= Netz 1
DENY Source=Netz 2, Destination= Netz 3
DENY Source=Netz 2, Destination= Netz 4
PERMIT Source=Netz 2, Destination= any
usw. für die Netz Interfaces.
Wichtig ist hier die Reihenfolge der regeln. Du kannst nicht zuerst z.B. die Permit Regel setzen und dann die Deny Regeln denn durch das "First match wins" Verhalten würde in dem Fall dann die erste Permit Regel matchen und die restlichen nicht mehr abgearbeitet werden.
Das solltest du in der Regel Logik beachten.
Denk an die "First match wins" Regel bei der Reihenfolger der Filterstatements !
Du kannst nichts erlauben und später wieder verbieten oder andersrum !
Im Grunde sind deine Regeln recht einfach:
Am Inbound Interface von Netz 1 steht dann einfach:
DENY Source=Netz 1, Destination= Netz 2
DENY Source=Netz 1, Destination= Netz 3
DENY Source=Netz 1, Destination= Netz 4
PERMIT Source=Netz 1, Destination= any
Analog dann an Netz 2:
DENY Source=Netz 2, Destination= Netz 1
DENY Source=Netz 2, Destination= Netz 3
DENY Source=Netz 2, Destination= Netz 4
PERMIT Source=Netz 2, Destination= any
usw. für die Netz Interfaces.
Wichtig ist hier die Reihenfolge der regeln. Du kannst nicht zuerst z.B. die Permit Regel setzen und dann die Deny Regeln denn durch das "First match wins" Verhalten würde in dem Fall dann die erste Permit Regel matchen und die restlichen nicht mehr abgearbeitet werden.
Das solltest du in der Regel Logik beachten.
