Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Firewallfilter für Mikrotek Router

Frage Netzwerke Router & Routing

Mitglied: downloader94

downloader94 (Level 1) - Jetzt verbinden

21.05.2010, aktualisiert 18.10.2012, 4954 Aufrufe, 6 Kommentare

Suche Firewallfilter für Router um Internet und Email freizugeben

Hallo,
ich habe mir einen Mikrotek Router zugelegt um unseren Hotelgästen Internetzugang zu ermöglichen.
Das Problem ist, das ich den Gästen nicht alle Internetdienste zur Verfügung stellen möchte, sondern nur den Zugang auf Webseiten und den Zugang zu Emails.
Ich habe aber keine Ahnung, wie ich sowas konfigurieren kann.
Gibt es zufällig jemanden, der auch so einen Router hat und die Firewall schon konfiguriert hat ???
Wenn jemand auch eine Konfiguration hat, das mehr Internetdienste erlaubt, ist das auch kein Problem.

Danke für eure Antworten!!!

LG, downloader94
Mitglied: dog
21.05.2010 um 23:34 Uhr
Das ist bei Mikrotik mit dem Hotspot-Paket denkbar einfach.
Ich gehe mal davon aus, dass du den Hotspot schon mit dem Setup eingerichtet hast.

Danach kannst du im Firewall Filter deine Regeln erstellen.
Ich würde dazu einen neuen Chain erstellen, zu dem du entweder über den Hotspot-Matcher oder über das Hotspot-Subnetz jumpen kannst (der Ursprungs-Chain ist natürlich forward) und dort kannst du dann die Regeln anlegen, wobei die letzte eine Verweigerung sein muss.

Vorher macht es aber noch Sinn die allg. Connection-Tracking-Regeln zu erstellen.
Bitte warten ..
Mitglied: Crusher79
21.05.2010 um 23:38 Uhr
Hi,

wie genau ist dein Netz denn aufgebaut? Gibt es nur LAN und WAN oder sind weitere Netze angeschlossen?

Hab selber mit dem Router nur ein wenig gespielt. Generell kommt man ja immer auf die Idee, einfach die Ports frei zu geben und alles andere zu sperren. RouterOS hat aber ein viel mächtigires Mittel an Bord: layer7-protocol

Hier ist eine genau Beschreibung: http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/L7

Die regulären Ausdrücke sind dabei der Knackpunkt. Auf folgender Seite ist eine Liste mit vielen Programmen und dem dazugehörigen Reg. Ausdruck:
http://l7-filter.sourceforge.net/protocols

SMTP: http://l7-filter.sourceforge.net/layer7-protocols/protocols/smtp.pat
POP3: http://l7-filter.sourceforge.net/layer7-protocols/protocols/pop3.pat

Denn nicht immer steht hinter einem well-known Port auch der gedachte Dienst. Die Prüfung auf L7-Ebene bietet da schon mehr Sicherheit. Allerdings haben auch die Vorlagen ihre Grenzen.

Habe es wie gesagt noch nicht live getestet. Hab mir nur einmal die Anleitungen kurz angeschaut und bin bei L7 hängen geblieben. RouerOS kann schon eine Menge. Finde diesen Ansatz sympathischer, als nur die Ports zu öffnen, bzw. zu schließen.


Das als Denkansatz . Kann dir leider kein Copy-and-Paste liefern.

mfg Crusher
Bitte warten ..
Mitglied: downloader94
21.05.2010 um 23:46 Uhr
Der Miktrotek-Router ist direkt per Lan an den anderen Router, der die Verbindung zum Internet herstellt, verbunden.

Ich habe keine Ahnung, wie ich das jetzt engeben soll.

P.S.: Ich benutze Winbox.
Bitte warten ..
Mitglied: Crusher79
22.05.2010 um 00:11 Uhr
Ich mag lieber telnet ;)

Nochmal: ist nur Trockenübung von meiner Seite aus. Hab aber auch Winbox hier und probier mal kurz, ob ich was aufzeigen kann. Alles was du unter den Layer7-protocol einträgst, ist zunächst nicht aktiviert! Du musst es mit anderen Firewall Regeln verbinden. Z.B. jeweils EIN- und AUSGEHENDE Regel für jeden Eintrag erstellen.

IP -> Firwall -> Reiter: "Layer7 Protocols"

Nur Name und Ausdruck eintragen. Z.B. bei VNC sollte es so aussehen:

Quelle: http://l7-filter.sourceforge.net/layer7-protocols/protocols/vnc.pat

Name: vnc
Reg. Ausdruck: ^rfb 00[1-9]\.00[0-9]\x0a$

Hab also nur den Namen und den Reg. Audruck übernommen. Wobei der Name an sich frei wählbar ist. Sollte aussagekräftig sein und muss eben genauso auch in den späteren Regeln geschrieben werden - Zuordnung L7 - Firewall-Regel.

IP -> Firewall -> Reiter: "Filter Rules"

Neue Regel hinzufügen - INPUT
General:
Chain: INPUT
Protocol: TCP
Advanced:
Layer7-Procol: vnc
Action:
Action: drop

Neue Regel hinzufügen - OUTPUT
General:
Chain: OUTPUT
Protocol: TCP
Advanced:
Layer7-Procol: vnc
Action:
Action: drop

Jetzt sollten VNC Verbindungen unterbunden werden. Man kann natürlich auch die Pakete zulassen. Die üblichen Firewall Aktionen lassen sich anwenden.

Hab allerdings auch gelesen, dass das Ganze viel Speicher frist und durch andere Regeln ergänzt werden sollte. Wie gesagt, hab mich nicht weiter mit beschäftigt.

Mit telnet ist das Ganze nur übersichtlicher zu beschreiben und für meine Begriffe teils auch schneller einstellbar.
[admin@MikroTik] /ip firewall filter> add action=accept chain=input disabled=no layer7-protocol=vnc protocol=tcp

Das schön am RouterOS ist, dass sich mit der TAB-Taste die Befehle automatisch vervollständigen lassen. Bsp.: lay[TAB] = layer7-protocol

Würde mir an deiner Stelle auch einmal Telnet ansehen. Erspart eine ne Menge Arbeit. Ist aber - zugegeben - gewöhnungsbedürftig.

mfg Crusher
Bitte warten ..
Mitglied: dog
22.05.2010 um 00:23 Uhr
Hier ein Beispiel-Regelsatz:
01.
[admin@MikroTik] > ip firewall filter export 
02.
# jan/02/1970 00:25:45 by RouterOS 4.5 
03.
# software id = x-x 
04.
05.
/ip firewall filter 
06.
add action=jump chain=forward comment="FWD: Conntrack abhandeln" disabled=no jump-target=conntrack 
07.
add action=jump chain=forward comment="FWD: Hotspot Port-Filter" disabled=no hotspot=from-client jump-target=hotspot-filter-from 
08.
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes 
09.
add action=accept chain=conntrack comment="CONNTRACK: Verbunden" connection-state=established disabled=no 
10.
add action=accept chain=conntrack comment="CONNTRACK: Related" connection-state=related disabled=no 
11.
add action=drop chain=conntrack comment="CONNTRACK: Invalid" connection-state=invalid disabled=no 
12.
add action=return chain=conntrack comment="CONNTRACK: Andere" disabled=no 
13.
add action=accept chain=hotspot-filter-from comment="HFF: HTTP(S) Traffic zulassen" disabled=no dst-port=80,443 protocol=tcp 
14.
add action=accept chain=forward comment="HFF: POP zulassen" disabled=no dst-port=110 protocol=tcp 
15.
add action=accept chain=forward comment="HFF: SMTP zulassen" disabled=no dst-port=25 protocol=tcp 
16.
add action=accept chain=forward comment="HFF: IMAP zulassen" disabled=no dst-port=143 protocol=tcp 
17.
add action=reject chain=hotspot-filter-from comment="HFF: Alles andere Sperren" disabled=no reject-with=icmp-admin-prohibited
Wie gesagt musst du den Hotspot schon eingerichtet haben.
Die erste FWD-Regel musst du ganz nach oben schieben und die 2. FWD-Regel nach die anderen forward-Regeln (Platz 3)
Bitte warten ..
Mitglied: aqui
22.05.2010, aktualisiert 18.10.2012
...und hier dazu die Hotspot Anleitung für Hotel WLANs:
http://wiki.mikrotik.com/wiki/Manual:IP/Hotspot
Die ist mit 3 Mausklicks aktiviert !! Wie gut sie funktioniert kannst du hier sehen:
http://forum.mikrotik.com/viewtopic.php?f=2&t=26609
Wenns trotzdem noch zu kompliziert ist bleibt dir noch ne Alternative:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
ist aber nur das gleiche in grün... !!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Firewall
Vom LAN auf Router über Firewall zugreiffen (5)

Frage von miichiii9 zum Thema Firewall ...

Router & Routing
Welche pfsense Version für Dual-Wan Router mit APU2C4 installieren (5)

Frage von Roland30 zum Thema Router & Routing ...

Router & Routing
InterVlan Routing mit Linksys LRT224 Dual WAN Gigabit VPN Router (1)

Frage von darkliving zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...