Pomoc s nastavením FW routeru s RouterOS (MikroTik)
Router má IP 192.168.88.1
2x PC: 192.168.88.101, 192.168.88.102
Na počítačích běží virtuální stroje s IP: 192.168.88.201 a 192.168.88.202
Chci virtuálním strojům zakázat přístup na internet, chci zakázat čemukoliv z internetu zakázat přístup na tyto virtuální stroje. Komunikace v rámci LAN 192.168.88.0/24 všemi směry je povolena.
Nějak mi uniká vztah a význam source/destination address a in/out interface. Sedím na PC (z něj adminuju routerOS), ale měl bych to asi "chápat" z hlediska, jako bych seděl "v routeru".
Pravidla pro virtuální stroj (kupř. 192.168.88.201)
1. Mám vytvořit pravidlo, povolující komunikaci v LAN síti? Nebo je to nadbytečné? Konkrétně (mám aktivováno):
action: accept
chain: forward
src. address: 192.168.88.201
dst. address: 192.168.88.0/24
in interface: neuvedeno
out interface: neuvedeno
2. Chci blokovat jakékoliv odchozí pakety DO internetu
action: drop (nebo reject?)
chain: forward
src. address: ??
dst. address: ??
in interface: ??
out interface: ??
Vymyslel jsem:
action: drop
chain: forward
src. address: 192.168.88.201
dst. address: neuvedeno
in interface: !gateway
out interface: !gateway
3. Chci blokovat jakékoliv možné příchozí pakety Z internetu
action: drop (nebo reject?)
chain: forward
src. address: ??
dst. address: ??
in interface: ??
out interface: ??
Tohle jsem vymyslel následovně (zatím neaplikováno):
action: drop
chain: forward
src. address: neuvedeno
dst. address: 192.168.88.201
in interface: gateway
out interface: neuvedeno
Nebo stačí na blokování čehokoliv z venku obecná pravidla (mám aplikováno)?
1.
action: drop
chain: input
src. address: neuvedeno
dst. address: neuvedeno
in interface: gateway
out interface: neuvedeno
2.
action: drop
chain: input
src. address: neuvedeno
dst. address: neuvedeno
in interface: pppoe-out1
out interface: neuvedeno
------------
Díky za pomoc a případné vysvětlení. Zda mám pravidla vytvořena pořádně (z virtuálních strojů se na internet nedostanu, na PC v síti i do druhého virtuálního stroje ano). Co je zbytečné a naopak doplnit.
1. pokud neroutuješ mezi rozhraními v LAN (tj. jsou v bridge), tak povolení forwardu pro LAN řešit nemusíš
2. v podstatě stačí zakázat v tabulce forward směr od 192.168.88.201 kamkoli (0.0.0.0/0), dtto pro druhý VPC a obráceně 0.0.0.0/0 směr 192.168.88.201 (pokud máš nějak složitěji mapovaná pravidla pro portforwarding, pokud máš běžný NAT, není toto potřeba)
edit:
stačí tedy toto:
action: drop
chain: forward
src. address: 192.168.88.201
dst. address: neuvedeno
in interface: bridge (nebo nemusíš uvádět)
out interface: gateway (neb nemusíš uvádět)
Díky.
Takže, pravidlo 1. je nadbytečné, pokud mám zatím jej jednu "síť" (192.168.88.0/24)?
Změní se něco, pokud dodělám síť pro hosty, jak o tom píše v 3. části článku JaFi? Přidám 192.168.5.0/24, kteří nebudou mít povolen přístup do 192.168.88.0/24, jen na internet. Pak si myslím, že bych tam pravidlo mít měl, aby mi na LAN 192.168.88.0/24 nelezli hosté. Nebo jim to zakázat takto?
action: drop
chain: forward
src. address: 192.168.5.0/24
dst. address: 192.168.88.0/24
in interface: neuvedeno
out interface: !gateway
2. to je pro odchozí komunikaci?
Aplikoval jsem, internet nefunguje (což chci), LAN ano, oběma směry
Když ale z toho virtuálního PC v MSIE zadám třeba "pc.poradna.net", ve statusbaru se píše "Připojování k serveru 92.240.atd", DNS tedy funguje, to není nějaká chybka či bezpečností riziko? Vím, tohle zabezpečuje router, ne ten virtuální stroj.
3. příchozí komunikaci nemusím nijak řešit?
-----
Předpokládám, že podobně to bude i pro TV, kterou chci využít jako DLNA, ale nepustit ji ven a nedovolit ničemu z venku se na TV dostat.
ad hosté:
Až si přidáš další LAN síť, oddělenou, budeš muset řešit její oddělení a routing, takže virtuály řešit separátně nemusíš, pokud neccheš, aby měly vzhledem k druhé LAN síti jiná opravnění, než mají nevirtuály v síti 192.168.88.0/24
To pravidlo, které jsi uvedl nebude mít žádný účinek. Pro vytvoření hostovské sítě budeš muset jeden port vyčlenit mimo stávající bridge a rozhraní, o která půjde budou bridge a LAN_net5 port (řešíš routing mezi LAN segmenty), gateway řešit budeš jen s ohledem k přístupu LAN_5 do internetu.
ad DNS:
V tomto případě bys musel pro dané IP adresy VPC přidat pravidla do INPUT tabulky, která zakáží přístup daným dvěma IP na porty 53/TCP a 53/UDP
Dělám v tom asi chaos, tu síť pro hosty jsem pochopitelně myslel jako WLAN (wireless). Ale to teď nechci řešit, aby mě zas nebolela hlava Stejně tu žádné wifi zařízené teď nemám, na čem bych zkoušel účinky.
To pravidlo na zákaz přístupu (wifi) hostů do (metalické) LAN jsem vyčetl v JaFiho článku, snad jsem to neopsal blbě..
Blokovat DNS je na těch virtuálech asi zbytečnost, ne?
A pro jistotu, pořád mi leží v hlavě ten můj bod 3. Je pěkné, že si zakážu odchozí spojení, ale nemůže se mi i tak něco dovnitř na ty virtuální stroje dostat zvenčí? To nemusím nějakým samostatným pravidlem řešit? Nebo to řeší obecná pravidla, jak jsem uvedl v prvním postu, tedy:
1.
action: drop
chain: input
src. address: neuvedeno
dst. address: neuvedeno
in interface: gateway
out interface: neuvedeno
2.
action: drop
chain: input
src. address: neuvedeno
dst. address: neuvedeno
in interface: pppoe-out1
out interface: neuvedeno
aha, tak prostě další VLAN ve WLAN- principiálně se nic nemění, jen se změní fyzické porty routeru.
ad DNS: ano, v podstatě je to zbytečné.
ad virtuály: pokud používáš NAT, tak ne. Musel bys mít hodně divoce nastavený DNAT (alias portforwarding). Jediný, kdo se na ně dostane, budou stanice v LAN.
pokusím se ti vysvětlit pravidla cos uvedl:
To první používá tabulku INPUT, aplikuje se tedy pouze na pakety, jejichž cíl je samotný router (stroj na kterém běží dané FW pravidlo).
To druhé je totožné, jediný rozdíl je v tom, že je použito jiného rozhraní, a to virtuálního PPP tunelu, kdežto v prvním případě šlo o fyzické rozhraní.
Jo, NAT, maškaráda, dvě pravidla:
action: masquerade
chain: srcnat
src. address: neuvedeno
dst. address: neuvedeno
in interface: neuvedeno
out interface: gateway (v druhém pravidle pppoe-out1)
Nic jiného tam nemám, momentálně nepotřebuju nic (p2p, hry, cokoliv) forwardovat.
pak nic z hlediska WAN->LAN řešit nemusíš
Hned su klidnější :)
Díky za spolupráci!