drgibble
Goto Top

MikroTik - Schaffe es nicht die VLANs ans Internet zu binden. Wer kennt sich aus

Irgendwo fehlt eine Einstellung in den NAT/MASQ oder ich habe eine zuviel die alles blockt?

Ich konnte den MikroTik Router RB750 schon soweit einrichten das ich ein funktionierendes Netzwerk habe mit Anschluss an das Internet.
Auch die eingerichteten VLANs funktionieren über den Cisco SRW224G4 Layer2 Managed Switch.

Über die WinBox vom MikroTik lassen sich die einzelnen PCs in den VLANs auch anpingen und umgekehrt.
Leider hat kein einziger Client-PC Zugriff auf das Internet. Welche NAT/MASQ Regel habe ich vergessen oder zuviel das irgendetwas geblockt wird?

Jedes VLAN hat seinen eigenen IP-Bereich mit eigenem DHCP-Server:
  • ether1 = Dort hängt das reine DSL-Modem dran
  • ether2 = Port zum Switch (IP: 192.168.1.1/24, Network:192.168.1.0, Broadcast:192.168.1.255, DNS/Gateway:192.168.1.1)
        • vlan10-office (IP: 192.168.10.1/24, Network:192.168.10.0, Broadcast:192.168.10.255)
        • vlan20-private (IP: 192.168.20.1/24, Network:192.168.20.0, Broadcast:192.168.20.255) usw...

/interface ethernet
set 0 arp=enabled auto-negotiation=yes comment="ethernet to wan" disabled=no full-duplex=yes l2mtu=1526 mac-address=\
00:0C:42:57:13:0C mtu=1500 name=ether1-wan speed=100Mbps
set 1 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="ethernet to cisco switch" disabled=no \
full-duplex=yes l2mtu=1524 mac-address=00:0C:42:57:13:0D master-port=none mtu=1500 name=ether2-switch speed=\
100Mbps
set 2 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="" disabled=no full-duplex=yes l2mtu=\
1524 mac-address=00:0C:42:57:13:0E master-port=none mtu=1500 name=ether3 speed=100Mbps
set 3 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="" disabled=no full-duplex=yes l2mtu=\
1524 mac-address=00:0C:42:57:13:0F master-port=none mtu=1500 name=ether4 speed=100Mbps
set 4 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="ethernet test port" disabled=no \
full-duplex=yes l2mtu=1524 mac-address=00:0C:42:57:13:10 master-port=none mtu=1500 name=ether5 speed=100Mbps

/interface vlan
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan20-private \
use-service-tag=no vlan-id=20
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan10-office \
use-service-tag=no vlan-id=10
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan30-wlan use-service-tag=\
no vlan-id=30
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan50-server \
use-service-tag=no vlan-id=50

/ip firewall filter
add action=accept chain=input comment="default configuration" disabled=no protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=established disabled=no in-interface=ether1-wan
add action=accept chain=input comment="default configuration" connection-state=related disabled=no in-interface=ether1-wan
add action=drop chain=input comment="default configuration" disabled=no in-interface=ether1-wan
add action=accept chain=input comment="Accept established connections" connection-state=established disabled=no
add action=accept chain=input comment="Accept related connections" connection-state=related disabled=no
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid disabled=yes
add action=accept chain=input comment=UDP disabled=no protocol=udp
add action=accept chain=input comment="Allow limited pings" disabled=no limit=50/5s,2 protocol=icmp
add action=drop chain=input comment="Drop excess pings" disabled=yes protocol=icmp
add action=log chain=input comment="Log everything else" disabled=no log-prefix="DROP INPUT"
add action=drop chain=input comment="Drop everything else" disabled=yes
add action=accept chain=input comment="From our LAN" disabled=no in-interface=ether2-switch src-address=192.168.1.0/24
add action=accept chain=input comment="" disabled=no in-interface=ether2-switch src-address=192.168.10.0/24
add action=accept chain=input comment="POP3 Eingang" disabled=no dst-port=110 in-interface=ether1-wan protocol=tcp
add action=accept chain=input comment=openVPN disabled=no protocol=tcp src-port=1194

/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.1.0/24
add action=dst-nat chain=dstnat comment="" disabled=yes to-addresses=192.168.10.0-192.168.10.255
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.20.0/24
add action=dst-nat chain=dstnat comment="Forward: SMTP for XMail" disabled=no dst-port=25 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=50025
add action=dst-nat chain=dstnat comment="Forward POP3 for XMail" disabled=no dst-port=110 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=50110
add action=dst-nat chain=dstnat comment="Forward IMAP for XMail" disabled=no dst-port=143 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=143
add action=dst-nat chain=dstnat comment="Forward Finger for XMail" disabled=no dst-port=79 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=50079
add action=dst-nat chain=dstnat comment="Forward Mail CTRL for XMail (remote control access)" disabled=no dst-port=6017 in-interface=\
ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=6017
add action=dst-nat chain=dstnat comment="" disabled=no dst-port=6017 in-interface=ether1-wan protocol=udp to-addresses=192.168.1.10 \
to-ports=6017
add action=dst-nat chain=dstnat comment=MySQL-Server disabled=no dst-port=3306 in-interface=ether1-wan protocol=tcp to-addresses=\
192.168.1.10 to-ports=3306

Ich probiere schon seid 1 Woche an den Einstellungen herum aber komme auf keinen grünen Zweig.
Wäre nett wenn sich jemand mit MikroTik Routern auskennt und mir unter die Arme greifen könnte.

Vielen Dank im Voraus

Gruß

Boris

Content-ID: 126757

Url: https://administrator.de/forum/mikrotik-schaffe-es-nicht-die-vlans-ans-internet-zu-binden-wer-kennt-sich-aus-126757.html

Ausgedruckt am: 24.12.2024 um 02:12 Uhr

dog
dog 08.10.2009 um 21:03:33 Uhr
Goto Top
Eine Möglichkeit wäre:

/ip fire nat add out-inter=pppoe-out1 action=masq chain=srcnat

Ich persönlich benutze:

/ip fire nat add src-ad=10.x.x.0/24 action=masq chain=srcnat

Um dir auch eine dritte Möglichkeit nicht zu verschweigen:

/ip fire nat add dst-ad=!10.x.x.0/24 action=masq chain=srcnat


Natürlich muss die Firewall den Traffic auch erlauben.
Und da du hier mit mehreren Subnets arbeitest empfiehlt es sich Address Lists zu benutzen (Lösung 2 und 3).

2. Du benutzt in allen deinen Regeln ether1-wan
Das solltest du aber nicht, wenn auf dem Router ein PPPoE-Client installiert ist.
In dem Fall hältst du das ether1-Interface aus allen Regeln raus und benutzt das pppoe-Interface.

Grüße

Max
DrGibble
DrGibble 08.10.2009 um 21:27:11 Uhr
Goto Top
Zitat von @dog:
Eine Möglichkeit wäre:
/ip fire nat add out-inter=pppoe-out1 action=masq chain=srcnat
Habe ich soeben probiert, funktioniert leider nicht.

Ich persönlich benutze:
/ip fire nat add src-ad=10.x.x.0/24 action=masq chain=srcnat
Die hatte ich bereits drin:
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.10.0/24 //VLAN10  
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.20.0/24 //VLAN20  
Aber sie scheinen nicht zu greifen?

Um dir auch eine dritte Möglichkeit nicht zu verschweigen:
/ip fire nat add dst-ad=!10.x.x.0/24 action=masq chain=srcnat
Wofür steht denn das Ausrufezeichen? Negation?

Natürlich muss die Firewall den Traffic auch erlauben.
Und genau hier liegt glaube ich mein Problem?
Was müsste ich denn einstellen damit der Traffic auch in die einzelnen VLANs erlaubt wird?
Oder anders gesagt ... welche schon vorhandene Regel blockiert diesen Traffic?
Im englischen Forum habe ich schon gesucht nur da steht immer das beim routing per default alles erlaubt ist bis man es explizit unterbindet.
Aber selbst die VLANs untereinander können sich bei mir nicht sehen obwohl das auch möglich sein sollte?

Und da du hier mit mehreren Subnets arbeitest empfiehlt es sich
Address Lists zu benutzen (Lösung 2 und 3).
Eine Adressliste habe ich bereits drin (allVLANs = 192.168.10.1-192.168.50.1)
Wollte das ganze aber erst einmal an einem einzelnen VLAn testen bevor ich alles einstelle.
dog
dog 08.10.2009 um 21:39:30 Uhr
Goto Top
Wirf doch bitte mal alle Filtering und alle NAT-Regeln raus. (Du kannst ja ein Backup der Router-Konfiguration anlegen)
Damit hast du den Grundzustand hergestellt in dem gilt:

Ja, RouterOS routet erstmal alle Subnets zueinander, solange man es ihm nicht verbietet.

Dadurch sollten zwei Effekte eintreten:

- A: Internetzugriff ist nur noch vom Router aus möglich
- B: Die einzelnen VLANs können sich untereinander erreichen.

Passiert das nicht hast du einen tiefergreifenden Fehler.

Danach fangen wir mit NAT an:

ip firewall nat add chain=srcnat out-interface=pppoe-out1 action=masq comment="Allen Traffic nach draußen sNatten"  

Beachte, das ich hier als Interface pppoe-out1 und nicht ether1 verwende, weil der Traffic durch den PPPoE-Client geht und nicht durch das Interface per se.
(Apropros: Du hast doch einen PPPoE-Client auf dem Router oder nicht?)

Jetzt sollte sich Effekt A aufheben und alle Geräte Internetzugriff haben.

Weiter geht's nach dem nächsten Kommentar face-smile

Grüße

Max
DrGibble
DrGibble 09.10.2009 um 13:43:46 Uhr
Goto Top
So, ich habe alle Filter und NAT-Regel deaktiviert bis auf auf die
ip firewall nat add chain=srcnat out-interface=pppoe-out1 action=masq comment="Allen Traffic nach draußen sNatten"  

Und siehe da ... ich kann in die verschiedenen VLANs routen und alle können ins Internet.
Da brauche ich wohl noch ein wenig Nachhilfe in Sachen Filter-Regeln und NAT bzw. MASQ face-wink

Die NAT-Einstellungen können ja so alle bestehen bleiben da sie bis auf die erste ja alle bestimmte Ports für meinen NAS-Server forwarden.
add action=masquerade chain=srcnat disabled=no out-interface=ppoe-out
add action=dst-nat chain=dstnat comment="Forward: SMTP for XMail" disabled=no dst-port=25 in-interface=ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=50025  
add action=dst-nat chain=dstnat comment="Forward POP3 for XMail" disabled=no dst-port=110 in-interface=ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=50110  
add action=dst-nat chain=dstnat comment="Forward IMAP for XMail" disabled=no dst-port=143 in-interface=ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=143  
add action=dst-nat chain=dstnat comment="Forward Finger for XMail" disabled=no dst-port=79 in-interface=ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=50079  
add action=dst-nat chain=dstnat comment="Forward Mail CTRL for XMail (remote control access)" disabled=no dst-port=6017 in-interface=ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=6017  
add action=dst-nat chain=dstnat comment="" disabled=no dst-port=6017 in-interface=ether1-wan protocol=udp to-addresses=192.168.1.10 to-ports=6017  
add action=dst-nat chain=dstnat comment=MySQL-Server disabled=no dst-port=3306 in-interface=ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=3306

Jetzt muss ich mir die Firewall Filter-Regeln nochmals näher anschauen wofür die im einzelnen stehen (habe sie auch nur aus diversen Tutorials im englischen MikroTik-Forum.

Könntest Du mir noch bitte mit den MASQ-Einstellungen helfen um bestimmte VLAN-Bereiche untereinander abzuschotten?
  • VLAN10-office (darf ins Internet und sich nur mit dem VLAN50-server verbinden wo der NAS-Server und Netzwerkdrucker drin ist)
  • VLAN20-private (das selbe wie VLAN10)
  • VLAN30-wlan (darf ausschliesslich ins Internet und auf keines der anderen VLANs Zugriff haben)

Vielen Dank für Deine Hilfe

greetz

Boris
dog
dog 09.10.2009 um 18:24:38 Uhr
Goto Top
OK, das mit der Firewall ist eigentlich ganz einfach *fg*

Es gibt 3 Chains:
INPUT - Alles was direkt an den Router selbst geht
OUTPUT - Alles was direkt vom Router selbst kommt
FORWARD - Alles was durch den Router geht (hier gehört auch NAT zu, da das vor der Firewall aufgelöst wird)

Du musst jetzt etwas genauer überlegen, weil du einen Router mit 5 Seiten hast:
- Internet
- vlan10
- vlan20
- vlan30
- vlan50

Zuerst wollen wir mal den Router aus Richtung Internet absichern.
Dafür benutzen wir den input-Chain und als in-interface den pppoe Client.
Weil wir aber alle Faul sind arbeiten wir hier mit Sub-Chains (dazu benutzt man die actions jump und return).
Das sieht dann beispielsweise so aus:
add action=jump chain=input comment="A Router Input von PPPoE durch PPP_INPUT-Filter jagen" disabled=no in-interface=\  
    pppoe-telekom1 jump-target=R1
add action=drop chain=R1 comment="CCC Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=\  
    invalid disabled=no
add action=drop chain=R1 comment="CCC IP-Sperrliste" disabled=no src-address-list=lockout  
add action=drop chain=R1 comment="CCC Erkannte Portscanner droppen" disabled=no src-address-list=portscan  
add action=accept chain=R1 comment="CCC Bereits vorhandene Verbindungen akzeptieren" connection-state=established \  
    disabled=no
add action=accept chain=R1 comment="CCC Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related \  
    disabled=no
add action=add-src-to-address-list address-list=portscan address-list-timeout=24m chain=R1 comment=\
    "CCC Port Scan erkennen und in Addresslist aufnehmen" disabled=no protocol=tcp psd=21,3s,3,1  
add action=return chain=R1 comment="CCC Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no  
add action=accept chain=PPP_INPUT comment="AA ICMP Echo Request erlauben (ping)" disabled=no icmp-options=8:0 protocol=\  
    icmp
add action=log chain=PPP_INPUT comment="AA Bevor wir es droppen loggen wir es nochmal" disabled=no log-prefix="[NDROP]"  
add action=add-src-to-address-list address-list=lockout address-list-timeout=1d chain=PPP_INPUT comment=\
    "AA wenn wir sie schon droppen sperren wir sie auch gleich noch" disabled=no  
add action=drop chain=PPP_INPUT comment="AA Input-Standardregel: Alles ablehnen" disabled=no  

Jetzt geht es an die Regeln fürs Forwarding:
Als erstes wollen wir mal die Firewall entlasten, darum kommen diese drei Regeln hinzu:
add action=drop chain=forward comment="CCC Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid  
add action=accept chain=forward comment="CCC Bereits vorhandene Verbindungen akzeptieren" connection-state=established  
add action=accept chain=forward comment="CCC Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related  
Dann erlauben wir allen Traffic ins Internet:
add chain=forward action=accept comment="Allen Traffic ins Internet erlauben" out-interface=pppoe-out1  
Dann legst du eine Address-List an mit dem Namen "Server-Access" und trägst dort die beiden Subnets von VLAN10 und VLAN20 ein.
Und dann erlauben wir den Traffic:
add chain=forward action=accept comment="Traffic zum Server erlauben" src-address-list=server-access dst-address=...  
Und zum Schluss machen wir alles andere dicht:
add chain=forward action=drop comment="Standardregel: Alles verwerfen"  

(nicht getestet)

Grüße

Max
DrGibble
DrGibble 10.10.2009 um 17:11:11 Uhr
Goto Top
Erstmal ein dickes Lob für die sehr ausführliche Hilfe. Du weisst gar nicht wie sehr Du mir damit geholfen hast.
Alles läuft perfekt und das Netzwerk ist jetzt auch noch sicher *gg*

Ich habe die Firewall Filter-Regeln so eingestellt wie Du sie angegeben hast und dank Deiner ausführlichen Erklärung auch noch verstanden und erweitert.
Was mich aber noch interessiert ist das chain=R1 R1 kenne ich nicht. Was bedeutet das?

Und ist das so richtig das z.B. beide Regeln vorhanden sein müssen:
add action=drop chain=R1 comment="CCC Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no   
add action=drop chain=forward comment="CCC Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid   

Zudem habe ich noch gelesen das die Reihenfolge entscheidend ist und von oben nach unten abgearbeitet wird. Müsste daher nicht
add action=drop chain=forward comment="CCC Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid   
auch nach ganz oben?

Hier mal mein aktueller Auszug der Filter-Regeln (die ersten 8 Regeln sind noch aus dem Wiki gegen Brute Force-Attacken):
add action=drop chain=input comment="drop ftp brute forces" disabled=no dst-port=21 protocol=tcp src-address-list=\  
    ftp_blacklist
add action=accept chain=output comment="" content="530 Login incorrect" disabled=no dst-limit=\  
    1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output comment="" \  
    content="530 Login incorrect" disabled=no protocol=tcp  
add action=drop chain=input comment="drop ssh brute forces" disabled=no dst-port=22 protocol=tcp src-address-list=\  
    ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input comment="" \  
    connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input comment="" \  
    connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input comment="" \  
    connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input comment="" \  
    connection-state=new disabled=no dst-port=22 protocol=tcp
add action=accept chain=input comment="default configuration" disabled=yes protocol=icmp  
add action=accept chain=input comment="default configuration" connection-state=established disabled=yes \  
    in-interface=ether1-wan
add action=accept chain=input comment="default configuration" connection-state=related disabled=yes in-interface=\  
    ether1-wan
add action=drop chain=input comment="default configuration" disabled=yes in-interface=ether1-wan  
add action=accept chain=input comment=openVPN disabled=yes protocol=tcp src-port=1194
add action=jump chain=input comment="A Router Input von PPoE durch PPP_INPUT-Filter jagen" disabled=no \  
    in-interface=pppoe-out jump-target=R1
add action=drop chain=R1 comment="CCC IP-Sperrliste" disabled=no src-address-list=lockout  
add action=drop chain=R1 comment="CCC Erkannte Portscanner droppen" disabled=no src-address-list=portscan  
add action=accept chain=R1 comment="CCC Bereits vorhandene Verbindungen akzeptieren" connection-state=established \  
    disabled=no
add action=accept chain=R1 comment="CCC Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)" connection-state=\  
    related disabled=no
add action=add-src-to-address-list address-list=portscan address-list-timeout=24m chain=R1 comment=\
    "CCC Port Scan erkennen und in Addresslist aufnehmen" disabled=no protocol=tcp psd=21,3s,3,1  
add action=return chain=R1 comment="CCC Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no  
add action=accept chain=PPP_INPUT comment="AA ICMP Echo Request erlauben (ping)" disabled=no icmp-options=8:0 \  
    protocol=icmp
add action=log chain=PPP_INPUT comment="AA Bevor wir es droppen loggen wir es nochmal" disabled=no log-prefix=\  
    "[NDROP]"  
add action=add-src-to-address-list address-list=lockout address-list-timeout=1d chain=PPP_INPUT comment=\
    "AA wenn wir sie schon droppen sperren wir sie auch gleich noch" disabled=no  
add action=drop chain=PPP_INPUT comment="AA Input-Standardregel: Alles ablehnen" disabled=no  
add action=drop chain=forward comment="CCC MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" \  
    connection-state=invalid disabled=no
add action=accept chain=forward comment="CCC Bereits vorhandene Verbindungen akzeptieren" connection-state=\  
    established disabled=no
add action=accept chain=forward comment="CCC Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)" \  
    connection-state=related disabled=no
add action=drop chain=R1 comment="CCC MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" \  
    connection-state=invalid disabled=no
add action=accept chain=forward comment="Allen Traffic ins Internet erlauben" disabled=no out-interface=pppoe-out  
add action=accept chain=forward comment="Traffic zum Server erlauben" disabled=no dst-address=192.168.50.50 \  
    src-address-list=server-access
add action=drop chain=forward comment="Standardregel: Alles verwerfen!!!" disabled=no  
dog
dog 10.10.2009 um 17:37:08 Uhr
Goto Top
chain=R1 ist ein eigener Chain, den ich definiert habe.
Das ist in dem Moment sinnvoll, in dem du mehrere der Standard-Chains durch die selben Regeln filtern willst.
Über die action=jump wechselst du in einen anderen chain und über action=return wieder zurück in den vorherigen.

Wenn du z.B. input und forward erstmal den selben Filtern unterziehen willst fügst du zu beginn für beide chains eine jump-Action ein...

Und ist das so richtig das z.B. beide Regeln vorhanden sein müssen:

Das passiert wenn man es nicht so macht, wie ich es grade erklärt habe face-smile
Eine Regel betrifft hier den R1-chain (der eine weiterleitung aus dem input-Chain ist) und eine den forward-Chain.
Da du ja jetzt weißt, was es mit den chains auf sich hat kannst du es ja auf eine Regel reduzieren face-smile

Müsste daher nicht [...] auch nach ganz oben?

Sorry, bei meinen Regeln hat sich ein bisschen der Copy&Paste Fehlerteufel eingeschlichen.
Ich habe sie nochmal korrigiert:
add action=jump chain=input comment="A Router Input von PPPoE durch R1-Filter jagen (CCC)" disabled=no in-interface=pppoe-out jump-target=R1  

add action=drop                    chain=R1 comment="CCC MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no  
add action=drop                    chain=R1 comment="CCC IP-Sperrliste"                                                 disabled=no src-address-list=lockout  
add action=drop                    chain=R1 comment="CCC Erkannte Portscanner droppen"                                  disabled=no src-address-list=portscan  
add action=accept                  chain=R1 comment="CCC Bereits vorhandene Verbindungen akzeptieren"                   connection-state=established disabled=no  
add action=accept                  chain=R1 comment="CCC Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)"        connection-state=related disabled=no  
add action=add-src-to-address-list chain=R1 comment="CCC Port Scan erkennen und in Addresslist aufnehmen"               address-list=portscan address-list-timeout=24m  disabled=no protocol=tcp psd=21,3s,3,1  
add action=accept                  chain=R1 comment="CCC ICMP Echo Request erlauben (ping)"                             disabled=no icmp-options=8:0 protocol=icmp  
add action=log                     chain=R1 comment="CCC Bevor wir es droppen loggen wir es nochmal"                    disabled=no log-prefix="[NDROP]"  
add action=add-src-to-address-list chain=R1 comment="CCC wenn wir sie schon droppen sperren wir sie auch gleich noch"   address-list=lockout address-list-timeout=1d  disabled=no  
add action=drop                    chain=R1 comment="CCC Input-Standardregel: Alles ablehnen"                           disabled=no  

add action=drop   chain=forward comment="B MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no  
add action=accept chain=forward comment="B Bereits vorhandene Verbindungen akzeptieren"                   connection-state=established disabled=no  
add action=accept chain=forward comment="B Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)"        connection-state=related disabled=no  
add action=accept chain=forward comment="B Allen Traffic ins Internet erlauben"                           disabled=no out-interface=pppoe-out  
add action=accept chain=forward comment="B Traffic zum Server erlauben"                                   disabled=no dst-address=192.168.50.50 src-address-list=server-access  
add action=drop   chain=forward comment="B Standardregel: Alles verwerfen!!!"                             disabled=no  
(Bitte im großen Fenster öffnen)

Grüße

Max
DrGibble
DrGibble 11.10.2009 um 11:54:18 Uhr
Goto Top
Danke für die ausführliche Hilfe mit den Filter-Regeln.
Das man einen eigenen chain definieren kann wusste ich noch nicht. So lernt man immer wieder neues hinzu.

Über die action=jump wechselst du in einen anderen chain und über action=return wieder zurück in den vorherigen.
Müsste dann nicht in Zeile 13 nach dem "CCC Input-Standardregel: Alles ablehnen" die action=return Regel angewendet werden da nachfolgend ja kein chain=R1 mehr kommt?
add action=return chain=R1 comment="CCC Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no   
dog
dog 11.10.2009 um 17:47:38 Uhr
Goto Top
Nö, die Regel ist ja so allgemein gehalten, dass jedes Paket was es bis dahin noch gibt in sie reinlaufen würde.
Eine Regel return, die danach kommt würde also niemals aufgerufen werden.

Stell es dir am Besten so vor: Jedes Paket fällt von oben runter - solange bis eine Regel auf es zutrifft.

Grüße

Max
DrGibble
DrGibble 11.10.2009 um 18:14:03 Uhr
Goto Top
Ok, dann ist es so nun richtig eingestellt.

Auch wenn ich mich wiederhole ...
Ich kann Dir gar nicht genug danken für Deine große und sehr ausführliche Hilfe!

Besten Dank, schöne Grüße und ein erholsamen Sonntag Abend face-wink

der Doc
StrohhuTik
StrohhuTik 16.07.2023 aktualisiert um 21:57:50 Uhr
Goto Top
Danke @dog
Auch ich habe mindestens eine Woche rumgeiert und diese eine NAT Regel hat mir gefehlt.
Nach knapp 14 Jahren ist der Post noch hilfreich wie ich sehe :D

Vielen Vielen Dank!