Mikrotik

[Bisqp]

Zna się ktoś na konfiguracji Mikrotika? Chodzi mi o ustawienia firewalla, przycięciu liczby pakietów i p2p na RB333

[politan]

Przeczytałeś coś stąd ? >> KLIK <<.

[Bisqp]

Tak, chodzi mi o gotowe skrypty.

[politan]

Jeżeli chodzi o gotowy skrypt firewalla to:

/ip firewall connection tracking 

set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=1d \

    tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no \

    tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s

/ip firewall filter 

add action=accept chain=accept_list comment="Forward HTTP to webserver" dst-address=192.168.11.10 dst-port=80 protocol=tcp 

add action=accept chain=accept_list comment="Forward HTTPS to webserver" dst-address=192.168.11.10 dst-port=443 \

    protocol=tcp 

add action=accept chain=accept_list comment="Forward FTP to Server" dst-address=192.168.11.10 dst-port=21 protocol=tcp 

add action=accept chain=accept_list comment="Forward RDP to Server" dst-address=192.168.11.10 dst-port=3389 protocol=tcp \

    src-port=3389 

add action=drop chain=known_viruses comment="windows - not EXACTLY a virus" dst-port=135-139 protocol=tcp 

add action=drop chain=known_viruses comment="windows - not EXACTLY a virus" dst-port=135-139 protocol=udp 

add action=drop chain=known_viruses comment="winXP netbios not EXACTLY a virus" dst-port=445 protocol=udp 

add action=drop chain=known_viruses comment="winXP netbios not EXACTLY a virus" dst-port=445 protocol=tcp 

add action=drop chain=known_viruses comment="msblast worm" dst-port=593 protocol=tcp 

add action=drop chain=known_viruses comment="msblast worm" dst-port=4444 protocol=tcp 

add action=drop chain=known_viruses comment="WITTY worm" dst-port=4000 protocol=tcp 

add action=drop chain=known_viruses comment="SoBig.f worm" dst-port=995-999 protocol=tcp 

add action=drop chain=known_viruses comment="SoBig.f worm" dst-port=8998 protocol=tcp 

add action=drop chain=known_viruses comment="beagle worm" dst-port=2745 protocol=tcp 

add action=drop chain=known_viruses comment="beagle worm" dst-port=4751 protocol=tcp 

add action=drop chain=known_viruses comment="SQL Slammer" dst-port=1434 protocol=tcp 

add action=drop chain=bad_people comment="Known Spammer" src-address=81.180.98.3 

add action=drop chain=bad_people comment="Known Spammer" src-address=24.73.97.226 

add action=drop chain=bad_people comment="http://isc.incidents.org/top10.html listed" src-address=67.75.20.112 

add action=drop chain=bad_people src-address=218.104.138.166 

add action=drop chain=bad_people src-address=212.3.250.194 

add action=drop chain=bad_people src-address=203.94.243.191 

add action=drop chain=bad_people src-address=202.101.235.100 

add action=drop chain=bad_people src-address=58.16.228.42 

add action=drop chain=bad_people src-address=58.248.8.2 

add action=drop chain=bad_people src-address=202.99.11.99 

add action=drop chain=bad_people src-address=218.52.237.219 

add action=drop chain=bad_people src-address=222.173.101.157 

add action=drop chain=bad_people src-address=58.242.34.235 

add action=drop chain=bad_people src-address=222.80.184.23 

add action=accept chain=forward comment="Allow WIFI access to ALL" src-address=192.168.22.0/24 

add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist 

add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new \

    dst-port=22 protocol=tcp src-address-list=ssh_stage3 

add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new \

    dst-port=22 protocol=tcp src-address-list=ssh_stage2 

add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new \

    dst-port=22 protocol=tcp src-address-list=ssh_stage1 

add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new \

    dst-port=22 protocol=tcp 

add action=drop chain=input comment="allows only 10 FTP login incorrect answers per minute" dst-port=21 protocol=tcp \

    src-address-list=ftp_blacklist 

add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp 

add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content="530 Login \

    incorrect" protocol=tcp 

add action=drop chain=forward comment="drop invalid connections DELETE" connection-state=invalid 

add action=drop chain=forward comment="Blocks SSH" dst-port=22 protocol=tcp 

add action=jump chain=forward comment="Known virus ports DELETE" jump-target=known_viruses 

add action=jump chain=forward comment="kill known bad source addresses DELETE" jump-target=bad_people 

add action=jump chain=forward comment="Jump to Accepted List" jump-target=accept_list 

add action=accept chain=forward comment="allow established connections DELETE" connection-state=established 

add action=accept chain=forward comment="allow related connections DELETE" connection-state=related 

add action=accept chain=forward comment="Allow All"

/ip firewall nat 

add action=masquerade chain=srcnat src-address=192.168.11.0/24 

add action=dst-nat chain=dstnat dst-address=24.16.119.193 dst-port=3389 protocol=tcp to-addresses=192.168.11.10

add action=dst-nat chain=dstnat dst-address=24.16.119.193 dst-port=80 protocol=tcp to-addresses=192.168.11.10

add action=dst-nat chain=dstnat dst-address=24.16.119.193 dst-port=21 protocol=tcp to-addresses=192.168.11.10

add action=dst-nat chain=dstnat dst-address=24.16.119.193 dst-port=443 protocol=tcp to-addresses=192.168.11.10

[Bisqp]

Super, o to mi właśnie chodzi, chociaż większość z tych wpisów mam. Masz może coś na przycięcie rapidsharów itp? p2p poprzycinałem i się trochę uspokoiło, ale dalej kilku klientów mi zamula MT

[politan]

Mogę ci dać na zablokowanie całkowitego dostępu do rapidshare. W sumie podam ci a może sam wymyślisz coś na cięcia mając adresy IP .

/ip firewall filter

add action=drop chain=forward comment="" disabled=no dst-address=62.67.46.0/24 dst-port=80 protocol=tcp

add action=drop chain=forward comment="" disabled=no dst-address=62.67.57.0/24 dst-port=80 protocol=tcp

add action=drop chain=forward comment="" disabled=no dst-address=64.214.225.0/24 dst-port=80 protocol=tcp

add action=drop chain=forward comment="" disabled=no dst-address=64.215.245.0/24 dst-port=80 protocol=tcp

add action=drop chain=forward comment="" disabled=no dst-address=80.129.35.0/24 dst-port=80 protocol=tcp

add action=drop chain=forward comment="" disabled=no dst-address=80.231.56.0/24 dst-port=80 protocol=tcp

add action=drop chain=forward comment="" disabled=no dst-address=80.239.151.0/24 dst-port=80 protocol=tcp

add action=drop chain=forward comment="" disabled=no dst-address=80.239.159.0/24 dst-port=80 protocol=tcp

add action=drop chain=forward comment="" disabled=no dst-address=80.239.226.0/24 dst-port=80 protocol=tcp

add action=drop chain=forward comment="" disabled=no dst-address=80.239.236.0/24 dst-port=80 protocol=tcp

add action=drop chain=forward comment="" disabled=no dst-address=82.129.35.0/24 dst-port=80 protocol=tcp

add action=drop chain=forward comment="" disabled=no dst-address=82.129.36.0/24 dst-port=80 protocol=tcp

add action=drop chain=forward comment="" disabled=no dst-address=82.129.39.0/24 dst-port=80 protocol=tcp

add action=drop chain=forward comment="" disabled=no dst-address=195.122.131.0/24 dst-port=80 protocol=tcp

add action=drop chain=forward comment="" disabled=no dst-address=195.219.1.0/24 dst-port=80 protocol=tcp

add action=drop chain=forward comment="" disabled=no dst-address=206.57.14.0/24 dst-port=80 protocol=tcp

add action=drop chain=forward comment="" disabled=no dst-address=207.138.168.0/24 dst-port=80 protocol=tcp

add action=drop chain=forward comment="" disabled=no dst-address=212.162.2.0/24 dst-port=80 protocol=tcp

add action=drop chain=forward comment="" disabled=no dst-address=212.162.63.0/24 dst-port=80 protocol=tcp

[Bisqp]

Dzięki wielkie. Nie chcę całkiem przycinać ludziom rapida bo będą zaraz płakać chcę tylko trochę przyciąć żeby mi MT nie zamulało. Te IP w Twoim kodzie to adresy serwerów rapida?

[politan]

Skrypt ma już trochę czasu ale tak, to adresy serwerów rapida.

[Bisqp]

to juz działa, wielkie dzięki

Ale mam następny problem:

Mam postawiony serwer pppoe na RB1100 do którego logują mi się klienci drogą radiową. Mają tam ładnie poprzycinane łącze do odpowiedniego uploadu i downloadu, tak żeby nie zapchać łącza. Wszystko działa ok. Problem występuje gdy podłączam mikrotik 450G po kabelku lan do RB1100. Gdy tylko ten się zaloguje po pppoe wtedy ma pełny dostęp do całego łącza, bez żadnych limitów, pomimo tego że ma ustawione wartości w queues. Do tego, jak podłączę komputer kabelkiem do RB1100 to dostaję adres po dhcp z mikrotika 450G i nie muszę się logować przez pppoe. DHCP na 450G jest i musi być włączone. Jakieś pomysły jak to naprawić?

[politan]

Do tego, jak podłączę komputer kabelkiem do RB1100 to dostaję adres po dhcp z mikrotika 450G i nie muszę się logować przez pppoe.

Jak to możliwe, że podłączając się do RB1100 dostajesz IP z całkowicie innego urządzenia ? Hm.. Jakie masz IP do RB1100 i 450G?

[Bisqp]

No dlatego też mnie to dziwi. Na RB1100 mam 92.55.195.x a na 450g mam 10.89.102.x

A po pppoe 450g dostaje adres 10.1.1.x

[politan]

RB1100 ma adres z puli "publicznych" IP a 450G z puli prywatnych sieci RFC1918. Może to jest problemem.

[Bisqp]

Już się uporałem z tym problemem ograniczania łącza. Tylko dalej jest kicha z DHCP. Wrzucę rysuneczek który zrobiłem na szybko, może pomoże wyobrazić sobie sytuację

W mojej sieci jest tak, że klienci łączą się radiowo do mikrotika na dachu budynku. Logują się szerokopasmowo do Mikrotika z serwerem pppoe i mają internet Po samym połączeniu się do mikrotika na dachu, bez logowania, jest tak, że jest połączenie "z ograniczonym dostępem", bez nadanego ip i internetu. I tak mi się podoba, bo nikt "na lewo" (bez swojego loginu i hasła) mi się nie podłączy i nie będzie miał internetu za darmo.

Teraz problem wygląda tak, że jak podłączę 450G lanikiem do mikrotika z serwerem pppoe (RB1100) to wszystko gra, jest internet i na 450G i na wifi, tyle że DHCP z 450G nadaje swoje ipiki nawet tym którzy się podłączą do mikrotika na dachu, bez żadnego logowania itp. A tak być nie może, bo teraz każdy może mi grzebać w sieci.

Już doszedłem do tego, że na RB1100 jest taki fajny przełącznik "bypass" obejmujący dwa gniazda eth (pod jedno z nich podłączyłem 450G). Teraz jest tak że dalej 450G nadaje ip wszystkim, ale już nie ma dostępu do internetu.

Ufff mam nadzieję że w miarę jasno wytłumaczyłem o co mi chodzi

-----------------------------------------------------------------------

Już chyba znalazłem Dopisałem regułki w Bridgach na mikrotiku na dachu i na RB1100

chain=forward action=drop

src-mac-address=!XX:XX:XX:XX:XX:XX/FF:FF:FF:FF:FF:FF mac-protocol=ip

dst-port=68 ip-protocol=udp

gdzie XX:XX:XX:XX:XX:XX to MAC adres mikrotika na którym wpisywana jest regułka

i jak narazie wszystko hula i lata

[Bisqp]

a znasz się na ustawianiu QoS na konkretnego klienta? Chodzi mi o ustawienie gwarantowanego pasma. Mam przydzielone po 4 Mb downloadu i uploadu, a czasem jest wykorzystywane całe (podłączony Urząd Gminy, wszyscy zaczynają ściągać/wysyłać pocztę). Chciałbym żeby było tak ustawione ze przynajmniej 512 Kb/s zawsze będzie dostępne (np. na otwieranie stron).

Jakieś pomysły?

[politan]

Myślę że na wiki Mikrotika znajdziesz odpowiedź: http://wiki.mikrotik.com/wiki/Main_Page