Firewall - reguła 'drop' blokuje Internet i SMB

Bezpieczeństwo sieci bezprzewodowych

Firewall - reguła 'drop' blokuje Internet i SMB

Postprzez ckarol86 » So, 18-04-2020 14:20

Witam,
Mam problem z firewall'em. Blokuje się komunikacja po włączeniu reguł 'drop' (które są oczywiście domyślne), nie mam połączenia do Internetu (czasem nie ma pinga na wp.pl, czasem nawet na 8.8.8.8) po VPNie i urządzenia nie widzą się po SMB.

W tej chwili wszystko działa poprawnie, do momentu włączenia 'drop', konfiguracja firewalla poniżej:

Kod: Zaznacz cały
/ip firewall filter
add action=accept chain=input comment=dns dst-port=53 in-interface=bridge1  protocol=udp
add action=accept chain=input comment="web http" port=80 protocol=tcp
add action=accept chain=input comment="web https" port=8443 protocol=tcp
add action=accept chain=input comment=winbox port=8291 protocol=tcp
add action=accept chain=forward dst-address=192.168.1.50 port= 445,137,138,139,2049,111 protocol=tcp
add action=accept chain=forward dst-address=192.168.100.50 port=445,137,138,139,2049,111 protocol=tcp src-address=192.168.1.50
add action=accept chain=input comment=l2tp port=1701,500,4500 protocol=udp
add action=accept chain=input comment=l2tp protocol=ipsec-esp
add action=accept chain=forward comment=ftps port=1025,1026,999 protocol=tcp
add action=accept chain=forward comment=web dst-port="" port=443 protocol=tcp
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward in-interface=bridge1 out-interface=ether1   src-address=192.168.1.0/24
add action=drop chain=forward disabled=yes log=yes log-prefix=1111111111
add action=accept chain=output
add action=accept chain=input connection-state=established,related
add action=accept chain=input icmp-options=8:0 protocol=icmp
add action=accept chain=input icmp-options=3:4 protocol=icmp
add action=drop chain=input disabled=yes log=yes log-prefix=2222222222


Dopisałem logowanie w rzucającej się w oczy postaci: 11111 i 22222, i w logach mam wynik (to tylko ułamek całości):

Kod: Zaznacz cały
03:21:53 firewall,info 1111111111 forward: in:<l2tp-iPhone> out:netia, proto UDP, 10.2.0.4:56891->62.233.233.233:53, len 76
03:21:55 firewall,info 2222222222 input: in:netia out:(unknown 0), src-mac 7c:e2:ca:b2:19:21, proto UDP, 159.148.147.229:30000->78.8.181.240:5678, len 60
03:21:55 firewall,info 2222222222 input: in:netia out:(unknown 0), proto TCP (SYN), 194.26.29.213:44501->78.8.181.240:2203, len 44
03:21:55 firewall,info 1111111111 forward: in:<l2tp-iPhone> out:netia, proto UDP, 10.2.0.4:51007->87.204.204.204:53, len 62
03:21:57 firewall,info 1111111111 forward: in:<l2tp-iPhone> out:netia, proto UDP, 10.2.0.4:56891->87.204.204.204:53, len 76
03:21:59 firewall,info 2222222222 input: in:netia out:(unknown 0), proto TCP (SYN), 206.189.187.113:37947->78.8.181.240:8087, len 44
03:21:59 firewall,info 1111111111 forward: in:bridge1 out:netia, src-mac 24:5e:be:01:46:54, proto UDP, 192.168.1.50:36369->87.204.204.204:53, len 70
03:21:59 firewall,info 2222222222 input: in:netia out:(unknown 0), proto TCP (SYN), 185.176.27.14:52142->78.8.181.240:24893, len 44
03:22:00 firewall,info 1111111111 forward: in:bridge1 out:netia, src-mac 24:5e:be:01:46:54, proto UDP, 192.168.1.50:36369->62.233.233.233:53, len 70
03:22:02 firewall,info 2222222222 input: in:netia out:(unknown 0), proto TCP (SYN), 51.68.32.21:59396->78.8.181.240:23, len 44
03:22:03 firewall,info 1111111111 forward: in:<l2tp-iPhone> out:netia, proto UDP, 10.2.0.4:51007->87.204.204.204:53, len 62
03:22:05 firewall,info 1111111111 forward: in:<l2tp-iPhone> out:netia, proto UDP, 10.2.0.4:56891->87.204.204.204:53, len 76
03:22:08 firewall,info 1111111111 forward: in:<l2tp-iPhone> out:netia, proto UDP, 10.2.0.4:60940->62.233.233.233:53, len 59
03:22:08 firewall,info 1111111111 forward: in:<l2tp-iPhone> out:netia, proto UDP, 10.2.0.4:52738->62.233.233.233:53, len 60
03:22:08 firewall,info 1111111111 forward: in:<l2tp-iPhone> out:netia, proto UDP, 10.2.0.4:54774->62.233.233.233:53, len 55
03:22:08 firewall,info 1111111111 forward: in:<l2tp-iPhone> out:netia, proto UDP, 10.2.0.4:56603->62.233.233.233:53, len 59
03:22:08 firewall,info 2222222222 input: in:netia out:(unknown 0), proto TCP (SYN), 51.68.32.21:59396->78.8.181.240:23, len 44
03:22:09 firewall,info 2222222222 input: in:netia out:(unknown 0), src-mac 7c:e2:ca:b2:19:21, proto UDP, 176.49.200.43:47715->78.8.181.240:51259, len 48
03:22:09 firewall,info 2222222222 input: in:netia out:(unknown 0), proto TCP (SYN), 176.49.200.43:62635->78.8.181.240:51259, len 52
03:22:12 firewall,info 2222222222 input: in:netia out:(unknown 0), proto TCP (SYN), 176.49.200.43:62635->78.8.181.240:51259, len 52
03:22:12 firewall,info 2222222222 input: in:netia out:(unknown 0), src-mac 7c:e2:ca:b2:19:21, proto UDP, 176.49.200.43:47715->78.8.181.240:51259, len 48
03:22:13 firewall,info 2222222222 input: in:netia out:(unknown 0), proto TCP (SYN), 87.251.74.248:53734->78.8.181.240:4260, len 44
03:22:13 firewall,info 2222222222 input: in:netia out:(unknown 0), proto TCP (SYN), 194.26.29.227:46660->78.8.181.240:24113, len 44
03:22:14 firewall,info 1111111111 forward: in:bridge1 out:netia, src-mac 24:5e:be:01:46:54, proto UDP, 192.168.1.50:54349->87.204.204.204:53, len 70
03:22:15 firewall,info 1111111111 forward: in:bridge1 out:netia, src-mac 24:5e:be:01:46:54, proto UDP, 192.168.1.50:54349->62.233.233.233:53, len 70
03:22:18 firewall,info 2222222222 input: in:netia out:(unknown 0), src-mac 7c:e2:ca:b2:19:21, proto UDP, 146.88.240.4:36052->78.8.181.240:5683, len 49
03:22:18 firewall,info 2222222222 input: in:netia out:(unknown 0), proto TCP (SYN), 176.49.200.43:62635->78.8.181.240:51259, len 48
03:22:18 firewall,info 2222222222 input: in:netia out:(unknown 0), src-mac 7c:e2:ca:b2:19:21, proto UDP, 176.49.200.43:47715->78.8.181.240:51259, len 48
03:22:19 firewall,info 1111111111 forward: in:<l2tp-iPhone> out:netia, proto UDP, 10.2.0.4:51007->62.233.233.233:53, len 62
03:22:20 firewall,info 2222222222 input: in:netia out:(unknown 0), proto TCP (SYN), 194.26.29.227:46660->78.8.181.240:25665, len 44
03:22:21 firewall,info 1111111111 forward: in:<l2tp-iPhone> out:netia, proto UDP, 10.2.0.4:56891->62.233.233.233:53, len 76
03:22:28 firewall,info 1111111111 forward: in:bridge1 out:netia, src-mac 24:5e:be:01:46:54, proto UDP, 192.168.1.50:44038->87.204.204.204:53, len 70
03:22:29 firewall,info 1111111111 forward: in:bridge1 out:netia, src-mac 24:5e:be:01:46:54, proto UDP, 192.168.1.50:44038->62.233.233.233:53, len 70
03:22:33 firewall,info 2222222222 input: in:netia out:(unknown 0), proto TCP (SYN), 194.26.29.227:46660->78.8.181.240:24010, len 44
03:22:34 firewall,info 2222222222 input: in:netia out:(unknown 0), proto TCP (SYN), 194.26.29.227:46660->78.8.181.240:24047, len 44
03:22:38 firewall,info 2222222222 input: in:netia out:(unknown 0), proto TCP (SYN), 103.99.1.148:47733->78.8.181.240:2105, len 44
03:22:39 firewall,info 2222222222 input: in:netia out:(unknown 0), proto TCP (SYN), 49.51.8.188:48294->78.8.181.240:6082, len 44


Proszę o podpowiedź dlaczego mimo posiadania reguły dla DNSów na porcie 53:
Kod: Zaznacz cały
add action=accept chain=input comment=dns dst-port=53 in-interface=bridge1  protocol=udp

nadal jest to blokowane
Kod: Zaznacz cały
03:22:08 firewall,info 1111111111 forward: in:<l2tp-iPhone> out:netia, proto UDP, 10.2.0.4:54774->62.233.233.233:53, len 55

l2tp-iPhone to dla przykładu telefon podłączony do VPNa, ale problem jest też z NASem itd. Dziwne jest to że od czasu do czasu na telefonie jest OK, ale np. NASy nie widzą się po SMB.
ckarol86
 
Posty: 1
Dołączył(a): So, 18-04-2020 14:07

Re: Firewall - reguła 'drop' blokuje Internet i SMB

Postprzez slx » Pn, 20-04-2020 10:38

Zezwolone masz ma interfejsie "in-interface=bridge1", natomiast pozostałe są blokowane, m.in. "in:<l2tp-iPhone>". Tak samo z portem 53 w łańcuchu FORWARD, dotyczy interfejsu "out:netia", a Ty masz zezwolone "out-interface=ether1" albo w łańcuchu INPUT.
slx
Moderator
 
Posty: 507
Dołączył(a): Śr, 21-11-2007 11:33
Lokalizacja: Wrocław


Powrót do Bezpieczeństwo i zabezpieczenia



Kto przegląda forum

Użytkownicy przeglądający ten dział: Brak zidentyfikowanych użytkowników i 1 gość