bene007
07.06.2012, aktualisiert am 18.10.2012
view8779
view8
0
Goto Top

Mikrotik Warum muss Firewall regel deaktiviert werden, damit das Internet geht

FrageNetzwerkeRouter, Routing
Hallo zusammen,

ich habe eine frage bzgl. meines Mikrotik Routers. Besser gesagt zu den Firewalleinstellungen. Mein Ziel war es, eine Webseite über 2 Internetanschlüsse parallel und gleichzeitig zu erreichen. Das Funktioniert auch prima (wenn auch mit Einbußen des PBR, das aus mir unerfindlichen Gründen nicht geht). Jetzt zu meiner Frage.

Das hier ist der Export meiner Firewall:

 0   ;;; Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)
     chain=spi action=accept connection-state=related 

 1   ;;; Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden
     chain=spi action=drop connection-state=invalid 

 2   chain=forward action=jump jump-target=spi 

 3   ;;; DVBV erlauben
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2 
     dst-port=8089 

 4   ;;; Website
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2 
     dst-port=80 

 5   ;;; PPTP-Negotiation erlauben
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2 
     dst-port=1723 

 6   ;;; GRE erlauben
     chain=forward action=accept protocol=gre dst-address=192.168.1.2 

 7   ;;; Zurueck, die restlichen Regeln sind Chain-spezifisch
     chain=spi action=return 

 8   ;;; Alles ueberall hin vom LAN erlauben
     chain=forward action=accept in-interface=ether3 

 9   ;;; Bereits vorhandene Verbindungen akzeptieren
     chain=spi action=accept connection-state=established 

10 X ;;; Alles andere verwerfen
     chain=forward action=drop 

11   chain=input action=jump jump-target=spi 

12   ;;; Ping immer annehmen
     chain=input action=accept protocol=icmp icmp-options=8:0 

13   ;;; Alles aus dem LAN annehmen
     chain=input action=accept in-interface=ether3 

14   ;;; Alles andere verwerfen
     chain=input action=drop

Wie man sieht ist

10 X ;;; Alles andere verwerfen
     chain=forward action=drop

deaktiviert, da sonst keiner ins Internet kommt. Ist das jetzt schlimm für die Sicherheit, oder kann ich diese Regel deaktivieren bzw. löschen.

Vielen Dank
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 186095

Url: https://administrator.de/contentid/186095

Ausgedruckt am: 04.12.2024 um 08:12 Uhr

8 Kommentare
Neuester Kommentar
Goto Top
danielfr
danielfr 07.06.2012 um 11:59:39 Uhr
Goto Top
Wenn Du die 10. Regel deaktivierst erlaubs Du aus der Forward Chain wieder jeden Verkehr und machst alle vorhergehenden Regeln diesbezgl. unbrauchbar. Also keine gute Idee.
Dir fehlt eine Regel die den Traffic auf Port 80 erlaubt, nicht nur auf 192.168.2.1 sondern eben auch ins Internet. Firewalls funktionieren eigentlich immer so, das zuerst alle Regeln spezifiziert werden, die Traffic erlauben, am Schluss kommt dann eine Regel die alles verbietet.
Die Regel die als erste angewendet werden kann wird auch benutzt.
Also brauchst Du noch was wie:
chain=forward action=accept protocol=tcp dst-address=0.0.0.0 dst-port=80
(ungeprüft)
und noch eine Regel die DNS erlaubt.
Bene007
Bene007 07.06.2012 um 15:22:20 Uhr
Goto Top
So ich habs jetzt hin bekommen.

Dein Anstoß das alle Regeln zu erst spezifiziert werden hat mich ins Grübeln gebracht und ich hab jetzt die Reihenfolge geändert (ohne etwas neues hinzuzufügen)

 0   ;;; Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)
     chain=spi action=accept connection-state=related 

 1   ;;; Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden
     chain=spi action=drop connection-state=invalid 

 2   chain=forward action=jump jump-target=spi 

 3   ;;; DVBV erlauben
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2 dst-port=8089 

 4   ;;; Website
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2 dst-port=80 

 5   ;;; PPTP-Negotiation erlauben
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2 dst-port=1723 

 6   ;;; GRE erlauben
     chain=forward action=accept protocol=gre dst-address=192.168.1.2 

 7   ;;; Alles ueberall hin vom LAN erlauben
     chain=forward action=accept in-interface=ether3 

 8   ;;; Bereits vorhandene Verbindungen akzeptieren
     chain=spi action=accept connection-state=established 

 9   ;;; Zurueck, die restlichen Regeln sind Chain-spezifisch
     chain=spi action=return 

10   ;;; Alles andere verwerfen
     chain=forward action=drop 

11   chain=input action=jump jump-target=spi 

12   ;;; Ping immer annehmen
     chain=input action=accept protocol=icmp icmp-options=8:0 

13   ;;; Alles aus dem LAN annehmen
     chain=input action=accept in-interface=ether3 

14   ;;; Alles andere verwerfen
     chain=input action=drop

Jetzt ist aus ehenmaligen Regel 7 Regel 9 geworden. Ich habe

;;; Zurueck, die restlichen Regeln sind Chain-spezifisch 
    chain=spi action=return

um zwei nach unten verschoben. Die Regeln sind nun alle aktiv oder? Vielen dank

ps: bzgl pbr (Policy based Routing) kennst du dich nicht aus oder?
aqui
aqui 07.06.2012, aktualisiert am 18.10.2012 um 18:50:58 Uhr
Goto Top
Bitte kein Doppelposting !
Du schreibst doch hier:
Policy based Routing mit Mikrotik 750
das das nun alles rennt mit PBR oder war das nun gelogen ??
dog
dog 07.06.2012 um 16:11:15 Uhr
Goto Top
Du hast die Regeln in der falschen Reihenfolge!
Regel 9 muss über Regel 7 (eigentlich sogar über Regel 0)!
Bene007
Bene007 07.06.2012, aktualisiert am 18.10.2012 um 18:50:58 Uhr
Goto Top
Zitat von @aqui:
Bitte kein Doppelposting !
Du schreibst doch hier:
Policy based Routing mit Mikrotik 750
das das nun alles rennt mit PBR oder war das nun gelogen ??

Das war es nicht, man konnte aber den Server nicht über beide WAN-Adressen erreichen ;) Das geht jetzt, nun funktioniert das pbr aber nicht mehr


Zitat von @dog:
Du hast die Regeln in der falschen Reihenfolge!
Regel 9 muss über Regel 7 (eigentlich sogar über Regel 0)!

Dann geht aber kein Internet mehr :/
aqui
aqui 13.06.2012 um 13:59:16 Uhr
Goto Top
@Bene007
Wenns das jetzt war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Bene007
Bene007 13.06.2012 um 17:12:03 Uhr
Goto Top
es wars zwar jetzt nicht, aber ich hab jetzt auch aufgegeben ;) andere lösung
aqui
aqui 14.06.2012 um 13:41:29 Uhr
Goto Top
Schade eigentlich, denn des funktioniert fehlerlos...normalerweise !
FrageNetzwerkeRouter, Routing
Mehr von Bene007Bene007Dual-Wan Router hinter fritzboxenBene007 - 15 KommentareBene007Policy based Routing mit Mikrotik 750Bene007 - 44 KommentareBene0072 DSL-Anschlüsse an einen ServerBene007 - 13 Kommentare
Heiß diskutiert
MasterOfInternetZu geringe Datenrate USB 3.0-HDDs an FRITZ!Box 6850 5GMasterOfInternet - 120 Kommentarejohann.liebertMicrosoft 365 Business Premium - Lohnt sich das?johann.liebert - 27 KommentareDatenreiseBewusste Vertriebslügen im Gesundheitswesen?Datenreise - 24 KommentareDecker2022Windows Server 2022 mit 2 DC und Hyper-V Replica und OpenSenseDecker2022 - 23 KommentareJudgelgOutlook-Verschlüsselungsoption deaktivierenJudgelg - 21 KommentareaxlemoxleWelche WLAN Hardwareaxlemoxle - 18 KommentareniraxxHP Rack-Server mit Schienen ausbauenniraxx - 17 KommentareStefanl93Access Datenbank für Elektrische GeräteStefanl93 - 16 KommentarecramtroniSimple Excel Frage Format wird nicht geändertcramtroni - 16 KommentareJollyJumper83SMTP Error: Could not authenticateJollyJumper83 - 15 Kommentarefoto2004GPOs werden aus OU nur teilweise gezogenfoto2004 - 15 KommentareKlaus2024Mikrotik RB750GR3 hEX hinter FritzBox 7490Klaus2024 - 13 Kommentare