Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mikrotik Warum muss Firewall regel deaktiviert werden, damit das Internet geht

Frage Netzwerke Router & Routing

Mitglied: Bene007

Bene007 (Level 1) - Jetzt verbinden

07.06.2012, aktualisiert 18.10.2012, 4737 Aufrufe, 8 Kommentare

Hallo zusammen,

ich habe eine frage bzgl. meines Mikrotik Routers. Besser gesagt zu den Firewalleinstellungen. Mein Ziel war es, eine Webseite über 2 Internetanschlüsse parallel und gleichzeitig zu erreichen. Das Funktioniert auch prima (wenn auch mit Einbußen des PBR, das aus mir unerfindlichen Gründen nicht geht). Jetzt zu meiner Frage.

Das hier ist der Export meiner Firewall:

01.
 0   ;;; Related Verbindugen akzeptieren (z.B. ICMP-Meldungen) 
02.
     chain=spi action=accept connection-state=related  
03.
 
04.
 1   ;;; Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden 
05.
     chain=spi action=drop connection-state=invalid  
06.
 
07.
 2   chain=forward action=jump jump-target=spi  
08.
 
09.
 3   ;;; DVBV erlauben 
10.
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2  
11.
     dst-port=8089  
12.
 
13.
 4   ;;; Website 
14.
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2  
15.
     dst-port=80  
16.
 
17.
 5   ;;; PPTP-Negotiation erlauben 
18.
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2  
19.
     dst-port=1723  
20.
 
21.
 6   ;;; GRE erlauben 
22.
     chain=forward action=accept protocol=gre dst-address=192.168.1.2  
23.
 
24.
 7   ;;; Zurueck, die restlichen Regeln sind Chain-spezifisch 
25.
     chain=spi action=return  
26.
 
27.
 8   ;;; Alles ueberall hin vom LAN erlauben 
28.
     chain=forward action=accept in-interface=ether3  
29.
 
30.
 9   ;;; Bereits vorhandene Verbindungen akzeptieren 
31.
     chain=spi action=accept connection-state=established  
32.
 
33.
10 X ;;; Alles andere verwerfen 
34.
     chain=forward action=drop  
35.
 
36.
11   chain=input action=jump jump-target=spi  
37.
 
38.
12   ;;; Ping immer annehmen 
39.
     chain=input action=accept protocol=icmp icmp-options=8:0  
40.
 
41.
13   ;;; Alles aus dem LAN annehmen 
42.
     chain=input action=accept in-interface=ether3  
43.
 
44.
14   ;;; Alles andere verwerfen 
45.
     chain=input action=drop 
Wie man sieht ist

01.
 
02.
10 X ;;; Alles andere verwerfen 
03.
     chain=forward action=drop 
deaktiviert, da sonst keiner ins Internet kommt. Ist das jetzt schlimm für die Sicherheit, oder kann ich diese Regel deaktivieren bzw. löschen.

Vielen Dank

Mitglied: danielfr
07.06.2012 um 11:59 Uhr
Wenn Du die 10. Regel deaktivierst erlaubs Du aus der Forward Chain wieder jeden Verkehr und machst alle vorhergehenden Regeln diesbezgl. unbrauchbar. Also keine gute Idee.
Dir fehlt eine Regel die den Traffic auf Port 80 erlaubt, nicht nur auf 192.168.2.1 sondern eben auch ins Internet. Firewalls funktionieren eigentlich immer so, das zuerst alle Regeln spezifiziert werden, die Traffic erlauben, am Schluss kommt dann eine Regel die alles verbietet.
Die Regel die als erste angewendet werden kann wird auch benutzt.
Also brauchst Du noch was wie:
chain=forward action=accept protocol=tcp dst-address=0.0.0.0 dst-port=80
(ungeprüft)
und noch eine Regel die DNS erlaubt.
Bitte warten ..
Mitglied: Bene007
07.06.2012 um 15:22 Uhr
So ich habs jetzt hin bekommen.

Dein Anstoß das alle Regeln zu erst spezifiziert werden hat mich ins Grübeln gebracht und ich hab jetzt die Reihenfolge geändert (ohne etwas neues hinzuzufügen)

01.
 0   ;;; Related Verbindugen akzeptieren (z.B. ICMP-Meldungen) 
02.
     chain=spi action=accept connection-state=related  
03.
 
04.
 1   ;;; Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden 
05.
     chain=spi action=drop connection-state=invalid  
06.
 
07.
 2   chain=forward action=jump jump-target=spi  
08.
 
09.
 3   ;;; DVBV erlauben 
10.
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2 dst-port=8089  
11.
 
12.
 4   ;;; Website 
13.
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2 dst-port=80  
14.
 
15.
 5   ;;; PPTP-Negotiation erlauben 
16.
     chain=forward action=accept protocol=tcp dst-address=192.168.1.2 dst-port=1723  
17.
 
18.
 6   ;;; GRE erlauben 
19.
     chain=forward action=accept protocol=gre dst-address=192.168.1.2  
20.
 
21.
 7   ;;; Alles ueberall hin vom LAN erlauben 
22.
     chain=forward action=accept in-interface=ether3  
23.
 
24.
 8   ;;; Bereits vorhandene Verbindungen akzeptieren 
25.
     chain=spi action=accept connection-state=established  
26.
 
27.
 9   ;;; Zurueck, die restlichen Regeln sind Chain-spezifisch 
28.
     chain=spi action=return  
29.
 
30.
10   ;;; Alles andere verwerfen 
31.
     chain=forward action=drop  
32.
 
33.
11   chain=input action=jump jump-target=spi  
34.
 
35.
12   ;;; Ping immer annehmen 
36.
     chain=input action=accept protocol=icmp icmp-options=8:0  
37.
 
38.
13   ;;; Alles aus dem LAN annehmen 
39.
     chain=input action=accept in-interface=ether3  
40.
 
41.
14   ;;; Alles andere verwerfen 
42.
     chain=input action=drop
Jetzt ist aus ehenmaligen Regel 7 Regel 9 geworden. Ich habe

01.
;;; Zurueck, die restlichen Regeln sind Chain-spezifisch  
02.
    chain=spi action=return  
um zwei nach unten verschoben. Die Regeln sind nun alle aktiv oder? Vielen dank

ps: bzgl pbr (Policy based Routing) kennst du dich nicht aus oder?
Bitte warten ..
Mitglied: aqui
07.06.2012, aktualisiert 18.10.2012
Bitte kein Doppelposting !
Du schreibst doch hier:
http://www.administrator.de/forum/policy-based-routing-mit-mikrotik-750 ...
das das nun alles rennt mit PBR oder war das nun gelogen ??
Bitte warten ..
Mitglied: dog
07.06.2012 um 16:11 Uhr
Du hast die Regeln in der falschen Reihenfolge!
Regel 9 muss über Regel 7 (eigentlich sogar über Regel 0)!
Bitte warten ..
Mitglied: Bene007
07.06.2012, aktualisiert 18.10.2012
Zitat von aqui:
Bitte kein Doppelposting !
Du schreibst doch hier:
http://www.administrator.de/forum/policy-based-routing-mit-mikrotik-750 ...
das das nun alles rennt mit PBR oder war das nun gelogen ??

Das war es nicht, man konnte aber den Server nicht über beide WAN-Adressen erreichen ;) Das geht jetzt, nun funktioniert das pbr aber nicht mehr



Zitat von dog:
Du hast die Regeln in der falschen Reihenfolge!
Regel 9 muss über Regel 7 (eigentlich sogar über Regel 0)!

Dann geht aber kein Internet mehr :/
Bitte warten ..
Mitglied: aqui
13.06.2012 um 13:59 Uhr
@Bene007
Wenns das jetzt war bitte dann auch
http://www.administrator.de/faq/32
nicht vergessen !
Bitte warten ..
Mitglied: Bene007
13.06.2012 um 17:12 Uhr
es wars zwar jetzt nicht, aber ich hab jetzt auch aufgegeben ;) andere lösung
Bitte warten ..
Mitglied: aqui
14.06.2012 um 13:41 Uhr
Schade eigentlich, denn des funktioniert fehlerlos...normalerweise !
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...