Problema con firewall

da **dax** » mer 5 nov 2014, 20:25

Ciao a tutti, dovrei configurare una rb per bloccare alcuni ip ma non riesco a farlo: ho due siti (sito a e sito b) collegati tra di loro con due rb433ah e come radio due r52hn. La classe ip è la medesima per entrambi i siti ovvero 192.168.1.0/24.
Nel sito b sono presenti due device che vorrei fare in modo che siano raggiungibili solo dalla lan del sito b e non dalla lan del sito a. Gli ip da bloccare sono 192.168.1.20 e 192.168.1.21.
Quindi mi collego alla rb del sito b ed imposto

Codice: Seleziona tutto: ip firewall filter add chain=input src-address=192.168.1.20 action=drop ip firewall filter add chain=input src-address=192.168.1.21 action=drop

Purtroppo però dalla lan del sito a continuo a pingare entrambi gli ip.
Dovrebbe essere una cosa di una semplicità disarmante eppure ci sto sbattendo la testa da due giorni. Dove sbaglio?
Allego schema per eventuali chiarimenti
Grazie a tutti.

da **ppraz** » mer 5 nov 2014, 23:03

devi mettere chain=forward

da **dax** » gio 6 nov 2014, 9:24

ppraz ha scritto:devi mettere chain=forward

Grazie, avevo già provato. Comunque anche cosi

Codice: Seleziona tutto: ip firewall filter add chain=forward src-address=192.168.1.20 action=drop ip firewall filter add chain=forward src-address=192.168.1.21 action=drop

dal sito a continuo ad ottenere

Codice: Seleziona tutto: ping 192.168.1.20 PING 192.168.1.20 (192.168.1.20) 56(84) bytes of data. 64 bytes from 192.168.1.20: icmp_seq=1 ttl=64 time=199 ms 64 bytes from 192.168.1.20: icmp_seq=2 ttl=64 time=2.20 ms 64 bytes from 192.168.1.20: icmp_seq=3 ttl=64 time=75.2 ms 64 bytes from 192.168.1.20: icmp_seq=4 ttl=64 time=9.71 ms 64 bytes from 192.168.1.20: icmp_seq=5 ttl=64 time=62.6 ms

da **xanio** » gio 6 nov 2014, 11:36

io aggiungerei anche un dst-address per restringere il campo

da **dax** » gio 6 nov 2014, 11:56

xanio ha scritto:io aggiungerei anche un dst-address per restringere il campo

Grazie xanio, ma con entrambi i modi continuo a pingare

Codice: Seleziona tutto: ip firewall filter add chain=forward src-address=192.168.1.20 dst-address=192.168.1.20 action=drop

Codice: Seleziona tutto: ip firewall filter add chain=forward src-address=192.168.1.20 dst-address=0.0.0.0/0 action=drop

Possibile che non funzioni una cosa cosi semplice? Potrebbe dipendere dalla configurazione della rb?

da **dax** » gio 6 nov 2014, 16:36

Non mi sembra possibile di non riuscire a fare una cosa cosi banale. Posto per intero le configurazioni della rb

Codice: Seleziona tutto: interface bridge add name=my-bridge / interface bridge port add interface=ether2 bridge=my-bridge / interface wireless security-profiles add name=wpa1 mode=dynamic-keys authentication-types=wpa2-psk unicast-ciphers=tkip group-ciphers=tkip wpa2-pre-shared-key=passwd1 / interface wireless security-profiles add name=wpa2 mode=dynamic-keys authentication-types=wpa2-psk unicast-ciphers=tkip group-ciphers=tkip wpa2-pre-shared-key=passwd2 / interface wireless set wlan1 mode=ap-bridge radio-name=radio1h frequency=5220 ssid=ssid1 security-profile=prof1 wds-mode=dynamic wds-default-bridge=my-bridge hw-retries=15 max-station-count=3 disabled=no / interface wireless set wlan2 mode=ap-bridge radio-name=radio2v frequency=5300 ssid=ssid2 security-profile=prof2 wds-mode=dynamic wds-default-bridge=my-bridge hw-retries=15 max-station-count=3 disabled=no / ip address add address=192.168.1.18/24 interface=my-bridge / ip firewall connection tracking set enabled=no

Andrebbero ovviamente aggiunte le regole di firewall (se mai riuscirò a trovarle)
Qualche considerazione inunfluente con il mio problema:
-alla rb433 sono collegate due radio rb52hn, una collegata ad un' antenna in pol h ed una in pol v
-come interfaccia uso la eth2 perchè la eth1 la utilizzo per farci passare solamente il poe
Routeros 6.21.1

da **Linkwave** » gio 6 nov 2014, 17:50

Stai lavorando in un bridge ed ignori sia il funzionamento delle chain del firewall che del packet flow.

Queste sono le 5 righe da copiare ed incollare sul router del sito B:

Codice: Seleziona tutto: /interface bridge settings set use-ip-firewall=yes /ip firewall filter add action=drop chain=forward dst-address=192.168.1.20 out-bridge-port=ether2 add action=drop chain=forward dst-address=192.168.1.21 out-bridge-port=ether2

Dopodiché dovrai cliccare su quel bel pulsantone giallo, con i bordi arrotondati, che trovi a fondo pagina

Lorenzo

da **figheras** » gio 6 nov 2014, 18:18

Linkwave ha scritto:Dopodiché dovrai cliccare su quel bel pulsantone giallo, con i bordi arrotondati, che trovi a fondo pagina Lorenzo

Hahahahahahahah :lol:

ben detto!!

da **dax** » ven 7 nov 2014, 9:58

Linkwave ha scritto:Stai lavorando in un bridge ed ignori sia il funzionamento delle chain del firewall che del packet flow.

Grazie mille. Qui ti devo dare pienamente ragione, ignoro queste cose e, purtroppo, anche molte altre.Una configurazione iptables ad hoc sul server dell' azienda sono riuscito a farla (con non poche difficoltà). Qui dubito che sarei riuscito a trovare la soluzione... Anche per il fatto che il firewall andasse abilitato sul bridge.

Linkwave ha scritto:Queste sono le 5 righe da copiare ed incollare sul router del sito B:

Qualora ti servisse conferma... Funziona perfettamente!

Linkwave ha scritto:Dopodiché dovrai cliccare su quel bel pulsantone giallo, con i bordi arrotondati, che trovi a fondo pagina

Fatto anche questo

se dovesse servire il numero di transazione fatemi sapere a chi devo inviarlo in pm.
Grazie
P.S. adesso vado a giocare con le 953 che mi sono appena arrivate

da **Linkwave** » ven 7 nov 2014, 13:18

dax ha scritto:Qualora ti servisse conferma... Funziona perfettamente!

Ottimo!

Lorenzo

Problema con firewall

Problema con firewall

Re: Problema con firewall

Re: Problema con firewall

Re: Problema con firewall

Re: Problema con firewall

Re: Problema con firewall

Re: Problema con firewall

Re: Problema con firewall

Re: Problema con firewall

Re: Problema con firewall

Chi c’è in linea