Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

MikroTik - Schaffe es nicht die VLANs ans Internet zu binden. Wer kennt sich aus

Frage Netzwerke Router & Routing

Mitglied: DrGibble

DrGibble (Level 1) - Jetzt verbinden

08.10.2009 um 20:28 Uhr, 9583 Aufrufe, 10 Kommentare

Irgendwo fehlt eine Einstellung in den NAT/MASQ oder ich habe eine zuviel die alles blockt?

Ich konnte den MikroTik Router RB750 schon soweit einrichten das ich ein funktionierendes Netzwerk habe mit Anschluss an das Internet.
Auch die eingerichteten VLANs funktionieren über den Cisco SRW224G4 Layer2 Managed Switch.

Über die WinBox vom MikroTik lassen sich die einzelnen PCs in den VLANs auch anpingen und umgekehrt.
Leider hat kein einziger Client-PC Zugriff auf das Internet. Welche NAT/MASQ Regel habe ich vergessen oder zuviel das irgendetwas geblockt wird?

Jedes VLAN hat seinen eigenen IP-Bereich mit eigenem DHCP-Server:
  • ether1 = Dort hängt das reine DSL-Modem dran
  • ether2 = Port zum Switch (IP: 192.168.1.1/24, Network:192.168.1.0, Broadcast:192.168.1.255, DNS/Gateway:192.168.1.1)
        • vlan10-office (IP: 192.168.10.1/24, Network:192.168.10.0, Broadcast:192.168.10.255)
        • vlan20-private (IP: 192.168.20.1/24, Network:192.168.20.0, Broadcast:192.168.20.255) usw...

/interface ethernet
set 0 arp=enabled auto-negotiation=yes comment="ethernet to wan" disabled=no full-duplex=yes l2mtu=1526 mac-address=\
00:0C:42:57:13:0C mtu=1500 name=ether1-wan speed=100Mbps
set 1 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="ethernet to cisco switch" disabled=no \
full-duplex=yes l2mtu=1524 mac-address=00:0C:42:57:13:0D master-port=none mtu=1500 name=ether2-switch speed=\
100Mbps
set 2 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="" disabled=no full-duplex=yes l2mtu=\
1524 mac-address=00:0C:42:57:13:0E master-port=none mtu=1500 name=ether3 speed=100Mbps
set 3 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="" disabled=no full-duplex=yes l2mtu=\
1524 mac-address=00:0C:42:57:13:0F master-port=none mtu=1500 name=ether4 speed=100Mbps
set 4 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="ethernet test port" disabled=no \
full-duplex=yes l2mtu=1524 mac-address=00:0C:42:57:13:10 master-port=none mtu=1500 name=ether5 speed=100Mbps

/interface vlan
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan20-private \
use-service-tag=no vlan-id=20
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan10-office \
use-service-tag=no vlan-id=10
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan30-wlan use-service-tag=\
no vlan-id=30
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan50-server \
use-service-tag=no vlan-id=50

/ip firewall filter
add action=accept chain=input comment="default configuration" disabled=no protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=established disabled=no in-interface=ether1-wan
add action=accept chain=input comment="default configuration" connection-state=related disabled=no in-interface=ether1-wan
add action=drop chain=input comment="default configuration" disabled=no in-interface=ether1-wan
add action=accept chain=input comment="Accept established connections" connection-state=established disabled=no
add action=accept chain=input comment="Accept related connections" connection-state=related disabled=no
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid disabled=yes
add action=accept chain=input comment=UDP disabled=no protocol=udp
add action=accept chain=input comment="Allow limited pings" disabled=no limit=50/5s,2 protocol=icmp
add action=drop chain=input comment="Drop excess pings" disabled=yes protocol=icmp
add action=log chain=input comment="Log everything else" disabled=no log-prefix="DROP INPUT"
add action=drop chain=input comment="Drop everything else" disabled=yes
add action=accept chain=input comment="From our LAN" disabled=no in-interface=ether2-switch src-address=192.168.1.0/24
add action=accept chain=input comment="" disabled=no in-interface=ether2-switch src-address=192.168.10.0/24
add action=accept chain=input comment="POP3 Eingang" disabled=no dst-port=110 in-interface=ether1-wan protocol=tcp
add action=accept chain=input comment=openVPN disabled=no protocol=tcp src-port=1194

/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.1.0/24
add action=dst-nat chain=dstnat comment="" disabled=yes to-addresses=192.168.10.0-192.168.10.255
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.20.0/24
add action=dst-nat chain=dstnat comment="Forward: SMTP for XMail" disabled=no dst-port=25 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=50025
add action=dst-nat chain=dstnat comment="Forward POP3 for XMail" disabled=no dst-port=110 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=50110
add action=dst-nat chain=dstnat comment="Forward IMAP for XMail" disabled=no dst-port=143 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=143
add action=dst-nat chain=dstnat comment="Forward Finger for XMail" disabled=no dst-port=79 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=50079
add action=dst-nat chain=dstnat comment="Forward Mail CTRL for XMail (remote control access)" disabled=no dst-port=6017 in-interface=\
ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=6017
add action=dst-nat chain=dstnat comment="" disabled=no dst-port=6017 in-interface=ether1-wan protocol=udp to-addresses=192.168.1.10 \
to-ports=6017
add action=dst-nat chain=dstnat comment=MySQL-Server disabled=no dst-port=3306 in-interface=ether1-wan protocol=tcp to-addresses=\
192.168.1.10 to-ports=3306

Ich probiere schon seid 1 Woche an den Einstellungen herum aber komme auf keinen grünen Zweig.
Wäre nett wenn sich jemand mit MikroTik Routern auskennt und mir unter die Arme greifen könnte.

Vielen Dank im Voraus

Gruß

Boris
Mitglied: dog
08.10.2009 um 21:03 Uhr
Eine Möglichkeit wäre:

01.
/ip fire nat add out-inter=pppoe-out1 action=masq chain=srcnat
Ich persönlich benutze:

01.
/ip fire nat add src-ad=10.x.x.0/24 action=masq chain=srcnat
Um dir auch eine dritte Möglichkeit nicht zu verschweigen:

01.
/ip fire nat add dst-ad=!10.x.x.0/24 action=masq chain=srcnat

Natürlich muss die Firewall den Traffic auch erlauben.
Und da du hier mit mehreren Subnets arbeitest empfiehlt es sich Address Lists zu benutzen (Lösung 2 und 3).

2. Du benutzt in allen deinen Regeln ether1-wan
Das solltest du aber nicht, wenn auf dem Router ein PPPoE-Client installiert ist.
In dem Fall hältst du das ether1-Interface aus allen Regeln raus und benutzt das pppoe-Interface.

Grüße

Max
Bitte warten ..
Mitglied: DrGibble
08.10.2009 um 21:27 Uhr
Zitat von dog:
Eine Möglichkeit wäre:
01.
/ip fire nat add out-inter=pppoe-out1 action=masq chain=srcnat
Habe ich soeben probiert, funktioniert leider nicht.

Ich persönlich benutze:
01.
/ip fire nat add src-ad=10.x.x.0/24 action=masq chain=srcnat
Die hatte ich bereits drin:
01.
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.10.0/24 //VLAN10 
02.
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.20.0/24 //VLAN20
Aber sie scheinen nicht zu greifen?

Um dir auch eine dritte Möglichkeit nicht zu verschweigen:
01.
/ip fire nat add dst-ad=!10.x.x.0/24 action=masq chain=srcnat
Wofür steht denn das Ausrufezeichen? Negation?

Natürlich muss die Firewall den Traffic auch erlauben.
Und genau hier liegt glaube ich mein Problem?
Was müsste ich denn einstellen damit der Traffic auch in die einzelnen VLANs erlaubt wird?
Oder anders gesagt ... welche schon vorhandene Regel blockiert diesen Traffic?
Im englischen Forum habe ich schon gesucht nur da steht immer das beim routing per default alles erlaubt ist bis man es explizit unterbindet.
Aber selbst die VLANs untereinander können sich bei mir nicht sehen obwohl das auch möglich sein sollte?

Und da du hier mit mehreren Subnets arbeitest empfiehlt es sich
Address Lists zu benutzen (Lösung 2 und 3).
Eine Adressliste habe ich bereits drin (allVLANs = 192.168.10.1-192.168.50.1)
Wollte das ganze aber erst einmal an einem einzelnen VLAn testen bevor ich alles einstelle.
Bitte warten ..
Mitglied: dog
08.10.2009 um 21:39 Uhr
Wirf doch bitte mal alle Filtering und alle NAT-Regeln raus. (Du kannst ja ein Backup der Router-Konfiguration anlegen)
Damit hast du den Grundzustand hergestellt in dem gilt:

Ja, RouterOS routet erstmal alle Subnets zueinander, solange man es ihm nicht verbietet.

Dadurch sollten zwei Effekte eintreten:

- A: Internetzugriff ist nur noch vom Router aus möglich
- B: Die einzelnen VLANs können sich untereinander erreichen.

Passiert das nicht hast du einen tiefergreifenden Fehler.

Danach fangen wir mit NAT an:

01.
ip firewall nat add chain=srcnat out-interface=pppoe-out1 action=masq comment="Allen Traffic nach draußen sNatten"
Beachte, das ich hier als Interface pppoe-out1 und nicht ether1 verwende, weil der Traffic durch den PPPoE-Client geht und nicht durch das Interface per se.
(Apropros: Du hast doch einen PPPoE-Client auf dem Router oder nicht?)

Jetzt sollte sich Effekt A aufheben und alle Geräte Internetzugriff haben.

Weiter geht's nach dem nächsten Kommentar

Grüße

Max
Bitte warten ..
Mitglied: DrGibble
09.10.2009 um 13:43 Uhr
So, ich habe alle Filter und NAT-Regel deaktiviert bis auf auf die
01.
ip firewall nat add chain=srcnat out-interface=pppoe-out1 action=masq comment="Allen Traffic nach draußen sNatten"
Und siehe da ... ich kann in die verschiedenen VLANs routen und alle können ins Internet.
Da brauche ich wohl noch ein wenig Nachhilfe in Sachen Filter-Regeln und NAT bzw. MASQ

Die NAT-Einstellungen können ja so alle bestehen bleiben da sie bis auf die erste ja alle bestimmte Ports für meinen NAS-Server forwarden.
01.
add action=masquerade chain=srcnat disabled=no out-interface=ppoe-out 
02.
add action=dst-nat chain=dstnat comment="Forward: SMTP for XMail" disabled=no dst-port=25 in-interface=ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=50025 
03.
add action=dst-nat chain=dstnat comment="Forward POP3 for XMail" disabled=no dst-port=110 in-interface=ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=50110 
04.
add action=dst-nat chain=dstnat comment="Forward IMAP for XMail" disabled=no dst-port=143 in-interface=ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=143 
05.
add action=dst-nat chain=dstnat comment="Forward Finger for XMail" disabled=no dst-port=79 in-interface=ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=50079 
06.
add action=dst-nat chain=dstnat comment="Forward Mail CTRL for XMail (remote control access)" disabled=no dst-port=6017 in-interface=ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=6017 
07.
add action=dst-nat chain=dstnat comment="" disabled=no dst-port=6017 in-interface=ether1-wan protocol=udp to-addresses=192.168.1.10 to-ports=6017 
08.
add action=dst-nat chain=dstnat comment=MySQL-Server disabled=no dst-port=3306 in-interface=ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=3306
Jetzt muss ich mir die Firewall Filter-Regeln nochmals näher anschauen wofür die im einzelnen stehen (habe sie auch nur aus diversen Tutorials im englischen MikroTik-Forum.

Könntest Du mir noch bitte mit den MASQ-Einstellungen helfen um bestimmte VLAN-Bereiche untereinander abzuschotten?
  • VLAN10-office (darf ins Internet und sich nur mit dem VLAN50-server verbinden wo der NAS-Server und Netzwerkdrucker drin ist)
  • VLAN20-private (das selbe wie VLAN10)
  • VLAN30-wlan (darf ausschliesslich ins Internet und auf keines der anderen VLANs Zugriff haben)

Vielen Dank für Deine Hilfe

greetz

Boris
Bitte warten ..
Mitglied: dog
09.10.2009 um 18:24 Uhr
OK, das mit der Firewall ist eigentlich ganz einfach *fg*

Es gibt 3 Chains:
INPUT - Alles was direkt an den Router selbst geht
OUTPUT - Alles was direkt vom Router selbst kommt
FORWARD - Alles was durch den Router geht (hier gehört auch NAT zu, da das vor der Firewall aufgelöst wird)

Du musst jetzt etwas genauer überlegen, weil du einen Router mit 5 Seiten hast:
- Internet
- vlan10
- vlan20
- vlan30
- vlan50

Zuerst wollen wir mal den Router aus Richtung Internet absichern.
Dafür benutzen wir den input-Chain und als in-interface den pppoe Client.
Weil wir aber alle Faul sind arbeiten wir hier mit Sub-Chains (dazu benutzt man die actions jump und return).
Das sieht dann beispielsweise so aus:
01.
add action=jump chain=input comment="A Router Input von PPPoE durch PPP_INPUT-Filter jagen" disabled=no in-interface=\ 
02.
    pppoe-telekom1 jump-target=R1 
03.
add action=drop chain=R1 comment="CCC Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=\ 
04.
    invalid disabled=no 
05.
add action=drop chain=R1 comment="CCC IP-Sperrliste" disabled=no src-address-list=lockout 
06.
add action=drop chain=R1 comment="CCC Erkannte Portscanner droppen" disabled=no src-address-list=portscan 
07.
add action=accept chain=R1 comment="CCC Bereits vorhandene Verbindungen akzeptieren" connection-state=established \ 
08.
    disabled=no 
09.
add action=accept chain=R1 comment="CCC Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related \ 
10.
    disabled=no 
11.
add action=add-src-to-address-list address-list=portscan address-list-timeout=24m chain=R1 comment=\ 
12.
    "CCC Port Scan erkennen und in Addresslist aufnehmen" disabled=no protocol=tcp psd=21,3s,3,1 
13.
add action=return chain=R1 comment="CCC Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no 
14.
add action=accept chain=PPP_INPUT comment="AA ICMP Echo Request erlauben (ping)" disabled=no icmp-options=8:0 protocol=\ 
15.
    icmp 
16.
add action=log chain=PPP_INPUT comment="AA Bevor wir es droppen loggen wir es nochmal" disabled=no log-prefix="[NDROP]" 
17.
add action=add-src-to-address-list address-list=lockout address-list-timeout=1d chain=PPP_INPUT comment=\ 
18.
    "AA wenn wir sie schon droppen sperren wir sie auch gleich noch" disabled=no 
19.
add action=drop chain=PPP_INPUT comment="AA Input-Standardregel: Alles ablehnen" disabled=no
Jetzt geht es an die Regeln fürs Forwarding:
Als erstes wollen wir mal die Firewall entlasten, darum kommen diese drei Regeln hinzu:
01.
add action=drop chain=forward comment="CCC Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid 
02.
add action=accept chain=forward comment="CCC Bereits vorhandene Verbindungen akzeptieren" connection-state=established 
03.
add action=accept chain=forward comment="CCC Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related
Dann erlauben wir allen Traffic ins Internet:
01.
add chain=forward action=accept comment="Allen Traffic ins Internet erlauben" out-interface=pppoe-out1
Dann legst du eine Address-List an mit dem Namen "Server-Access" und trägst dort die beiden Subnets von VLAN10 und VLAN20 ein.
Und dann erlauben wir den Traffic:
01.
add chain=forward action=accept comment="Traffic zum Server erlauben" src-address-list=server-access dst-address=...
Und zum Schluss machen wir alles andere dicht:
01.
add chain=forward action=drop comment="Standardregel: Alles verwerfen"
(nicht getestet)

Grüße

Max
Bitte warten ..
Mitglied: DrGibble
10.10.2009 um 17:11 Uhr
Erstmal ein dickes Lob für die sehr ausführliche Hilfe. Du weisst gar nicht wie sehr Du mir damit geholfen hast.
Alles läuft perfekt und das Netzwerk ist jetzt auch noch sicher *gg*

Ich habe die Firewall Filter-Regeln so eingestellt wie Du sie angegeben hast und dank Deiner ausführlichen Erklärung auch noch verstanden und erweitert.
Was mich aber noch interessiert ist das chain=R1 R1 kenne ich nicht. Was bedeutet das?

Und ist das so richtig das z.B. beide Regeln vorhanden sein müssen:
01.
add action=drop chain=R1 comment="CCC Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no  
02.
add action=drop chain=forward comment="CCC Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid 
Zudem habe ich noch gelesen das die Reihenfolge entscheidend ist und von oben nach unten abgearbeitet wird. Müsste daher nicht
01.
add action=drop chain=forward comment="CCC Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid 
auch nach ganz oben?

Hier mal mein aktueller Auszug der Filter-Regeln (die ersten 8 Regeln sind noch aus dem Wiki gegen Brute Force-Attacken):
01.
add action=drop chain=input comment="drop ftp brute forces" disabled=no dst-port=21 protocol=tcp src-address-list=\ 
02.
    ftp_blacklist 
03.
add action=accept chain=output comment="" content="530 Login incorrect" disabled=no dst-limit=\ 
04.
    1/1m,9,dst-address/1m protocol=tcp 
05.
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output comment="" \ 
06.
    content="530 Login incorrect" disabled=no protocol=tcp 
07.
add action=drop chain=input comment="drop ssh brute forces" disabled=no dst-port=22 protocol=tcp src-address-list=\ 
08.
    ssh_blacklist 
09.
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input comment="" \ 
10.
    connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3 
11.
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input comment="" \ 
12.
    connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2 
13.
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input comment="" \ 
14.
    connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1 
15.
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input comment="" \ 
16.
    connection-state=new disabled=no dst-port=22 protocol=tcp 
17.
add action=accept chain=input comment="default configuration" disabled=yes protocol=icmp 
18.
add action=accept chain=input comment="default configuration" connection-state=established disabled=yes \ 
19.
    in-interface=ether1-wan 
20.
add action=accept chain=input comment="default configuration" connection-state=related disabled=yes in-interface=\ 
21.
    ether1-wan 
22.
add action=drop chain=input comment="default configuration" disabled=yes in-interface=ether1-wan 
23.
add action=accept chain=input comment=openVPN disabled=yes protocol=tcp src-port=1194 
24.
add action=jump chain=input comment="A Router Input von PPoE durch PPP_INPUT-Filter jagen" disabled=no \ 
25.
    in-interface=pppoe-out jump-target=R1 
26.
add action=drop chain=R1 comment="CCC IP-Sperrliste" disabled=no src-address-list=lockout 
27.
add action=drop chain=R1 comment="CCC Erkannte Portscanner droppen" disabled=no src-address-list=portscan 
28.
add action=accept chain=R1 comment="CCC Bereits vorhandene Verbindungen akzeptieren" connection-state=established \ 
29.
    disabled=no 
30.
add action=accept chain=R1 comment="CCC Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)" connection-state=\ 
31.
    related disabled=no 
32.
add action=add-src-to-address-list address-list=portscan address-list-timeout=24m chain=R1 comment=\ 
33.
    "CCC Port Scan erkennen und in Addresslist aufnehmen" disabled=no protocol=tcp psd=21,3s,3,1 
34.
add action=return chain=R1 comment="CCC Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no 
35.
add action=accept chain=PPP_INPUT comment="AA ICMP Echo Request erlauben (ping)" disabled=no icmp-options=8:0 \ 
36.
    protocol=icmp 
37.
add action=log chain=PPP_INPUT comment="AA Bevor wir es droppen loggen wir es nochmal" disabled=no log-prefix=\ 
38.
    "[NDROP]" 
39.
add action=add-src-to-address-list address-list=lockout address-list-timeout=1d chain=PPP_INPUT comment=\ 
40.
    "AA wenn wir sie schon droppen sperren wir sie auch gleich noch" disabled=no 
41.
add action=drop chain=PPP_INPUT comment="AA Input-Standardregel: Alles ablehnen" disabled=no 
42.
add action=drop chain=forward comment="CCC MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" \ 
43.
    connection-state=invalid disabled=no 
44.
add action=accept chain=forward comment="CCC Bereits vorhandene Verbindungen akzeptieren" connection-state=\ 
45.
    established disabled=no 
46.
add action=accept chain=forward comment="CCC Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)" \ 
47.
    connection-state=related disabled=no 
48.
add action=drop chain=R1 comment="CCC MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" \ 
49.
    connection-state=invalid disabled=no 
50.
add action=accept chain=forward comment="Allen Traffic ins Internet erlauben" disabled=no out-interface=pppoe-out 
51.
add action=accept chain=forward comment="Traffic zum Server erlauben" disabled=no dst-address=192.168.50.50 \ 
52.
    src-address-list=server-access 
53.
add action=drop chain=forward comment="Standardregel: Alles verwerfen!!!" disabled=no
Bitte warten ..
Mitglied: dog
10.10.2009 um 17:37 Uhr
chain=R1 ist ein eigener Chain, den ich definiert habe.
Das ist in dem Moment sinnvoll, in dem du mehrere der Standard-Chains durch die selben Regeln filtern willst.
Über die action=jump wechselst du in einen anderen chain und über action=return wieder zurück in den vorherigen.

Wenn du z.B. input und forward erstmal den selben Filtern unterziehen willst fügst du zu beginn für beide chains eine jump-Action ein...

Und ist das so richtig das z.B. beide Regeln vorhanden sein müssen:

Das passiert wenn man es nicht so macht, wie ich es grade erklärt habe
Eine Regel betrifft hier den R1-chain (der eine weiterleitung aus dem input-Chain ist) und eine den forward-Chain.
Da du ja jetzt weißt, was es mit den chains auf sich hat kannst du es ja auf eine Regel reduzieren

Müsste daher nicht [...] auch nach ganz oben?

Sorry, bei meinen Regeln hat sich ein bisschen der Copy&Paste Fehlerteufel eingeschlichen.
Ich habe sie nochmal korrigiert:
01.
add action=jump chain=input comment="A Router Input von PPPoE durch R1-Filter jagen (CCC)" disabled=no in-interface=pppoe-out jump-target=R1 
02.
 
03.
add action=drop                    chain=R1 comment="CCC MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no 
04.
add action=drop                    chain=R1 comment="CCC IP-Sperrliste"                                                 disabled=no src-address-list=lockout 
05.
add action=drop                    chain=R1 comment="CCC Erkannte Portscanner droppen"                                  disabled=no src-address-list=portscan 
06.
add action=accept                  chain=R1 comment="CCC Bereits vorhandene Verbindungen akzeptieren"                   connection-state=established disabled=no 
07.
add action=accept                  chain=R1 comment="CCC Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)"        connection-state=related disabled=no 
08.
add action=add-src-to-address-list chain=R1 comment="CCC Port Scan erkennen und in Addresslist aufnehmen"               address-list=portscan address-list-timeout=24m  disabled=no protocol=tcp psd=21,3s,3,1 
09.
add action=accept                  chain=R1 comment="CCC ICMP Echo Request erlauben (ping)"                             disabled=no icmp-options=8:0 protocol=icmp 
10.
add action=log                     chain=R1 comment="CCC Bevor wir es droppen loggen wir es nochmal"                    disabled=no log-prefix="[NDROP]" 
11.
add action=add-src-to-address-list chain=R1 comment="CCC wenn wir sie schon droppen sperren wir sie auch gleich noch"   address-list=lockout address-list-timeout=1d  disabled=no 
12.
add action=drop                    chain=R1 comment="CCC Input-Standardregel: Alles ablehnen"                           disabled=no 
13.
 
14.
add action=drop   chain=forward comment="B MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no 
15.
add action=accept chain=forward comment="B Bereits vorhandene Verbindungen akzeptieren"                   connection-state=established disabled=no 
16.
add action=accept chain=forward comment="B Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)"        connection-state=related disabled=no 
17.
add action=accept chain=forward comment="B Allen Traffic ins Internet erlauben"                           disabled=no out-interface=pppoe-out 
18.
add action=accept chain=forward comment="B Traffic zum Server erlauben"                                   disabled=no dst-address=192.168.50.50 src-address-list=server-access 
19.
add action=drop   chain=forward comment="B Standardregel: Alles verwerfen!!!"                             disabled=no
(Bitte im großen Fenster öffnen)

Grüße

Max
Bitte warten ..
Mitglied: DrGibble
11.10.2009 um 11:54 Uhr
Danke für die ausführliche Hilfe mit den Filter-Regeln.
Das man einen eigenen chain definieren kann wusste ich noch nicht. So lernt man immer wieder neues hinzu.

Über die action=jump wechselst du in einen anderen chain und über action=return wieder zurück in den vorherigen.
Müsste dann nicht in Zeile 13 nach dem "CCC Input-Standardregel: Alles ablehnen" die action=return Regel angewendet werden da nachfolgend ja kein chain=R1 mehr kommt?
01.
add action=return chain=R1 comment="CCC Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no 
Bitte warten ..
Mitglied: dog
11.10.2009 um 17:47 Uhr
Nö, die Regel ist ja so allgemein gehalten, dass jedes Paket was es bis dahin noch gibt in sie reinlaufen würde.
Eine Regel return, die danach kommt würde also niemals aufgerufen werden.

Stell es dir am Besten so vor: Jedes Paket fällt von oben runter - solange bis eine Regel auf es zutrifft.

Grüße

Max
Bitte warten ..
Mitglied: DrGibble
11.10.2009 um 18:14 Uhr
Ok, dann ist es so nun richtig eingestellt.

Auch wenn ich mich wiederhole ...
Ich kann Dir gar nicht genug danken für Deine große und sehr ausführliche Hilfe!

Besten Dank, schöne Grüße und ein erholsamen Sonntag Abend

der Doc
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
gelöst Mikrotik - Clients haben keinen Internet Zugang (43)

Frage von 118080 zum Thema Router & Routing ...

Router & Routing
gelöst Konfiguration von Vlans auf Mikrotik 750gr3 (15)

Frage von Uwoerl zum Thema Router & Routing ...

Router & Routing
gelöst Mikrotik ins Internet bringen (8)

Frage von 118080 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...