Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firewallfilter für Mikrotek Router

Mitglied: downloader94

downloader94 (Level 1) - Jetzt verbinden

21.05.2010, aktualisiert 18.10.2012, 5221 Aufrufe, 6 Kommentare

Suche Firewallfilter für Router um Internet und Email freizugeben

Hallo,
ich habe mir einen Mikrotek Router zugelegt um unseren Hotelgästen Internetzugang zu ermöglichen.
Das Problem ist, das ich den Gästen nicht alle Internetdienste zur Verfügung stellen möchte, sondern nur den Zugang auf Webseiten und den Zugang zu Emails.
Ich habe aber keine Ahnung, wie ich sowas konfigurieren kann.
Gibt es zufällig jemanden, der auch so einen Router hat und die Firewall schon konfiguriert hat ???
Wenn jemand auch eine Konfiguration hat, das mehr Internetdienste erlaubt, ist das auch kein Problem.

Danke für eure Antworten!!!

LG, downloader94
Mitglied: dog
21.05.2010 um 23:34 Uhr
Das ist bei Mikrotik mit dem Hotspot-Paket denkbar einfach.
Ich gehe mal davon aus, dass du den Hotspot schon mit dem Setup eingerichtet hast.

Danach kannst du im Firewall Filter deine Regeln erstellen.
Ich würde dazu einen neuen Chain erstellen, zu dem du entweder über den Hotspot-Matcher oder über das Hotspot-Subnetz jumpen kannst (der Ursprungs-Chain ist natürlich forward) und dort kannst du dann die Regeln anlegen, wobei die letzte eine Verweigerung sein muss.

Vorher macht es aber noch Sinn die allg. Connection-Tracking-Regeln zu erstellen.
Bitte warten ..
Mitglied: Crusher79
21.05.2010 um 23:38 Uhr
Hi,

wie genau ist dein Netz denn aufgebaut? Gibt es nur LAN und WAN oder sind weitere Netze angeschlossen?

Hab selber mit dem Router nur ein wenig gespielt. Generell kommt man ja immer auf die Idee, einfach die Ports frei zu geben und alles andere zu sperren. RouterOS hat aber ein viel mächtigires Mittel an Bord: layer7-protocol

Hier ist eine genau Beschreibung: http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7

Die regulären Ausdrücke sind dabei der Knackpunkt. Auf folgender Seite ist eine Liste mit vielen Programmen und dem dazugehörigen Reg. Ausdruck:
http://l7-filter.sourceforge.net/protocols

SMTP: http://l7-filter.sourceforge.net/layer7-protocols/protocols/smtp.pat
POP3: http://l7-filter.sourceforge.net/layer7-protocols/protocols/pop3.pat

Denn nicht immer steht hinter einem well-known Port auch der gedachte Dienst. Die Prüfung auf L7-Ebene bietet da schon mehr Sicherheit. Allerdings haben auch die Vorlagen ihre Grenzen.

Habe es wie gesagt noch nicht live getestet. Hab mir nur einmal die Anleitungen kurz angeschaut und bin bei L7 hängen geblieben. RouerOS kann schon eine Menge. Finde diesen Ansatz sympathischer, als nur die Ports zu öffnen, bzw. zu schließen.


Das als Denkansatz . Kann dir leider kein Copy-and-Paste liefern.

mfg Crusher
Bitte warten ..
Mitglied: downloader94
21.05.2010 um 23:46 Uhr
Der Miktrotek-Router ist direkt per Lan an den anderen Router, der die Verbindung zum Internet herstellt, verbunden.

Ich habe keine Ahnung, wie ich das jetzt engeben soll.

P.S.: Ich benutze Winbox.
Bitte warten ..
Mitglied: Crusher79
22.05.2010 um 00:11 Uhr
Ich mag lieber telnet ;)

Nochmal: ist nur Trockenübung von meiner Seite aus. Hab aber auch Winbox hier und probier mal kurz, ob ich was aufzeigen kann. Alles was du unter den Layer7-protocol einträgst, ist zunächst nicht aktiviert! Du musst es mit anderen Firewall Regeln verbinden. Z.B. jeweils EIN- und AUSGEHENDE Regel für jeden Eintrag erstellen.

IP -> Firwall -> Reiter: "Layer7 Protocols"

Nur Name und Ausdruck eintragen. Z.B. bei VNC sollte es so aussehen:

Quelle: http://l7-filter.sourceforge.net/layer7-protocols/protocols/vnc.pat

Name: vnc
Reg. Ausdruck: ^rfb 00[1-9]\.00[0-9]\x0a$

Hab also nur den Namen und den Reg. Audruck übernommen. Wobei der Name an sich frei wählbar ist. Sollte aussagekräftig sein und muss eben genauso auch in den späteren Regeln geschrieben werden - Zuordnung L7 - Firewall-Regel.

IP -> Firewall -> Reiter: "Filter Rules"

Neue Regel hinzufügen - INPUT
General:
Chain: INPUT
Protocol: TCP
Advanced:
Layer7-Procol: vnc
Action:
Action: drop

Neue Regel hinzufügen - OUTPUT
General:
Chain: OUTPUT
Protocol: TCP
Advanced:
Layer7-Procol: vnc
Action:
Action: drop

Jetzt sollten VNC Verbindungen unterbunden werden. Man kann natürlich auch die Pakete zulassen. Die üblichen Firewall Aktionen lassen sich anwenden.

Hab allerdings auch gelesen, dass das Ganze viel Speicher frist und durch andere Regeln ergänzt werden sollte. Wie gesagt, hab mich nicht weiter mit beschäftigt.

Mit telnet ist das Ganze nur übersichtlicher zu beschreiben und für meine Begriffe teils auch schneller einstellbar.
[admin@MikroTik] /ip firewall filter> add action=accept chain=input disabled=no layer7-protocol=vnc protocol=tcp

Das schön am RouterOS ist, dass sich mit der TAB-Taste die Befehle automatisch vervollständigen lassen. Bsp.: lay[TAB] = layer7-protocol

Würde mir an deiner Stelle auch einmal Telnet ansehen. Erspart eine ne Menge Arbeit. Ist aber - zugegeben - gewöhnungsbedürftig.

mfg Crusher
Bitte warten ..
Mitglied: dog
22.05.2010 um 00:23 Uhr
Hier ein Beispiel-Regelsatz:
01.
[admin@MikroTik] > ip firewall filter export 
02.
# jan/02/1970 00:25:45 by RouterOS 4.5 
03.
# software id = x-x 
04.
05.
/ip firewall filter 
06.
add action=jump chain=forward comment="FWD: Conntrack abhandeln" disabled=no jump-target=conntrack 
07.
add action=jump chain=forward comment="FWD: Hotspot Port-Filter" disabled=no hotspot=from-client jump-target=hotspot-filter-from 
08.
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes 
09.
add action=accept chain=conntrack comment="CONNTRACK: Verbunden" connection-state=established disabled=no 
10.
add action=accept chain=conntrack comment="CONNTRACK: Related" connection-state=related disabled=no 
11.
add action=drop chain=conntrack comment="CONNTRACK: Invalid" connection-state=invalid disabled=no 
12.
add action=return chain=conntrack comment="CONNTRACK: Andere" disabled=no 
13.
add action=accept chain=hotspot-filter-from comment="HFF: HTTP(S) Traffic zulassen" disabled=no dst-port=80,443 protocol=tcp 
14.
add action=accept chain=forward comment="HFF: POP zulassen" disabled=no dst-port=110 protocol=tcp 
15.
add action=accept chain=forward comment="HFF: SMTP zulassen" disabled=no dst-port=25 protocol=tcp 
16.
add action=accept chain=forward comment="HFF: IMAP zulassen" disabled=no dst-port=143 protocol=tcp 
17.
add action=reject chain=hotspot-filter-from comment="HFF: Alles andere Sperren" disabled=no reject-with=icmp-admin-prohibited
Wie gesagt musst du den Hotspot schon eingerichtet haben.
Die erste FWD-Regel musst du ganz nach oben schieben und die 2. FWD-Regel nach die anderen forward-Regeln (Platz 3)
Bitte warten ..
Mitglied: aqui
22.05.2010, aktualisiert 18.10.2012
...und hier dazu die Hotspot Anleitung für Hotel WLANs:
http://wiki.mikrotik.com/wiki/Manual:IP/Hotspot
Die ist mit 3 Mausklicks aktiviert !! Wie gut sie funktioniert kannst du hier sehen:
http://forum.mikrotik.com/viewtopic.php?f=2&t=26609
Wenns trotzdem noch zu kompliziert ist bleibt dir noch ne Alternative:
https://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
ist aber nur das gleiche in grün... !!
Bitte warten ..
Ähnliche Inhalte
Windows Server
Auf dem Router
Frage von AtoAtoWindows Server5 Kommentare

Hallo Eine grundsätzliche Frage bzgl. WinServer Installation: Wenn im kleinen Netzwerk einen Router existiert, der an einem Modem angeschlossen ...

Voice over IP
VPN Router hinter VoIP Router
Frage von baxxter333Voice over IP1 Kommentar

Hallo, ich habe das Problem, dass ich ein Firmennetzwerk mit über 30 per VPN angebundenen Außenstellen betreibe, und die ...

Netzwerkmanagement

Statische Route zwischen Modem und Router

gelöst Frage von Alex1500Netzwerkmanagement11 Kommentare

Hallo erstmal, Meine Überschrift hört sich ja ganz einfach zu beantworten aus, aber ist in meinem Fall nicht ganz ...

Router & Routing

Router über einen anderen Router erreichen

gelöst Frage von heisenberg4Router & Routing5 Kommentare

Hallo, Blöde Überschrift gewählt aber wusste nicht genau wie ich es kurz beschreiben sollte. Also, wir haben eine Easybox ...

Neue Wissensbeiträge
Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Sicherheit

Zero Day-Schwachstelle im Internet Explorer - wird von APT bereits ausgenutzt

Information von kgborn vor 1 TagSicherheit

Im Kernel des Internet Explorer scheint es eine Zero Day-Lücke zu geben, die von staatlichen Akteuren (APT) im Rahmen ...

Microsoft
Folder Security Viewer-Lizenzen zu gewinnen
Information von kgborn vor 1 TagMicrosoft

Ich nehme das Thema mal in Absprache mit Frank hier auf, da es für den einen oder anderen Administrator ...

Hardware

Feueralarm killt Festplatten in Rechenzentrum - führt zu größerem Ausfall

Information von kgborn vor 1 TagHardware12 Kommentare

Noch ein kleiner Beitrag für Administratoren, die in Rechenzentren aktiv sind - so als Fingerzeig. Denn es gibt Szenarien, ...

Heiß diskutierte Inhalte
C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++27 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

Linux
Linux Server oder Windows Server - lohnt eine Umstellung auf Linux und ebenso basierende SW bei einer langfristigen Planung?
Frage von motus5Linux27 Kommentare

Wir brauchen bei uns einen neuen Server. Dieser wird als Fileserver, Domäne Controller sowie Exchange Server verwendet. Wir versuchen ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless22 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

DSL, VDSL
ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7
gelöst Frage von wusa88DSL, VDSL19 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...