Firewall

[sincerbex]

ciao a tutti,
avrei la necessità di settare il firewall a dovere.
la mia domanda è:
devo settare il firewall di ogni singola cpe oppure posso settare a monte il firewall del pppoe server(dato che tutto il traffico passa da la)??
vorrei chiudere tutte le porte i ping dall'esterno,i tentativi d attacco ddos, ecc..
pensavo di lasciarmi un canale d'accesso su un unico ip sotto vpn..
è giusto cosi?
inoltre volevo sapere se avete script pwe il filter rules o nat già pronti e aggiornati contro virus e attacchi in genere.. che mi consigliate??
grazie anticipatamente

[xanio]

Sicuramente il pppoe è il fulcro, ma considera anche il router di frontiera se è con RouterOS.

Io, eccetto le CPE che hanno una configurazione essenziale, tutti gli apparati con IP PUBBLICO sono con firewall.

Ecco qualche link simpatico
http://mum.mikrotik.com/presentations/US12/tom.pdf
http://wiki.mikrotik.com/wiki/Securing_New_RouterOs_Router
http://wiki.mikrotik.com/wiki/DoS_attack_protection
http://aacable.wordpress.com/2011/07/21/mikrotik-howto-redirect-http-traffic-to-squid-with-original-source-client-ip/

Buona lettura, facci sapere.

[sincerbex]

grazie per la risposta..ottimi link
l'idea mia è questa:
siccome non posso agire sul router in quanto non ne ho il controllo essendo del mio gestore(fastweb), vorrei agire sul pppoe server..
il router, il pppoe server e le cpe dei clienti sono sulla stessa subnet.
il mio gestore mi ha assegnato una subnet di ip pubblici che io assegno ai clienti attraverso il pppoe server.
quindi dovrei filtrare il traffico in ingresso su tutta la subnet.
come dico al pppoe server di far valere ogni regola per l'intera subnet?
cosi mi evito di settare il firewall di ogni cpe.giusto?

[sincerbex]

salve,
ora come se non bastasse ho notato un altro problema
le cpe dei miei clienti ottengono ip pubblico con un pppoe-client sull'interfaccia wlan1 e fin qui è tutto ok.
riscontro del traffico anomalo sul pppoe-client e di conseguenza sulla wlan da parte di indirizzi ip pubblici esterni ai miei e questi mi saturano upload che io do al cliente.
non so se rendo l'idea!!!
facendo un torch sul pppoe-client riesco a vedere questi ip e la quantità di traffico che generano.
a questo punto accadono 2 cose distinte.
1) o che lo stesso ip mi manda più sessioni di traffico (a volte anke x un totale di 3mega)
2) o che più ip diversi mi mandano la stessa quantità di traffico l'uno con l'altro.
Spero di essermi spiegato bene!!
Accertato questo, sono andato a vedere i log e non ho trovato nulla di strano,
ho controllato ip > services e mi sono assicurato di aver lasciato aperta solo la 8291,
ho controllato il firewall > nat e mi sono assicurarto di non avere porte aperte..

in extremis cambio ip pubblico al cliente e come per magia tutti qst "ATTACCHI" scompaiono...
Secondo voi si tratta di attacchi??se si di che tipo??
e come mi posso difendere??? Mi ci sto sbattendo la testa da giorni e giorni ma niente...
per dovere di cronaca, di seguito alcuni di questi ip incriminati:

31.186.250.127
192.200.161.58
5.135.177.205

grazie in anticipo per il vostro contributo..

[xanio]

Ciao, mettendo degli ip pubblici, automaticamente esponi la CPE agli attacchi diretti.
Quando cambi ip, gli attacchi scompaiono per MAGIA solo perchè quell'ip NUOVO non è bersaglio in quel momento.
In linea di massima si tratta di attacchi "esplorativi" di BOT che prendono range di ip pubblici e controllano ad uno ad uno ogni host che possa rispondere.

Rileggendo il topic io agirei in questo modo:

ROUTER FastWeb -> PPPOE Server -> SWITCH APPARATI -> CPE CLIENTI

in questo modo tutto il traffico arriva sul PPPOE server e posso gestire il traffico in maniera adeguata.

Nel tuo caso avere lan router / pppoe / clienti sulla stessa subnet non è buono, in quanto il pppoe è "facilmente" bypassabile.

[sincerbex]

ciao,
ma già la mia configurazione è cosi,
ROUTER FastWeb -> PPPOE Server -> SWITCH APPARATI -> CPE CLIENTI

come posso agire sul firewall del pppoe server per evitare tutto ciò?

[maxumi]

Ciao, hai più risolto quel problema del traffico anomalo?
Anche io ho una situazione analoga alla tua. (per quanto riguarda il traffico)

[sincerbex]

Ciao,
ho risolto principalmente droppando tutto il traffico che entrava dalla porta dns(53) sia tcp che upp.
cosi ho risolto almeno il 50% dei problemi. per il resto del traffico ho agito controllando e filtrando l'uso delle porte 21,22,23,80 dall'esterno verso l'interno.