Microtik default firewall ?

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

In de docu las ik dat de default firewall config aan staat:

https://wiki.mikrotik.com/wiki/Manual:S ... o_a_router

"We strongly suggest to keep default firewall on. Here are few adjustment to make it more secure, make sure to apply the rules, when you understand what are they doing."

In de logs zag ik ondertussen al failed login pogingen. Blijkbaar filtert telenet blijkbaar geen inkomende poorten op business fibernet 200, en staat er helemaal geen deftige fw op de microtik:
default-firewall-omg.png
Want ik kan gewoon naar het public ip van mijn RB11001AHx2 SSH'en.

Mijn internet uplink is ether1, dus ik heb dan maar een default drop rule gezet op alles wat op die poort binnenkomt op de input chain:
default-firewall-drop.png
Als ik de log aanzet op die rule, dan zie ik dat mijn ext IP geportscanned wordt.
Je hebt niet voldoende permissies om de bijlagen van dit bericht te bekijken.
didi79
Elite Poster
Elite Poster
Berichten: 1057
Lid geworden op: 25 jun 2007, 17:19
Locatie: 8930 Rekkem
Uitgedeelde bedankjes: 107 keer
Bedankt: 108 keer
Recent bedankt: 1 keer

Wat is je punt / vraag ?
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Je kan een Mikrotik niet vergelijken met een huis-tuin-en-keuken routertje… wat je niet zelf doet is er niet.

Er is dus in weze geen default firewall... tenzij je misschien een Quick-Set installatie doet waarbij je de paar rules uit je link krijgt (absoluut minimum).

Het is dus aan jou te zorgen dat alles correct staat… en een deny all is een eerste stap (alleen opletten dat je ook jezelf niet buiten sluit).
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Dat is dan wel de mentaliteit op pro toestellen, maar dan nog kan ik de verwarring begrijpen:
die mentaliteit kan 2 richtingen opgaan: ofwel deny all by default, ofwel allow all by default.
Ik zou ook verwachten dat men (cisco gewijs) de deny all by default toer zou opgaan.
Gebruikersavatar
Sasuke
userbase crew
userbase crew
Berichten: 5526
Lid geworden op: 13 aug 2003, 20:25
Locatie: Vlaanderen
Uitgedeelde bedankjes: 238 keer
Bedankt: 467 keer
Recent bedankt: 6 keer

Bij de aanschaf van mijn mikrotik tijdje geleden, zelfde model, was dat ook iets wat mij opviel. Default install is dat ding zo lek als een zeef, iets wat zelfs een huis/tuin/keuken router beter doet. En Enterprise toestellen/firewalls hebben by default ook mooi een Deny all staan.

Verder best wel tevreden ervan, na een config van 2 dagen spelen :-)
Who the fxxk is General Failure and why is he reading my hard disk ?
Afbeelding
yaris
Premium Member
Premium Member
Berichten: 564
Lid geworden op: 14 mei 2004, 00:16
Uitgedeelde bedankjes: 16 keer
Bedankt: 34 keer
Recent bedankt: 1 keer

Klopt.Hier ook mikrotik in huis. Vooral genomen omdat ik een switch / router / AP in 1 wilde en makkelijk een span poort kon maken voor packets capturing.
Is wel een steile leercurve en als je niks noties hebt van netwerken bijna onbegonnen werk.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5250
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

ik meen toch dat er meer firewall rules instaan als te zien zijn in je screenshot...
zeker dat jer er niet ooit een reset config op gedaan hebt en geen default config hebt laten inladen bij de restore?
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Splitter schreef:zeker dat jer er niet ooit een reset config op gedaan hebt en geen default config hebt laten inladen bij de restore?
Hij heeft inderdaad geen Quick-Set setup gedaan... en dan is alles volledig leeg.
Gebruikersavatar
Splitter
Elite Poster
Elite Poster
Berichten: 5250
Lid geworden op: 10 maa 2010, 12:30
Uitgedeelde bedankjes: 64 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

r2504 schreef:Hij heeft inderdaad geen Quick-Set setup gedaan... en dan is alles volledig leeg.
zelfs zonder quick setup staat er toch meer in?
mijn 2011 en hap ac hadden toch beide redelijke defaults.
en als je je config reset (via reset optie in winbox) moet je ook specifiek aanvinken van no default config ofzo om een volledig lege config te krijgen...


overigens:
ub4b schreef: In de logs zag ik ondertussen al failed login pogingen.
....
Als ik de log aanzet op die rule, dan zie ik dat mijn ext IP geportscanned wordt
welcome to the internets?
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Sasuke schreef: Default install is dat ding zo lek als een zeef, iets wat zelfs een huis/tuin/keuken router beter doet. En Enterprise toestellen/firewalls hebben by default ook mooi een Deny all staan.
Ja die standaard wizard is zo lek als een zeef. De firewall staat default op permissive, dus wat je niet expliciet dropped, wordt doorgelaten.
Na een paar uur spelen nu vlans met trunking aan de praat. Vervangt een dd-wrt router en een tp-link easy smart switch.

Verder best wel tevreden ervan, na een config van 2 dagen spelen :-)
Hier al na een dag een werkende config voor mekaar. Gelukkig zit er linux met iptables onder de moterkap, en is het vooral zoeken hoe je iets doet door hun GUI. Enkel openvpn moet ik er nog opzetten. Misschien koop ik nog een 2e erbij om mee te spelen en configs op te testen.
Plaats reactie

Terug naar “Netwerken en Security”