Microtik default firewall ?

ub4b
Elite Poster
Elite Poster
Berichten: 3450
Lid geworden op: 12 Jan 2006
Bedankt: 305 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 54 keer

Microtik default firewall ?

Berichtdoor ub4b » 25 Jun 2018, 18:24

In de docu las ik dat de default firewall config aan staat:

https://wiki.mikrotik.com/wiki/Manual:S ... o_a_router

"We strongly suggest to keep default firewall on. Here are few adjustment to make it more secure, make sure to apply the rules, when you understand what are they doing."

In de logs zag ik ondertussen al failed login pogingen. Blijkbaar filtert telenet blijkbaar geen inkomende poorten op business fibernet 200, en staat er helemaal geen deftige fw op de microtik:

default-firewall-omg.png


Want ik kan gewoon naar het public ip van mijn RB11001AHx2 SSH'en.

Mijn internet uplink is ether1, dus ik heb dan maar een default drop rule gezet op alles wat op die poort binnenkomt op de input chain:

default-firewall-drop.png


Als ik de log aanzet op die rule, dan zie ik dat mijn ext IP geportscanned wordt.
Je hebt niet voldoende permissies om de bijlagen te bekijken van dit bericht.

didi79
Pro Member
Pro Member
Berichten: 417
Lid geworden op: 25 Jun 2007
Bedankt: 33 keer
Uitgedeelde bedankjes: 9 keer

Re: Microtik default firewall ?

Berichtdoor didi79 » 25 Jun 2018, 19:20

Wat is je punt / vraag ?

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28655
Lid geworden op: 28 Okt 2003
Bedankt: 1878 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 373 keer

Re: Microtik default firewall ?

Berichtdoor r2504 » 25 Jun 2018, 19:47

Je kan een Mikrotik niet vergelijken met een huis-tuin-en-keuken routertje… wat je niet zelf doet is er niet.

Er is dus in weze geen default firewall... tenzij je misschien een Quick-Set installatie doet waarbij je de paar rules uit je link krijgt (absoluut minimum).

Het is dus aan jou te zorgen dat alles correct staat… en een deny all is een eerste stap (alleen opletten dat je ook jezelf niet buiten sluit).

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6537
Lid geworden op: 28 Jan 2012
Bedankt: 482 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 95 keer

Re: Microtik default firewall ?

Berichtdoor ITnetadmin » 25 Jun 2018, 20:00

Dat is dan wel de mentaliteit op pro toestellen, maar dan nog kan ik de verwarring begrijpen:
die mentaliteit kan 2 richtingen opgaan: ofwel deny all by default, ofwel allow all by default.
Ik zou ook verwachten dat men (cisco gewijs) de deny all by default toer zou opgaan.

Gebruikersavatar
Sasuke
Elite Poster
Elite Poster
Berichten: 2936
Lid geworden op: 13 Aug 2003
Locatie: Vlaanderen
Bedankt: 120 keer
Uitgedeelde bedankjes: 37 keer
Contact:

Re: Microtik default firewall ?

Berichtdoor Sasuke » 25 Jun 2018, 20:40

Bij de aanschaf van mijn mikrotik tijdje geleden, zelfde model, was dat ook iets wat mij opviel. Default install is dat ding zo lek als een zeef, iets wat zelfs een huis/tuin/keuken router beter doet. En Enterprise toestellen/firewalls hebben by default ook mooi een Deny all staan.

Verder best wel tevreden ervan, na een config van 2 dagen spelen :-)
Logic - The art of being wrong with confidence !
Afbeelding

yaris
Plus Member
Plus Member
Berichten: 153
Lid geworden op: 14 Mei 2004
Bedankt: 4 keer
Uitgedeelde bedankjes: 2 keer

Re: Microtik default firewall ?

Berichtdoor yaris » 25 Jun 2018, 22:20

Klopt.Hier ook mikrotik in huis. Vooral genomen omdat ik een switch / router / AP in 1 wilde en makkelijk een span poort kon maken voor packets capturing.
Is wel een steile leercurve en als je niks noties hebt van netwerken bijna onbegonnen werk.

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3207
Lid geworden op: 10 Mar 2010
Bedankt: 334 keer
Uitgedeelde bedankjes: 48 keer

Re: Microtik default firewall ?

Berichtdoor Splitter » 25 Jun 2018, 22:50

ik meen toch dat er meer firewall rules instaan als te zien zijn in je screenshot...
zeker dat jer er niet ooit een reset config op gedaan hebt en geen default config hebt laten inladen bij de restore?
ooit zal hier iets nuttigs staan

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28655
Lid geworden op: 28 Okt 2003
Bedankt: 1878 keer
Recent bedankt: 11 keer
Uitgedeelde bedankjes: 373 keer

Re: Microtik default firewall ?

Berichtdoor r2504 » 25 Jun 2018, 23:23

Splitter schreef:zeker dat jer er niet ooit een reset config op gedaan hebt en geen default config hebt laten inladen bij de restore?


Hij heeft inderdaad geen Quick-Set setup gedaan... en dan is alles volledig leeg.

Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 3207
Lid geworden op: 10 Mar 2010
Bedankt: 334 keer
Uitgedeelde bedankjes: 48 keer

Re: Microtik default firewall ?

Berichtdoor Splitter » 25 Jun 2018, 23:37

r2504 schreef:Hij heeft inderdaad geen Quick-Set setup gedaan... en dan is alles volledig leeg.


zelfs zonder quick setup staat er toch meer in?
mijn 2011 en hap ac hadden toch beide redelijke defaults.
en als je je config reset (via reset optie in winbox) moet je ook specifiek aanvinken van no default config ofzo om een volledig lege config te krijgen...


overigens:
ub4b schreef:In de logs zag ik ondertussen al failed login pogingen.
....
Als ik de log aanzet op die rule, dan zie ik dat mijn ext IP geportscanned wordt


welcome to the internets?
ooit zal hier iets nuttigs staan

ub4b
Elite Poster
Elite Poster
Berichten: 3450
Lid geworden op: 12 Jan 2006
Bedankt: 305 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 54 keer

Re: Microtik default firewall ?

Berichtdoor ub4b » 26 Jun 2018, 02:05

Sasuke schreef: Default install is dat ding zo lek als een zeef, iets wat zelfs een huis/tuin/keuken router beter doet. En Enterprise toestellen/firewalls hebben by default ook mooi een Deny all staan.


Ja die standaard wizard is zo lek als een zeef. De firewall staat default op permissive, dus wat je niet expliciet dropped, wordt doorgelaten.
Na een paar uur spelen nu vlans met trunking aan de praat. Vervangt een dd-wrt router en een tp-link easy smart switch.


Verder best wel tevreden ervan, na een config van 2 dagen spelen :-)


Hier al na een dag een werkende config voor mekaar. Gelukkig zit er linux met iptables onder de moterkap, en is het vooral zoeken hoe je iets doet door hun GUI. Enkel openvpn moet ik er nog opzetten. Misschien koop ik nog een 2e erbij om mee te spelen en configs op te testen.


Terug naar “Netwerken en Security”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast