ecki33
Goto Top

Mikrotik hex firewall regeln

Hallo mal wieder....
Bin jetzt von einem älteren RB750 auf den aktuellen RB750G3 Hex umgestiegen, geht auch alles soweit. Jedoch habe ich noch Probleme mit den Firewall-Regeln. Habe 4 verschiedene Netze, an eth3 ist auch der Internetrouter. Prinzipiell sollen alle Netze voneinander getrennt sein, aber alle sollen auf das I-Net Zugriff haben und auch z.B. eth2 auf alle anderen Netze. Hatte versucht die alten Regeln zu übernehmen und anzupassen, das geht aber nicht so einfach.
Könnte mir evtl. jemand helfen und ein paar Tips und Vorschläge geben?

Wäre toll, vielen Dank und viele Grüße
Lutz

Content-Key: 333454

Url: https://administrator.de/contentid/333454

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: ecki33
ecki33 28.03.2017 um 20:55:33 Uhr
Goto Top
Ich nochmal, hier ein Versuch meiner filter:

/ip firewall filter

add action=drop chain=forward comment="Internet zeitweise blocken f\FCr 4" \
in-interface=ether4

add action=drop chain=forward comment="Internet zeitweise blocken f\FCr 4" \
in-interface=ether4

add action=drop chain=input comment=\
"MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" \
connection-state=invalid p2p=fasttrack

add action=accept chain=input comment=\
"Bereits vorhandene Verbindungen akzeptieren" connection-nat-state="" \
connection-state=established

add action=accept chain=input comment=\
"Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)" \
connection-state=related protocol=icmp

add action=return chain=forward comment=\
"Neue Verbindungen nach Firewall-Regeln"

add action=accept chain=forward comment=\
"Verbindung von Netz 0.0 initialisiert erlauben" dst-address-type="" \
in-interface=ether2 src-address-type=""

add action=accept chain=forward in-interface=ether4 in-interface-list=all \
out-interface=ether1 out-interface-list=all

add action=drop chain=forward comment="Rest verwerfen"
Mitglied: aqui
aqui 29.03.2017 aktualisiert um 09:31:21 Uhr
Goto Top
Router OS ist Router OS. Eigentlich solltest du bei gleicher Version die Regeln einfach übernehmen können.
Denk an die "First match wins" Regel bei der Reihenfolger der Filterstatements !
Du kannst nichts erlauben und später wieder verbieten oder andersrum !

Im Grunde sind deine Regeln recht einfach:
Am Inbound Interface von Netz 1 steht dann einfach:
DENY Source=Netz 1, Destination= Netz 2
DENY Source=Netz 1, Destination= Netz 3
DENY Source=Netz 1, Destination= Netz 4
PERMIT Source=Netz 1, Destination= any


Analog dann an Netz 2:
DENY Source=Netz 2, Destination= Netz 1
DENY Source=Netz 2, Destination= Netz 3
DENY Source=Netz 2, Destination= Netz 4
PERMIT Source=Netz 2, Destination= any


usw. für die Netz Interfaces.
Wichtig ist hier die Reihenfolge der regeln. Du kannst nicht zuerst z.B. die Permit Regel setzen und dann die Deny Regeln denn durch das "First match wins" Verhalten würde in dem Fall dann die erste Permit Regel matchen und die restlichen nicht mehr abgearbeitet werden.
Das solltest du in der Regel Logik beachten.