5 minuti per cambiare router.

[lalo]

Buona sera ragazzi sto eliminando un zeroshell da una rete perchè è semplicemente ingestibile.
Ora sto installando una rB2011 la questione è però fastidiosa perchè ho 5 minuti di tempo per togliere zeroshell e mettere la RB con la configurazione funzionante.

Diciamo che la tipologia di configurazione la ho affrontata diverse volte ma mai con modem in bridge e ip wan multipli.

Quindi vorrei risolvere un paio di dubbi sulla configurazione.

Codice: Seleziona tutto

Imposto IP

add address=1.1.1.114/28 interface=ether1-gateway disabled=no comment=IP-1-WAN
add address=1.1.1.115/28 interface=ether1-gateway disabled=no comment=IP-2-WAN
add address=1.1.1.116/28 interface=ether1-gateway disabled=no comment=IP-3-WAN
add address=10.5.2.1/16 interface=bridge-local disabled=no comment=IP-LAN


Fino a qui tutto regolare.
Vedo però sul vecchio zeroshell che il default GW è 1.1.1.113 e il mikrotik mi da quanto segue..
Devo creare uan nuova route statica come la regola 1 che però abbia il .113?

Codice: Seleziona tutto

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 ADC  10.5.0.0/16        10.5.2.1        bridge-local              0
1 ADC  1.1.1.112/28   1.1.1.114   ether1-gateway            0
2 ADC  192.168.88.0/24    192.168.88.1    bridge-local              0

Passiamo alla creazione della regola per il firewall.
Prendiamo come esempio la regola per il mail server, è giusto specificare la regola con src-address=1.1.1.114 per dire il traffico su quelle porte proveniente da .114 mettilo in forward verso il dst-address 10.5.1.5?

Codice: Seleziona tutto

0    chain=input action=accept protocol=tcp src-address=1.1.1.114 in-interface=ether1-gateway port=8291 log=no log-prefix=""

1    ;;; ICMP Accept
      chain=input action=accept protocol=icmp log=no log-prefix=""

2    ;;; enstablished
      chain=input action=accept connection-state=established log=no log-prefix=""

3    ;;; related
      chain=input action=accept connection-state=related log=no log-prefix=""

4 X  ;;; default configuration
      chain=input action=drop in-interface=sfp1-gateway log=no log-prefix=""

5    ;;; drop
      chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""

6    chain=forward action=accept protocol=tcp src-address=1.1.1.114 dst-address=10.5.1.5 in-interface=ether1-gateway
      port=25,80,110,143,443,465,587,993,995 log=no log-prefix=""

7    ;;; entstablished
      chain=forward action=accept connection-state=established log=no log-prefix=""

8    ;;; related
      chain=forward action=accept connection-state=related log=no log-prefix=""

9    ;;; invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

E successivamente al forward faccio il NAT in questa maniera con lo stesso concetto

Codice: Seleziona tutto

0 X  ;;; default configuration
      chain=srcnat action=masquerade out-interface=sfp1-gateway log=no log-prefix=""

1    chain=dstnat action=dst-nat to-addresses=10.5.1.5 protocol=tcp src-address=1.1.1.114 in-interface=ether1-gateway
      dst-port=25,80,110,143,443,465,587,993,995 log=no log-prefix=""

2    ;;; masquerade
      chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=ether1-gateway log=no log-prefix=""


Capito questo concetto di come viene gestito l' ip pubblico di provenienza sono autonomo.
Purtroppo ho bisogno di chiedervi aiuto perche non mi posso permettere test in quando ho 5 minuti per switchare le macchine, quindi devo andare a colpo sicuro.


Grazie

[lalo]

Mi basterebbe sapere come si definisce una regola FILTER e la relativa NAT con più ip pubblici.

Adesso per un accesso ssh con ip unico faccio

Codice: Seleziona tutto

FIREWALL RULE
General:
Chain Forward
Protocol 6 (tcp)
Any Port 22

Action:
Action: Accept

Codice: Seleziona tutto

NAT
General:
Chain: dstnat
Protocol: 6 (tcp)
Dst. Port: 22
In Interface: ether1
Action:
Action:dst-nat
To Address: 10.0.1.13
To Ports: 22


Nel caso in cui avessi ether1 con 3 ip pubblici 1.1.1.114,115,116

come faccio ad applicare per esempio l' ip 1.1.1.114 alla regola sopra descritta sia per il filter che per il NAT?

[ppraz]

Ciao,
non ho capito molto bene quello che vuoi fare, ma provo a darti qualche dritta:
Il default gateway lo imposti creando una rotta con dst-address=0.0.0.0/0 (e gateway 1.1.1.113)
Di default mikrotik ha una "ACCEPT any" con terminologia IPTABLES
Quindi se non metti regole su FILTER di default passa tutto.
Nelle NAT puoi specificare src-nat o masquerade, masquerade imposta come src-address il primo degli IP sulla interfaccia WAN, quindi il 114, se metti src-nat puoi specificare un diverso IP, lo fai per bilanciare il traffico sui vari ip?
Nelle regole filter non specificare l'ip con cui uscirai, ma solo gli ip di origine e le porte, quindi ad esempio se vuoi proibire il traffico SMTP metti come regola

Codice: Seleziona tutto

/ip firewall filter add chain=forward src-address=10.5.0.0/16 procotol=tcp dst-port=25 action=drop

Fammi sapere se ti ho dato le dritte giuste.
ciao

[lalo]

Allora grazie per la risposta intanto,
Per il gateway ora è chiaro.

Per filtering e nat.
Io devo chiudere tutto e creare delle regole in ingresso solo per quello che mi interessa far passare.
Questa è un altra configurazione che ho fatto su cui mi baso per spiegare cosa vorrei ottenere:
FILTER

Codice: Seleziona tutto

0   ;;; WINBOX WAN
     chain=input action=accept protocol=tcp in-interface=pppoe-alice port=8291

1   ;;; PPTP 1723 SERVER WAN
     chain=input action=accept protocol=tcp in-interface=pppoe-alice port=1723

2   ;;; PPTP GRE SERVER WAN
     chain=input action=accept protocol=gre in-interface=pppoe-alice

3   ;;; default configuration
     chain=input action=accept protocol=icmp

4   ;;; default configuration
     chain=input action=accept connection-state=established

5   ;;; default configuration
     chain=input action=accept connection-state=related

6   ;;; default configuration
     chain=input action=drop in-interface=pppoe-alice

7 X ;;; default configuration
     chain=input action=drop in-interface=sfp1-gateway

8   ;;; SSH FW con NAT
     chain=forward action=accept protocol=tcp port=22

9   ;;; SRVSC RDP con NAT
     chain=forward action=accept protocol=tcp port=3389

10   ;;; default configuration
     chain=forward action=accept connection-state=established

11   ;;; default configuration
     chain=forward action=accept connection-state=related

12   ;;; default configuration
     chain=forward action=drop connection-state=invalid


NAT

Codice: Seleziona tutto

0 X ;;; Regola LOG DELLE ATTIVITA NAT
     chain=dstnat action=log log-prefix="dstnat log"

1   chain=srcnat action=masquerade src-address=10.0.0.0/16

2   ;;; SSH NAT
     chain=dstnat action=dst-nat to-addresses=10.0.1.13 to-ports=22 protocol=tcp in-interface=pppoe-alice dst-port=22 port=""

3   ;;; SRVSC RDP NAT
     chain=dstnat action=dst-nat to-addresses=10.0.0.40 to-ports=3389 protocol=tcp in-interface=pppoe-alice dst-port=3389

4   ;;; default configuration
     chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=ether1-gateway

5 X ;;; default configuration
     chain=srcnat action=masquerade out-interface=sfp1-gateway


Quindi dovrei aver tutto chiuso e passa in input solo WINBOX PPTP e GRE e in forward SSH FW e RDP

Per le due regolette di forward faccio SSH NAT e SRVSC RDP NAT.

La domanda che mi pongo è questa, sulla conf che ho postato ora ho un solo indirizzo ip pubblico.

Se io voglio fare in modo che SSH NAT abbia come origine l' ip pubblico 1.1.1.114 e SRVSC RDP NAT abbia l' ip 1.1.1.115 come devo fare?

Credo che io debba specificare in più l' indirizzo di sorgente quindi sulla regola filtering e nat devo specificare il Src.Address che è l' ip pubblico desiderato? Tutto qui?

[ppraz]

No, non è proprio come dici tu.
Avendo messo quelle regole in filter non hai cambiato nulla perché, come ti ho detto poc'anzi, RouterOS ha default ACCEPT sulle regole di firewall. Devi aggiungere, IN CALCE A TUTTO! una regola drop per rifiutare tutto quello che non è espressamente consentito nelle regole fatte da te.
Poi veniamo alle NAT,

Codice: Seleziona tutto

0 X ;;; Regola LOG DELLE ATTIVITA NAT
     chain=dstnat action=log log-prefix="dstnat log"

Non mettere qui i log, mettilo nelle regole di MANGLE

Codice: Seleziona tutto

1   chain=srcnat action=masquerade src-address=10.0.0.0/16

Qua magari specifica l'interfaccia di uscita, che deve essere la WAN, come ti accennavo, se qua "spezzi" la regola in tre regole, non di tipo masquerade ma di tipo src-nat, puoi specificare il campo to-addresses e mettere una volta il 114, una volta il 115 e una volta il 116

Codice: Seleziona tutto

2   ;;; SSH NAT
     chain=dstnat action=dst-nat to-addresses=10.0.1.13 to-ports=22 protocol=tcp in-interface=pppoe-alice dst-port=22 port=""

Questa non l'ho capita, nel senso che sembra che tu stia abilitando ssh in inbound verso l'host 10.0.1.13, ma nelle regole di filter non hai messo una regola di accept...

Codice: Seleziona tutto

3   ;;; SRVSC RDP NAT
     chain=dstnat action=dst-nat to-addresses=10.0.0.40 to-ports=3389 protocol=tcp in-interface=pppoe-alice dst-port=3389

Idem come sopra, metti regola filter o non funziona

Codice: Seleziona tutto

4   ;;; default configuration
     chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=ether1-gateway

5 X ;;; default configuration
     chain=srcnat action=masquerade out-interface=sfp1-gateway

[lalo]

Scusa posto i print screen di winbox in maniera che siano più chiare le regole create.
Vedi pdf allegato.
Le drop mi sembra di averle nella configurazione e mi sembra di averle postate anche sopra.
Anche la questione delle regole accept in filter sull inbound mi pare che ci siano

Mi sono perso sullo spezzare la regola del nat per specificare l' origine dell' indirizzo ip 114 115 116.

[ppraz]

Ciao,
vedo due drop ma non servono a quello che dico io, una droppa inbound, l'altra droppa se il connection state è invalid
manca una regola alla fine che droppa tutto quello non altrimenti specificato (chain forward), ad esempio così se un utente lan fa telnet verso porta 25 remota passa correttamente
poi mancano le regole di ACCEPT per connessioni SSH e RDP, l'hai scritto nei commenti ma non vedo la dst-port specificata, quindi non sono fatte bene quelle regole, stai accettando tutto e non solo ssh e rdp

per la storia di spezzare la rete intendo questo:
prendi la regola di nat "1"
src-address hai messo 10.0.0.0/16 action=masquerade
invece puoi fare
src-address = 10.0.0.0/17 action=src-nat to-address=1.1.1.114
src-address = 10.0.128.0/17 action=src-nat to-address=1.1.1.115
è solo un esempio ovviamente, ho spezzato in due parti uguali la /16

[lalo]

Non riesco prorio a trovarmi mi dispiace, e mi scuso se ti sto stressando ma a me non interessa gestire il traffico dall' interno della lan, se io in lan arrivo a tutto va benissimo per ora.

A me interessa che quando sono fuori azienda

per arrivare al server ssh uso ssh user@1.1.1.114
per scricare la posta il mio dns mail.dominio.it puntera all'ip pubblico 1.1.1.115
e gli agenti li configuro per puntare all' rdp all'ip pubblico 1.1.1.116

Questo è quello che mi preme far funzionare.

E ripeto ora con le mie regole attuali sta funzionando tutto solo che sto usando solo un indirizzo ip assegnato all' interfaccia pppoe, tra poco la interfaccia pppoe sarà sostituita con eth1 e 3ip statici che mi da l' isp 1.1.1.114/28 1.1.1.115/28 1.1.1.116/28 gateway 1.1.1.113 (1.1.1 sono valori casuali che sto inserendo io ora in quanto non conosco ancora gli indirizzi che mi daranno.

Quello che devo fare io tratto dal wiki di mikrotik http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT è
Source NAT ,Destination NAT ,1:1 mapping o Port mapping ??

Grazie e perdonami ma proprio non ne vado fuori

[lalo]

Ciao,

poi mancano le regole di ACCEPT per connessioni SSH e RDP, l'hai scritto nei commenti ma non vedo la dst-port specificata, quindi non sono fatte bene quelle regole, stai accettando tutto e non solo ssh e rdp

La porta è specificata su Any Port.

[ppraz]

Se fai una dst-nat inbound 1.1.1.114 -> 10.0.1.13
devi fare una src-nat outbound 10.0.1.13 -> 1.1.1.114
idem con le altre 2 regole

Poi se vuoi una regola firewall che consenta SOLO ssh e rdp devi mettere solo quelle due porte e non any port