Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mikrotik Warum muss Firewall regel deaktiviert werden, damit das Internet geht

Mitglied: Bene007

Bene007 (Level 1) - Jetzt verbinden

07.06.2012, aktualisiert 18.10.2012, 5521 Aufrufe, 8 Kommentare

Hallo zusammen,

ich habe eine frage bzgl. meines Mikrotik Routers. Besser gesagt zu den Firewalleinstellungen. Mein Ziel war es, eine Webseite über 2 Internetanschlüsse parallel und gleichzeitig zu erreichen. Das Funktioniert auch prima (wenn auch mit Einbußen des PBR, das aus mir unerfindlichen Gründen nicht geht). Jetzt zu meiner Frage.

Das hier ist der Export meiner Firewall:

01.
 0   ;;; Related Verbindugen akzeptieren (z.B. ICMP-Meldungen) 
02.
     chain=spi action=accept connection-state=related  
03.
 
04.
 1   ;;; Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden 
05.
     chain=spi action=drop connection-state=invalid  
06.
 
07.
 2   chain=forward action=jump jump-target=spi  
08.
 
09.
 3   ;;; DVBV erlauben 
10.
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2  
11.
     dst-port=8089  
12.
 
13.
 4   ;;; Website 
14.
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2  
15.
     dst-port=80  
16.
 
17.
 5   ;;; PPTP-Negotiation erlauben 
18.
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2  
19.
     dst-port=1723  
20.
 
21.
 6   ;;; GRE erlauben 
22.
     chain=forward action=accept protocol=gre dst-address=192.168.1.2  
23.
 
24.
 7   ;;; Zurueck, die restlichen Regeln sind Chain-spezifisch 
25.
     chain=spi action=return  
26.
 
27.
 8   ;;; Alles ueberall hin vom LAN erlauben 
28.
     chain=forward action=accept in-interface=ether3  
29.
 
30.
 9   ;;; Bereits vorhandene Verbindungen akzeptieren 
31.
     chain=spi action=accept connection-state=established  
32.
 
33.
10 X ;;; Alles andere verwerfen 
34.
     chain=forward action=drop  
35.
 
36.
11   chain=input action=jump jump-target=spi  
37.
 
38.
12   ;;; Ping immer annehmen 
39.
     chain=input action=accept protocol=icmp icmp-options=8:0  
40.
 
41.
13   ;;; Alles aus dem LAN annehmen 
42.
     chain=input action=accept in-interface=ether3  
43.
 
44.
14   ;;; Alles andere verwerfen 
45.
     chain=input action=drop 
Wie man sieht ist

01.
 
02.
10 X ;;; Alles andere verwerfen 
03.
     chain=forward action=drop 
deaktiviert, da sonst keiner ins Internet kommt. Ist das jetzt schlimm für die Sicherheit, oder kann ich diese Regel deaktivieren bzw. löschen.

Vielen Dank

Mitglied: danielfr
07.06.2012 um 11:59 Uhr
Wenn Du die 10. Regel deaktivierst erlaubs Du aus der Forward Chain wieder jeden Verkehr und machst alle vorhergehenden Regeln diesbezgl. unbrauchbar. Also keine gute Idee.
Dir fehlt eine Regel die den Traffic auf Port 80 erlaubt, nicht nur auf 192.168.2.1 sondern eben auch ins Internet. Firewalls funktionieren eigentlich immer so, das zuerst alle Regeln spezifiziert werden, die Traffic erlauben, am Schluss kommt dann eine Regel die alles verbietet.
Die Regel die als erste angewendet werden kann wird auch benutzt.
Also brauchst Du noch was wie:
chain=forward action=accept protocol=tcp dst-address=0.0.0.0 dst-port=80
(ungeprüft)
und noch eine Regel die DNS erlaubt.
Bitte warten ..
Mitglied: Bene007
07.06.2012 um 15:22 Uhr
So ich habs jetzt hin bekommen.

Dein Anstoß das alle Regeln zu erst spezifiziert werden hat mich ins Grübeln gebracht und ich hab jetzt die Reihenfolge geändert (ohne etwas neues hinzuzufügen)

01.
 0   ;;; Related Verbindugen akzeptieren (z.B. ICMP-Meldungen) 
02.
     chain=spi action=accept connection-state=related  
03.
 
04.
 1   ;;; Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden 
05.
     chain=spi action=drop connection-state=invalid  
06.
 
07.
 2   chain=forward action=jump jump-target=spi  
08.
 
09.
 3   ;;; DVBV erlauben 
10.
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2 dst-port=8089  
11.
 
12.
 4   ;;; Website 
13.
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2 dst-port=80  
14.
 
15.
 5   ;;; PPTP-Negotiation erlauben 
16.
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2 dst-port=1723  
17.
 
18.
 6   ;;; GRE erlauben 
19.
     chain=forward action=accept protocol=gre dst-address=192.168.1.2  
20.
 
21.
 7   ;;; Alles ueberall hin vom LAN erlauben 
22.
     chain=forward action=accept in-interface=ether3  
23.
 
24.
 8   ;;; Bereits vorhandene Verbindungen akzeptieren 
25.
     chain=spi action=accept connection-state=established  
26.
 
27.
 9   ;;; Zurueck, die restlichen Regeln sind Chain-spezifisch 
28.
     chain=spi action=return  
29.
 
30.
10   ;;; Alles andere verwerfen 
31.
     chain=forward action=drop  
32.
 
33.
11   chain=input action=jump jump-target=spi  
34.
 
35.
12   ;;; Ping immer annehmen 
36.
     chain=input action=accept protocol=icmp icmp-options=8:0  
37.
 
38.
13   ;;; Alles aus dem LAN annehmen 
39.
     chain=input action=accept in-interface=ether3  
40.
 
41.
14   ;;; Alles andere verwerfen 
42.
     chain=input action=drop
Jetzt ist aus ehenmaligen Regel 7 Regel 9 geworden. Ich habe

01.
;;; Zurueck, die restlichen Regeln sind Chain-spezifisch  
02.
    chain=spi action=return  
um zwei nach unten verschoben. Die Regeln sind nun alle aktiv oder? Vielen dank

ps: bzgl pbr (Policy based Routing) kennst du dich nicht aus oder?
Bitte warten ..
Mitglied: aqui
07.06.2012, aktualisiert 18.10.2012
Bitte kein Doppelposting !
Du schreibst doch hier:
https://www.administrator.de/forum/policy-based-routing-mit-mikrotik-750 ...
das das nun alles rennt mit PBR oder war das nun gelogen ??
Bitte warten ..
Mitglied: dog
07.06.2012 um 16:11 Uhr
Du hast die Regeln in der falschen Reihenfolge!
Regel 9 muss über Regel 7 (eigentlich sogar über Regel 0)!
Bitte warten ..
Mitglied: Bene007
07.06.2012, aktualisiert 18.10.2012
Zitat von aqui:
Bitte kein Doppelposting !
Du schreibst doch hier:
https://www.administrator.de/forum/policy-based-routing-mit-mikrotik-750 ...
das das nun alles rennt mit PBR oder war das nun gelogen ??

Das war es nicht, man konnte aber den Server nicht über beide WAN-Adressen erreichen ;) Das geht jetzt, nun funktioniert das pbr aber nicht mehr



Zitat von dog:
Du hast die Regeln in der falschen Reihenfolge!
Regel 9 muss über Regel 7 (eigentlich sogar über Regel 0)!

Dann geht aber kein Internet mehr :/
Bitte warten ..
Mitglied: aqui
13.06.2012 um 13:59 Uhr
@Bene007
Wenns das jetzt war bitte dann auch
https://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Mitglied: Bene007
13.06.2012 um 17:12 Uhr
es wars zwar jetzt nicht, aber ich hab jetzt auch aufgegeben ;) andere lösung
Bitte warten ..
Mitglied: aqui
14.06.2012 um 13:41 Uhr
Schade eigentlich, denn des funktioniert fehlerlos...normalerweise !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Firewall Regel Gästenetz Mikrotik
Frage von BoomBoomBenRouter & Routing12 Kommentare

Hi, ich habe mehrere Netze über ein Routerboard realisiert. Die Internetverbindung wird von einer FritzBox hergestellt. Das Netzwerk besteht ...

Router & Routing
UAG2100 Firewall Regel
gelöst Frage von lord-iconRouter & Routing6 Kommentare

Hi, hat zufällig jm eine UAG von ZyXEL am start oder kennt sich damit tiefergründig aus ? Speziell für ...

Windows Server
Firewall Regel über GPO
gelöst Frage von Hans3003Windows Server1 Kommentar

Hallo zusammen, ich habe eine Frage zur Konfiguration einer Richtlinie auf einem Windows Server 2012R2 Ich würde gerne eine ...

Netzwerke
Hilfe bei Mikrotik L7 Firewall
Frage von SnupydooNetzwerke1 Kommentar

Hallo Leute Habe einen CCR1016-12G und habe die L7 Firewall so eingestellt das sie Youtube Sperrt , was sie ...

Neue Wissensbeiträge
Server-Hardware
HP iLO ist gefährdet (iLO 4))
Tipp von AlFalcone vor 56 MinutenServer-Hardware

Gemäss Twitter und Heise gibt es eine Angriffsmöglichkeit auf iLO iLO ist gefährdet Copyright © und alle Rechte liegen ...

CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 10 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

Heiß diskutierte Inhalte
Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung27 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...

Router & Routing
Subnetzmaske vergrößern
gelöst Frage von groovesurferRouter & Routing17 Kommentare

Hallo, hat jemand schonmal getestet was passiert, wenn man die Subnetzmaske bei laufendem Betrieb (wenn user im Netzwerk verbunden ...