Indice   FAQ  
Iscriviti  Login
Indice RouterOS RouterOS

Regola firewall

Tutto su questo sistema operativo linux based - Configurazioni, dubbi, problematiche &....

Regola firewall

Messaggioda wickerman75 » ven 6 mar 2020, 17:43

Vorrei un aiuto con questa configurazione
Ho un E410 della Cambium Network installato con questo ip nella rete 192.168.10.8 assegnato dalla Routerboard con una riserva nel pool dhcp.
Su questo AP ho creato un ssid dedicato agli esterni chiamato "Guest" che tramite il suo dhcp interno assegna indirizzi del tipo 192.168.1.x/24 a tutti i dispositivi collegati.
Vorrei fare in modo che tutti i dispositivi collegati a questo wifi possano navigare su internet ma che non siano in grado di poter accedere alle share di rete della subnet 192.168.10.x..
Non riesco a trovare la regola giusta da fare nel firewall della Routerboard.
:( :( :( :( :(
wickerman75
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 12
Iscritto il: mar 2 lug 2019, 12:10
Uso routerOS dalla Versione: v4.x
Certificazioni Mikrotik: MTCNA
Altre certificazioni: MICROSOFT - CAMBIUM NETWORK
Preferred Training Centre: S.I.C.E Telecom

Re: Regola firewall

Messaggioda figheras » ven 6 mar 2020, 18:35

Ciao, una regola semplice e veloce (senza entrare nello specifico di una regola ad-hoc) è la seguente:

Codice: Seleziona tutto
/ip f f add chain=forward src-address=NETWORK (TIPO 192.168.1.0/24) dst-address=192.168.10.xxx action=drop


Tutti i pacchetti che provengono dalla subnet specificata in src-address che va in destination a 192.168.10.xxx non vengono inoltrati.
Siamo tutti ignoranti. Ma non tutti ignoriamo le stesse cose! - Einstein -
Avatar utente
figheras
Staff rosIT
Staff rosIT
 
Messaggi: 1218
Iscritto il: sab 19 set 2009, 20:09
Uso routerOS dalla Versione: v2.9.x
Certificazioni Mikrotik: MTCNA, MTCRE, MTCWE
Altre certificazioni: Cisco CCNA, KalliopePBX
Preferred Training Centre: Grifonline

Re: Regola firewall

Messaggioda wickerman75 » lun 9 mar 2020, 9:50

[quote="figheras"]Ciao, una regola semplice e veloce (senza entrare nello specifico di una regola ad-hoc) è la seguente:

Codice: Seleziona tutto
/ip f f add chain=forward src-address=NETWORK (TIPO 192.168.1.0/24) dst-address=192.168.10.xxx action=drop


Tutti i pacchetti che provengono dalla subnet specificata in src-address che va in destination a 192.168.10.xxx non vengono inoltrati.[/quot

Ho fatto queste regole verso gli ip che non voglio far raggiungere ma non funzionano, arrivano sia i ping che li vedo da esplora risorse

ip f f add chain=forward src-address= 192.168.1.0/24 dst-address=192.168.10.252 action=drop
ip f f add chain=forward src-address= 192.168.1.0/24 dst-address=192.168.10.253 action=drop
ip f f add chain=forward src-address= 192.168.1.0/24 dst-address=192.168.10.254 action=drop

ho sbagliato io a scriverle :cry: :roll: ?
wickerman75
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 12
Iscritto il: mar 2 lug 2019, 12:10
Uso routerOS dalla Versione: v4.x
Certificazioni Mikrotik: MTCNA
Altre certificazioni: MICROSOFT - CAMBIUM NETWORK
Preferred Training Centre: S.I.C.E Telecom

Re: Regola firewall

Messaggioda figheras » lun 9 mar 2020, 11:52

Quella regola va fatta sul gateway dove transita il traffico....
Siamo tutti ignoranti. Ma non tutti ignoriamo le stesse cose! - Einstein -
Avatar utente
figheras
Staff rosIT
Staff rosIT
 
Messaggi: 1218
Iscritto il: sab 19 set 2009, 20:09
Uso routerOS dalla Versione: v2.9.x
Certificazioni Mikrotik: MTCNA, MTCRE, MTCWE
Altre certificazioni: Cisco CCNA, KalliopePBX
Preferred Training Centre: Grifonline

Re: Regola firewall

Messaggioda wickerman75 » lun 9 mar 2020, 13:57

Scusa ma non capisco cosa intendi..
il mio routerboard ha ip 192.168.10.1 e
la subnet che vorrei isolare ha 192.168.1.0/24,
Gli ip a cui non dovrebbe accedere sono dal 192.168.10.252 al 192.168.10.254.
wickerman75
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 12
Iscritto il: mar 2 lug 2019, 12:10
Uso routerOS dalla Versione: v4.x
Certificazioni Mikrotik: MTCNA
Altre certificazioni: MICROSOFT - CAMBIUM NETWORK
Preferred Training Centre: S.I.C.E Telecom

Re: Regola firewall

Messaggioda figheras » lun 9 mar 2020, 15:42

Fai export della configurazione del router (gateway).. e se puoi schema di rete (disegno)
Siamo tutti ignoranti. Ma non tutti ignoriamo le stesse cose! - Einstein -
Avatar utente
figheras
Staff rosIT
Staff rosIT
 
Messaggi: 1218
Iscritto il: sab 19 set 2009, 20:09
Uso routerOS dalla Versione: v2.9.x
Certificazioni Mikrotik: MTCNA, MTCRE, MTCWE
Altre certificazioni: Cisco CCNA, KalliopePBX
Preferred Training Centre: Grifonline

Re: Regola firewall

Messaggioda wickerman75 » lun 9 mar 2020, 17:04

Questo è il file di configurazione, e nell'allegato lo schema della rete

# mar/09/2020 15:57:52 by RouterOS 6.43.2
# software id = 1724-GQ9C
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 71B1063D5175
/interface ethernet
set [ find default-name=ether1 ] mtu=1452 name="ether1 WAN"
set [ find default-name=ether2 ] name="ether2 LAN"
set [ find default-name=ether3 ] name="ether3 GUEST"
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp_pool0 ranges=192.168.10.2-192.168.10.254
add name=PPTP-Pool ranges=192.168.99.10-192.168.99.200
add name=dhcp_pool5 ranges=192.168.0.2-192.168.0.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface="ether2 LAN" name=dhcp1
/ppp profile
add change-tcp-mss=yes dns-server=8.8.8.8,8.8.4.4 local-address=PPTP-Pool \
name=PPTP-Profile only-one=yes remote-address=PPTP-Pool use-encryption=\
yes
/interface pptp-server server
set authentication=chap,mschap1,mschap2 default-profile=PPTP-Profile enabled=\
yes
/ip address
add address=192.168.1.150/24 interface="ether1 WAN" network=192.168.1.0
add address=192.168.10.1/24 interface="ether2 LAN" network=192.168.10.0
add address=192.168.0.1/24 interface="ether3 GUEST" network=192.168.0.0
/ip dhcp-server lease
add address=192.168.10.28 client-id=1:58:c1:7a:d1:17:45 mac-address=\
58:C1:7A:D1:17:45 server=dhcp1
/ip dhcp-server network
add gateway=0.0.0.1
add address=192.168.0.0/24 gateway=192.168.0.1
add address=192.168.10.0/24 gateway=192.168.10.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall nat
add action=masquerade chain=srcnat out-interface="ether1 WAN"
/ip route
add check-gateway=ping distance=1 gateway=192.168.1.1
/ip smb
set enabled=yes
/ppp secret
add name=user1 password=user1 profile=PPTP-Profile
/system clock
set time-zone-name=Europe/Rome
/system identity
set name=CLIENTE
/system routerboard settings
set silent-boot=no
/tool netwatch
add host=192.168.10.82
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
wickerman75
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 12
Iscritto il: mar 2 lug 2019, 12:10
Uso routerOS dalla Versione: v4.x
Certificazioni Mikrotik: MTCNA
Altre certificazioni: MICROSOFT - CAMBIUM NETWORK
Preferred Training Centre: S.I.C.E Telecom

Re: Regola firewall

Messaggioda ppraz » lun 9 mar 2020, 17:42

I pacchetti provenienti dalla 192.168.1.0/24 e diretti a 192.168.10.0/24 non attraversano il Mikrotik, ci pensa il Cambium a fare routing, quindi fa passare tutto.
Devi cambiare approccio, se possibile, attestando il Cambium su una subnet differente, ad esempio 192.168.5.0/24 anziché 192.168.10.0/24
A quel punto il default gateway del Cambium sarà il Mikrotik 192.168.5.1 e a quel punto le regole funzioneranno correttamente.
ppraz
Staff rosIT
Staff rosIT
 
Messaggi: 997
Iscritto il: sab 12 mar 2011, 14:13
Uso routerOS dalla Versione: v3.x

Re: Regola firewall

Messaggioda wickerman75 » lun 9 mar 2020, 19:14

Grazie mille dell'aiuto
wickerman75
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 12
Iscritto il: mar 2 lug 2019, 12:10
Uso routerOS dalla Versione: v4.x
Certificazioni Mikrotik: MTCNA
Altre certificazioni: MICROSOFT - CAMBIUM NETWORK
Preferred Training Centre: S.I.C.E Telecom



Torna a RouterOS

Chi c’è in linea

Visitano il forum: Nessuno e 13 ospiti