6
Firewallfilter für Mikrotek Router
Suche Firewallfilter für Router um Internet und Email freizugeben
Hallo,
ich habe mir einen Mikrotek Router zugelegt um unseren Hotelgästen Internetzugang zu ermöglichen.
Das Problem ist, das ich den Gästen nicht alle Internetdienste zur Verfügung stellen möchte, sondern nur den Zugang auf Webseiten und den Zugang zu Emails.
Ich habe aber keine Ahnung, wie ich sowas konfigurieren kann.
Gibt es zufällig jemanden, der auch so einen Router hat und die Firewall schon konfiguriert hat ???
Wenn jemand auch eine Konfiguration hat, das mehr Internetdienste erlaubt, ist das auch kein Problem.
Danke für eure Antworten!!!
LG, downloader94
ich habe mir einen Mikrotek Router zugelegt um unseren Hotelgästen Internetzugang zu ermöglichen.
Das Problem ist, das ich den Gästen nicht alle Internetdienste zur Verfügung stellen möchte, sondern nur den Zugang auf Webseiten und den Zugang zu Emails.
Ich habe aber keine Ahnung, wie ich sowas konfigurieren kann.
Gibt es zufällig jemanden, der auch so einen Router hat und die Firewall schon konfiguriert hat ???
Wenn jemand auch eine Konfiguration hat, das mehr Internetdienste erlaubt, ist das auch kein Problem.
Danke für eure Antworten!!!
LG, downloader94
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 143366
Url: https://administrator.de/contentid/143366
Printed on: April 19, 2024 at 02:04 o'clock
6 Comments
Latest comment
Das ist bei Mikrotik mit dem Hotspot-Paket denkbar einfach.
Ich gehe mal davon aus, dass du den Hotspot schon mit dem Setup eingerichtet hast.
Danach kannst du im Firewall Filter deine Regeln erstellen.
Ich würde dazu einen neuen Chain erstellen, zu dem du entweder über den Hotspot-Matcher oder über das Hotspot-Subnetz jumpen kannst (der Ursprungs-Chain ist natürlich forward) und dort kannst du dann die Regeln anlegen, wobei die letzte eine Verweigerung sein muss.
Vorher macht es aber noch Sinn die allg. Connection-Tracking-Regeln zu erstellen.
Ich gehe mal davon aus, dass du den Hotspot schon mit dem Setup eingerichtet hast.
Danach kannst du im Firewall Filter deine Regeln erstellen.
Ich würde dazu einen neuen Chain erstellen, zu dem du entweder über den Hotspot-Matcher oder über das Hotspot-Subnetz jumpen kannst (der Ursprungs-Chain ist natürlich forward) und dort kannst du dann die Regeln anlegen, wobei die letzte eine Verweigerung sein muss.
Vorher macht es aber noch Sinn die allg. Connection-Tracking-Regeln zu erstellen.
Hi,
wie genau ist dein Netz denn aufgebaut? Gibt es nur LAN und WAN oder sind weitere Netze angeschlossen?
Hab selber mit dem Router nur ein wenig gespielt. Generell kommt man ja immer auf die Idee, einfach die Ports frei zu geben und alles andere zu sperren. RouterOS hat aber ein viel mächtigires Mittel an Bord: layer7-protocol
Hier ist eine genau Beschreibung: http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7
Die regulären Ausdrücke sind dabei der Knackpunkt. Auf folgender Seite ist eine Liste mit vielen Programmen und dem dazugehörigen Reg. Ausdruck:
http://l7-filter.sourceforge.net/protocols
SMTP: http://l7-filter.sourceforge.net/layer7-protocols/protocols/smtp.pat
POP3: http://l7-filter.sourceforge.net/layer7-protocols/protocols/pop3.pat
Denn nicht immer steht hinter einem well-known Port auch der gedachte Dienst. Die Prüfung auf L7-Ebene bietet da schon mehr Sicherheit. Allerdings haben auch die Vorlagen ihre Grenzen.
Habe es wie gesagt noch nicht live getestet. Hab mir nur einmal die Anleitungen kurz angeschaut und bin bei L7 hängen geblieben. RouerOS kann schon eine Menge. Finde diesen Ansatz sympathischer, als nur die Ports zu öffnen, bzw. zu schließen.
Das als Denkansatz . Kann dir leider kein Copy-and-Paste liefern.
mfg Crusher
wie genau ist dein Netz denn aufgebaut? Gibt es nur LAN und WAN oder sind weitere Netze angeschlossen?
Hab selber mit dem Router nur ein wenig gespielt. Generell kommt man ja immer auf die Idee, einfach die Ports frei zu geben und alles andere zu sperren. RouterOS hat aber ein viel mächtigires Mittel an Bord: layer7-protocol
Hier ist eine genau Beschreibung: http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7
Die regulären Ausdrücke sind dabei der Knackpunkt. Auf folgender Seite ist eine Liste mit vielen Programmen und dem dazugehörigen Reg. Ausdruck:
http://l7-filter.sourceforge.net/protocols
SMTP: http://l7-filter.sourceforge.net/layer7-protocols/protocols/smtp.pat
POP3: http://l7-filter.sourceforge.net/layer7-protocols/protocols/pop3.pat
Denn nicht immer steht hinter einem well-known Port auch der gedachte Dienst. Die Prüfung auf L7-Ebene bietet da schon mehr Sicherheit. Allerdings haben auch die Vorlagen ihre Grenzen.
Habe es wie gesagt noch nicht live getestet. Hab mir nur einmal die Anleitungen kurz angeschaut und bin bei L7 hängen geblieben. RouerOS kann schon eine Menge. Finde diesen Ansatz sympathischer, als nur die Ports zu öffnen, bzw. zu schließen.
Das als Denkansatz . Kann dir leider kein Copy-and-Paste liefern.
mfg Crusher
Der Miktrotek-Router ist direkt per Lan an den anderen Router, der die Verbindung zum Internet herstellt, verbunden.
Ich habe keine Ahnung, wie ich das jetzt engeben soll.
P.S.: Ich benutze Winbox.
Ich habe keine Ahnung, wie ich das jetzt engeben soll.
P.S.: Ich benutze Winbox.
Ich mag lieber telnet ;)
Nochmal: ist nur Trockenübung von meiner Seite aus. Hab aber auch Winbox hier und probier mal kurz, ob ich was aufzeigen kann. Alles was du unter den Layer7-protocol einträgst, ist zunächst nicht aktiviert! Du musst es mit anderen Firewall Regeln verbinden. Z.B. jeweils EIN- und AUSGEHENDE Regel für jeden Eintrag erstellen.
Nur Name und Ausdruck eintragen. Z.B. bei VNC sollte es so aussehen:
Quelle: http://l7-filter.sourceforge.net/layer7-protocols/protocols/vnc.pat
Hab also nur den Namen und den Reg. Audruck übernommen. Wobei der Name an sich frei wählbar ist. Sollte aussagekräftig sein und muss eben genauso auch in den späteren Regeln geschrieben werden - Zuordnung L7 - Firewall-Regel.
Jetzt sollten VNC Verbindungen unterbunden werden. Man kann natürlich auch die Pakete zulassen. Die üblichen Firewall Aktionen lassen sich anwenden.
Hab allerdings auch gelesen, dass das Ganze viel Speicher frist und durch andere Regeln ergänzt werden sollte. Wie gesagt, hab mich nicht weiter mit beschäftigt.
Mit telnet ist das Ganze nur übersichtlicher zu beschreiben und für meine Begriffe teils auch schneller einstellbar.
Das schön am RouterOS ist, dass sich mit der TAB-Taste die Befehle automatisch vervollständigen lassen. Bsp.: lay[TAB] = layer7-protocol
Würde mir an deiner Stelle auch einmal Telnet ansehen. Erspart eine ne Menge Arbeit. Ist aber - zugegeben - gewöhnungsbedürftig.
mfg Crusher
Nochmal: ist nur Trockenübung von meiner Seite aus. Hab aber auch Winbox hier und probier mal kurz, ob ich was aufzeigen kann. Alles was du unter den Layer7-protocol einträgst, ist zunächst nicht aktiviert! Du musst es mit anderen Firewall Regeln verbinden. Z.B. jeweils EIN- und AUSGEHENDE Regel für jeden Eintrag erstellen.
IP -> Firwall -> Reiter: "Layer7 Protocols"
Nur Name und Ausdruck eintragen. Z.B. bei VNC sollte es so aussehen:
Quelle: http://l7-filter.sourceforge.net/layer7-protocols/protocols/vnc.pat
Name: vnc
Reg. Ausdruck: ^rfb 00[1-9]\.00[0-9]\x0a$
Reg. Ausdruck: ^rfb 00[1-9]\.00[0-9]\x0a$
Hab also nur den Namen und den Reg. Audruck übernommen. Wobei der Name an sich frei wählbar ist. Sollte aussagekräftig sein und muss eben genauso auch in den späteren Regeln geschrieben werden - Zuordnung L7 - Firewall-Regel.
IP -> Firewall -> Reiter: "Filter Rules"
Neue Regel hinzufügen - INPUT
General:
Chain: INPUT
Protocol: TCP
Advanced:
Layer7-Procol: vnc
Action:
Action: drop
Neue Regel hinzufügen - OUTPUT
General:
Chain: OUTPUT
Protocol: TCP
Advanced:
Layer7-Procol: vnc
Action:
Action: drop
Neue Regel hinzufügen - INPUT
General:
Chain: INPUT
Protocol: TCP
Advanced:
Layer7-Procol: vnc
Action:
Action: drop
Neue Regel hinzufügen - OUTPUT
General:
Chain: OUTPUT
Protocol: TCP
Advanced:
Layer7-Procol: vnc
Action:
Action: drop
Jetzt sollten VNC Verbindungen unterbunden werden. Man kann natürlich auch die Pakete zulassen. Die üblichen Firewall Aktionen lassen sich anwenden.
Hab allerdings auch gelesen, dass das Ganze viel Speicher frist und durch andere Regeln ergänzt werden sollte. Wie gesagt, hab mich nicht weiter mit beschäftigt.
Mit telnet ist das Ganze nur übersichtlicher zu beschreiben und für meine Begriffe teils auch schneller einstellbar.
[admin@MikroTik] /ip firewall filter> add action=accept chain=input disabled=no layer7-protocol=vnc protocol=tcp
Das schön am RouterOS ist, dass sich mit der TAB-Taste die Befehle automatisch vervollständigen lassen. Bsp.: lay[TAB] = layer7-protocol
Würde mir an deiner Stelle auch einmal Telnet ansehen. Erspart eine ne Menge Arbeit. Ist aber - zugegeben - gewöhnungsbedürftig.
mfg Crusher
Hier ein Beispiel-Regelsatz:
Wie gesagt musst du den Hotspot schon eingerichtet haben.
Die erste FWD-Regel musst du ganz nach oben schieben und die 2. FWD-Regel nach die anderen forward-Regeln (Platz 3)
[admin@MikroTik] > ip firewall filter export
# jan/02/1970 00:25:45 by RouterOS 4.5
# software id = x-x
#
/ip firewall filter
add action=jump chain=forward comment="FWD: Conntrack abhandeln" disabled=no jump-target=conntrack
add action=jump chain=forward comment="FWD: Hotspot Port-Filter" disabled=no hotspot=from-client jump-target=hotspot-filter-from
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes
add action=accept chain=conntrack comment="CONNTRACK: Verbunden" connection-state=established disabled=no
add action=accept chain=conntrack comment="CONNTRACK: Related" connection-state=related disabled=no
add action=drop chain=conntrack comment="CONNTRACK: Invalid" connection-state=invalid disabled=no
add action=return chain=conntrack comment="CONNTRACK: Andere" disabled=no
add action=accept chain=hotspot-filter-from comment="HFF: HTTP(S) Traffic zulassen" disabled=no dst-port=80,443 protocol=tcp
add action=accept chain=forward comment="HFF: POP zulassen" disabled=no dst-port=110 protocol=tcp
add action=accept chain=forward comment="HFF: SMTP zulassen" disabled=no dst-port=25 protocol=tcp
add action=accept chain=forward comment="HFF: IMAP zulassen" disabled=no dst-port=143 protocol=tcp
add action=reject chain=hotspot-filter-from comment="HFF: Alles andere Sperren" disabled=no reject-with=icmp-admin-prohibited Wie gesagt musst du den Hotspot schon eingerichtet haben.
Die erste FWD-Regel musst du ganz nach oben schieben und die 2. FWD-Regel nach die anderen forward-Regeln (Platz 3)
...und hier dazu die Hotspot Anleitung für Hotel WLANs:
http://wiki.mikrotik.com/wiki/Manual:IP/Hotspot
Die ist mit 3 Mausklicks aktiviert !! Wie gut sie funktioniert kannst du hier sehen:
http://forum.mikrotik.com/viewtopic.php?f=2&t=26609
Wenns trotzdem noch zu kompliziert ist bleibt dir noch ne Alternative:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
ist aber nur das gleiche in grün... !!
http://wiki.mikrotik.com/wiki/Manual:IP/Hotspot
Die ist mit 3 Mausklicks aktiviert !! Wie gut sie funktioniert kannst du hier sehen:
http://forum.mikrotik.com/viewtopic.php?f=2&t=26609
Wenns trotzdem noch zu kompliziert ist bleibt dir noch ne Alternative:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
ist aber nur das gleiche in grün... !!
