MikroTik RB951G-2HnD routeringsvraag

vrijdag 30 september 2016 20:25

Acties:

0 Henk 'm!

Topicstarter

Ik heb een RB951G-2HnD met daarop een XS4All FTTH verbinding met extra IP block.
Ik heb een 7 tal servers hierachter draaien, waarvan er 3 een public IP address hebben.

Wat ik nu al werkend heb is
poort forwards voor poort 80, 443, 21 en 25 naar diverse servers in het interne netwerk.

Nu wil ik ook nog op 3 verschillende machines poort 80 en 443 open hebben staan, dit uiteraard op de publieke IP's.

Als ik de portforwards disable, werken die perfect, zet ik die weer aan worden de publieke IP's naar het interne netwerk door gerouteerd.

Op de MikroTik heb ik Ether1 geconfigureerd als WAN poort met een PPPoE verbinding naar XS4All.
De overige 4 poorten heb ik in een bridge gestopt die Local-Bridge heet

Zijn er nog vragen hoor ik het graag

Check dit en help mee!

vrijdag 30 september 2016 22:08

nescafe

code:

1	add action=dst-nat chain=dstnat dst-port=80 in-interface=pppoe protocol=tcp to-addresses=192.168.2.31

Kennelijk komt je subnet ook via pppoe binnen (dat was voor mij tot op dit moment nog niet duidelijk), dus je moet bij deze rule even je 1e publieke ip-adres toevoegen. Het handigst is het om deze aan een address list toe te voegen zodat je bij een wijziging van je externe ip alleen deze entry hoeft bij te werken.

code:

1 2	/ip firewall address-list add address=x.x.x.x list=me

(NB dit mag ook een DNS-naam zijn, bijv je DynDNS of IP Cloud-adres)

Aan nat voeg je dst-address-list toe:

code:

1 2	/ip firewall nat add action=dst-nat chain=dstnat dst-address-list=me dst-port=80 in-interface=pppoe protocol=tcp to-addresses=192.168.2.31

Let op: je hebt op dit moment geen enkele firewalling op je input- en forwarding chain waardoor je (misschien) vatbaar bent voor o.a. DNS amplification attacks en je hosts met public ip volledig open staan.

Het beste maak je firewall rules als volgt: op je input chain accept from lan, established, related, drop all else. Voor je forward chain accept je from lan, established, related en connection-nat-state=dstnat en de rest drop je.

Daarnaast kun je de bridge laten vervallen; je kunt ether2 master maken en ether3-5 als slave met ether2 als master. Op deze manier zal interne traffic op de switch-chip worden afgehandeld.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

vrijdag 30 september 2016 21:52

Acties:

0 Henk 'm!

nescafe

Waarschijnlijk filter je nu in je port forwarding rule niet op dst-address; voor een vollediger antwoord post je het beste een export van je firewall rules (/ip firewall export).

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

vrijdag 30 september 2016 21:56

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

Oke bij deze

code:

add action=accept chain=input in-interface=pppoe protocol=icmp
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established ipv4-options=any
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 in-interface=pppoe protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 in-interface=pppoe protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 in-interface=pppoe protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 in-interface=pppoe protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 in-interface=pppoe protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=23 in-interface=pppoe protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=23 in-interface=pppoe protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe src-address=192.168.2.0/24 to-addresses=0.0.0.0
add action=dst-nat chain=dstnat dst-port=80 in-interface=pppoe protocol=tcp to-addresses=192.168.2.31
add action=dst-nat chain=dstnat dst-port=443 in-interface=pppoe protocol=tcp to-addresses=192.168.2.22
add action=dst-nat chain=dstnat dst-port=32400 in-interface=pppoe protocol=tcp to-addresses=192.168.2.24
add action=dst-nat chain=dstnat dst-port=25 in-interface=pppoe protocol=tcp to-addresses=192.168.2.26
add action=dst-nat chain=dstnat dst-port=3501 in-interface=pppoe protocol=tcp to-addresses=192.168.2.31 to-ports=3389
add action=dst-nat chain=dstnat dst-port=21 in-interface=pppoe protocol=tcp to-addresses=192.168.2.31

ps.
ik weet dat alles nu wagenwijd open staat
dat komt later wel als alles werkt

Check dit en help mee!

vrijdag 30 september 2016 22:08

Acties:

Beste antwoord ✓
0 Henk 'm!

nescafe

code:

1	add action=dst-nat chain=dstnat dst-port=80 in-interface=pppoe protocol=tcp to-addresses=192.168.2.31

Kennelijk komt je subnet ook via pppoe binnen (dat was voor mij tot op dit moment nog niet duidelijk), dus je moet bij deze rule even je 1e publieke ip-adres toevoegen. Het handigst is het om deze aan een address list toe te voegen zodat je bij een wijziging van je externe ip alleen deze entry hoeft bij te werken.

code:

1 2	/ip firewall address-list add address=x.x.x.x list=me

(NB dit mag ook een DNS-naam zijn, bijv je DynDNS of IP Cloud-adres)

Aan nat voeg je dst-address-list toe:

code:

1 2	/ip firewall nat add action=dst-nat chain=dstnat dst-address-list=me dst-port=80 in-interface=pppoe protocol=tcp to-addresses=192.168.2.31

Let op: je hebt op dit moment geen enkele firewalling op je input- en forwarding chain waardoor je (misschien) vatbaar bent voor o.a. DNS amplification attacks en je hosts met public ip volledig open staan.

Het beste maak je firewall rules als volgt: op je input chain accept from lan, established, related, drop all else. Voor je forward chain accept je from lan, established, related en connection-nat-state=dstnat en de rest drop je.

Daarnaast kun je de bridge laten vervallen; je kunt ether2 master maken en ether3-5 als slave met ether2 als master. Op deze manier zal interne traffic op de switch-chip worden afgehandeld.

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

vrijdag 30 september 2016 23:22

Acties:

0 Henk 'm!

DaMoUsYs

Topicstarter

Heb het toch iets anders opgelost.
De 4 extra IP's heb ik op de PPPoE verbinding er bij gezet enn verder deze handleiding gevolgd
toch bedankt voor de info

https://aacable.wordpress...-ips-and-port-forwarding/

Check dit en help mee!

Onderwerpen

Vraag

Beste antwoord (via DaMoUsYs op 30-09-2016 23:29)

Alle reacties