Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailemVyřešeno Pomoc s nastavením FW routeru s RouterOS (MikroTik)

Router má IP 192.168.88.1
2x PC: 192.168.88.101, 192.168.88.102
Na počítačích běží virtuální stroje s IP: 192.168.88.201 a 192.168.88.202

Chci virtuálním strojům zakázat přístup na internet, chci zakázat čemukoliv z internetu zakázat přístup na tyto virtuální stroje. Komunikace v rámci LAN 192.168.88.0/24 všemi směry je povolena.

Nějak mi uniká vztah a význam source/destination address a in/out interface. Sedím na PC (z něj adminuju routerOS), ale měl bych to asi "chápat" z hlediska, jako bych seděl "v routeru".

Pravidla pro virtuální stroj (kupř. 192.168.88.201)

1. Mám vytvořit pravidlo, povolující komunikaci v LAN síti?
Nebo je to nadbytečné? Konkrétně (mám aktivováno):
action: accept
chain: forward
src. address: 192.168.88.201
dst. address: 192.168.88.0/24
in interface: neuvedeno
out interface: neuvedeno

2. Chci blokovat jakékoliv odchozí pakety DO internetu
action: drop (nebo reject?)
chain: forward
src. address: ??
dst. address: ??
in interface: ??
out interface: ??

Vymyslel jsem:
action: drop
chain: forward
src. address: 192.168.88.201
dst. address: neuvedeno
in interface: !gateway
out interface: !gateway

3. Chci blokovat jakékoliv možné příchozí pakety Z internetu
action: drop (nebo reject?)
chain: forward
src. address: ??
dst. address: ??
in interface: ??
out interface: ??

Tohle jsem vymyslel následovně (zatím neaplikováno):
action: drop
chain: forward
src. address: neuvedeno
dst. address: 192.168.88.201
in interface: gateway
out interface: neuvedeno

Nebo stačí na blokování čehokoliv z venku obecná pravidla (mám aplikováno)?
1.
action: drop
chain: input
src. address: neuvedeno
dst. address: neuvedeno
in interface: gateway
out interface: neuvedeno
2.
action: drop
chain: input
src. address: neuvedeno
dst. address: neuvedeno
in interface: pppoe-out1
out interface: neuvedeno

------------
Díky za pomoc a případné vysvětlení. Zda mám pravidla vytvořena pořádně (z virtuálních strojů se na internet nedostanu, na PC v síti i do druhého virtuálního stroje ano). Co je zbytečné a naopak doplnit.

Předmět Autor Datum
1. pokud neroutuješ mezi rozhraními v LAN (tj. jsou v bridge), tak povolení forwardu pro LAN řešit n…
touchwood 11.12.2013 14:13
touchwood
Díky. Takže, pravidlo 1. je nadbytečné, pokud mám zatím jej jednu "síť" (192.168.88.0/24)? Změní se…
L-Core 11.12.2013 14:28
L-Core
ad hosté: Až si přidáš další LAN síť, oddělenou, budeš muset řešit její oddělení a routing, takže vi…
touchwood 11.12.2013 14:59
touchwood
Dělám v tom asi chaos, tu síť pro hosty jsem pochopitelně myslel jako WLAN (wireless). Ale to teď ne…
L-Core 11.12.2013 15:10
L-Core
aha, tak prostě další VLAN ve WLAN- principiálně se nic nemění, jen se změní fyzické porty routeru.…
touchwood 11.12.2013 15:17
touchwood
Jo, NAT, maškaráda, dvě pravidla: action: masquerade chain: srcnat src. address: neuvedeno dst. add… nový
L-Core 11.12.2013 15:47
L-Core
pak nic z hlediska WAN->LAN řešit nemusíš nový
touchwood 11.12.2013 17:09
touchwood
Hned su klidnější :) Díky za spolupráci! poslední
L-Core 12.12.2013 11:52
L-Core

1. pokud neroutuješ mezi rozhraními v LAN (tj. jsou v bridge), tak povolení forwardu pro LAN řešit nemusíš
2. v podstatě stačí zakázat v tabulce forward směr od 192.168.88.201 kamkoli (0.0.0.0/0), dtto pro druhý VPC a obráceně 0.0.0.0/0 směr 192.168.88.201 (pokud máš nějak složitěji mapovaná pravidla pro portforwarding, pokud máš běžný NAT, není toto potřeba)

edit:
stačí tedy toto:

action: drop
chain: forward
src. address: 192.168.88.201
dst. address: neuvedeno
in interface: bridge (nebo nemusíš uvádět)
out interface: gateway (neb nemusíš uvádět)

Díky.

Takže, pravidlo 1. je nadbytečné, pokud mám zatím jej jednu "síť" (192.168.88.0/24)?
Změní se něco, pokud dodělám síť pro hosty, jak o tom píše v 3. části článku JaFi? Přidám 192.168.5.0/24, kteří nebudou mít povolen přístup do 192.168.88.0/24, jen na internet. Pak si myslím, že bych tam pravidlo mít měl, aby mi na LAN 192.168.88.0/24 nelezli hosté. Nebo jim to zakázat takto?
action: drop
chain: forward
src. address: 192.168.5.0/24
dst. address: 192.168.88.0/24
in interface: neuvedeno
out interface: !gateway

2. to je pro odchozí komunikaci?
Aplikoval jsem, internet nefunguje (což chci), LAN ano, oběma směry
Když ale z toho virtuálního PC v MSIE zadám třeba "pc.poradna.net", ve statusbaru se píše "Připojování k serveru 92.240.atd", DNS tedy funguje, to není nějaká chybka či bezpečností riziko? Vím, tohle zabezpečuje router, ne ten virtuální stroj.

3. příchozí komunikaci nemusím nijak řešit?

-----
Předpokládám, že podobně to bude i pro TV, kterou chci využít jako DLNA, ale nepustit ji ven a nedovolit ničemu z venku se na TV dostat.

ad hosté:
Až si přidáš další LAN síť, oddělenou, budeš muset řešit její oddělení a routing, takže virtuály řešit separátně nemusíš, pokud neccheš, aby měly vzhledem k druhé LAN síti jiná opravnění, než mají nevirtuály v síti 192.168.88.0/24

To pravidlo, které jsi uvedl nebude mít žádný účinek. Pro vytvoření hostovské sítě budeš muset jeden port vyčlenit mimo stávající bridge a rozhraní, o která půjde budou bridge a LAN_net5 port (řešíš routing mezi LAN segmenty), gateway řešit budeš jen s ohledem k přístupu LAN_5 do internetu.

ad DNS:
V tomto případě bys musel pro dané IP adresy VPC přidat pravidla do INPUT tabulky, která zakáží přístup daným dvěma IP na porty 53/TCP a 53/UDP

Dělám v tom asi chaos, tu síť pro hosty jsem pochopitelně myslel jako WLAN (wireless). Ale to teď nechci řešit, aby mě zas nebolela hlava :-) Stejně tu žádné wifi zařízené teď nemám, na čem bych zkoušel účinky.

To pravidlo na zákaz přístupu (wifi) hostů do (metalické) LAN jsem vyčetl v JaFiho článku, snad jsem to neopsal blbě..

Blokovat DNS je na těch virtuálech asi zbytečnost, ne?

A pro jistotu, pořád mi leží v hlavě ten můj bod 3. Je pěkné, že si zakážu odchozí spojení, ale nemůže se mi i tak něco dovnitř na ty virtuální stroje dostat zvenčí? To nemusím nějakým samostatným pravidlem řešit? Nebo to řeší obecná pravidla, jak jsem uvedl v prvním postu, tedy:
1.
action: drop
chain: input
src. address: neuvedeno
dst. address: neuvedeno
in interface: gateway
out interface: neuvedeno
2.
action: drop
chain: input
src. address: neuvedeno
dst. address: neuvedeno
in interface: pppoe-out1
out interface: neuvedeno

aha, tak prostě další VLAN ve WLAN- principiálně se nic nemění, jen se změní fyzické porty routeru.

ad DNS: ano, v podstatě je to zbytečné.

ad virtuály: pokud používáš NAT, tak ne. Musel bys mít hodně divoce nastavený DNAT (alias portforwarding). Jediný, kdo se na ně dostane, budou stanice v LAN.

pokusím se ti vysvětlit pravidla cos uvedl:
To první používá tabulku INPUT, aplikuje se tedy pouze na pakety, jejichž cíl je samotný router (stroj na kterém běží dané FW pravidlo).
To druhé je totožné, jediný rozdíl je v tom, že je použito jiného rozhraní, a to virtuálního PPP tunelu, kdežto v prvním případě šlo o fyzické rozhraní.

Zpět do poradny Odpovědět na původní otázku Nahoru