+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Правила фильтрации брандмауэра и результаты сканирования nmap.

Правила фильтрации брандмауэра и результаты сканирования nmap., RouterOS

Toby7

Guest

04.01.2014 14:37:00

Привет, сейчас работаю над улучшением файрвола. У меня PPPoE-соединение с моим провайдером. Роутер сконфигурирован как source NAT с правилами фильтрации. Сейчас у меня только базовые правила фильтрации, которые рекомендуются в книге “Router OS by example”.

0 ;;; ###
chain=input action=drop connection-state=invalid
in-interface=PPPoE-TelekomDSL

1 ;;; ###
chain=forward action=drop connection-state=invalid
in-interface=PPPoE-TelekomDSL

2 ;;; ###
chain=input action=accept connection-state=established
in-interface=PPPoE-TelekomDSL

3 ;;; ###
chain=input action=drop in-interface=PPPoE-TelekomDSL

4 ;;; ###
chain=forward action=accept connection-state=new
src-address-list=Telekom Subnet in-interface=PPPoE-TelekomDSL

5 ;;; ###
chain=forward action=accept connection-state=related
in-interface=PPPoE-TelekomDSL

6 ;;; ###
chain=forward action=accept connection-state=established
in-interface=PPPoE-TelekomDSL

7 ;;; ###
chain=forward action=drop in-interface=PPPoE-TelekomDSL

Для проверки настроек использую nmap. Если запускаю nmap -sT, получаю такой вывод:

PORT STATE SERVICE
25/tcp open smtp
80/tcp open http
110/tcp open pop3
119/tcp open nntp
143/tcp open imap
465/tcp open smtps
587/tcp open submission
993/tcp open imaps
995/tcp open pop3s
8080/tcp open http-proxy

Сейчас не знаю, откуда берутся эти открытые порты. Можете помочь, пожалуйста…?

Спасибо,
Toby

lambert Guest	#2 0 05.01.2014 05:05:00 Есть ли у тебя правила переадресации портов, NAT? Если нет, то, возможно, ты сканируешь неверный IP-адрес. Это “” — адрес, назначенный твоему интерфейсу PPPoE-TelekomDSL или LAN IP?

Toby7

Guest

05.01.2014 14:22:00

Нет, просто включены порты сервиса через брандмауэр. Я думал, что это своего рода NAT-хелперы, отключать которые лучше не стоит. Сканирование направлено на локальный адрес PPPoe-клиента. Насколько я знаю, это WAN IP? Для сканирования я использовал tethering через Android (мобильная сеть) в качестве интернет-соединения. Может ли это как-то повлиять?

lambert

Guest

06.01.2014 06:36:00

Чтобы перестать гадать и разобраться, нам нужно увидеть вывод команд /interface print, /ip address export, /ip firewall export, /ip firewall print, /ip mangle print, /ip route print. Потом сообщите нам IP-адрес вашей машины Nmap, физический порт на Mikrotik, к которому подключена ваша машина Nmap, и целевой IP-адрес, который вы тестируете, и повторите запуск Nmap. Вы можете заменить первые два октета любого публичного IP-адреса буквами, при условии, что это будет однозначная замена октетов, которые они заменяют.

Toby7

Guest

06.01.2014 23:08:00

Вот переведенный текст:

Вот список экспортируемых настроек:
/interface print
NAME TYPE MTU L2MTU MAX-L2MTU MAC-ADDRESS
0 R ether1_fritzbox ether 1500 1598 4074 00:0C:42:C1:F9:9D
1 R ether2_homenet ether 1500 1598 4074 00:0C:42:C1:F9:9E
2 R ether3_telekom ether 1500 1598 4074 00:0C:42:C1:F9:9F
3 R ether4_modem_telekom ether 1500 1598 4074 00:0C:42:C1:F9:A0
4 R ;;; ::: VLAN Trunk ::: ether5_trunk ether 1500 1598 4074 00:0C:42:C1:F9:A1
5 R PPPoE-TelekomDSL pppoe-out 1480
6 R vlan1_ether5 vlan 1500 1594 00:0C:42:C1:F9:A1
7 R vlan100_ether5 vlan 1500 1594 00:0C:42:C1:F9:A1
8 R vlan200_ether5 vlan 1500 1594 00:0C:42:C1:F9:A1
/ip address add address=192.168.0.254/24 interface=ether2_homenet network=192.168.0.0
add address=192.168.128.254/24 interface=ether3_telekom network=192.168.128.0
add address=10.0.128.254/24 interface=vlan100_ether5 network=10.0.128.0
add address=10.0.192.254/24 interface=vlan200_ether5 network=10.0.192.0
/ip firewall export
/ip firewall address-list add address=192.168.128.0/24 list=local-addresses
add address=192.168.0.0/24 list=local-addresses
add address=10.0.192.0/24 list=local-addresses
add address=10.0.128.0/24 list=local-addresses
add address=192.168.128.0/24 list=“Telekom Subnet”
add address=192.168.0.0/24 list=“E Homenet Subnet”
add address=10.0.192.0/24 list=“F PV Subnet”
add address=10.0.128.0/24 list=“Guest WLAN Subnet”
add address=192.168.0.119 list=addressList_PenetrationTesting
add address=A.B.C.14 list=addressList_WANIPTelekom
/ip firewall filter add action=drop chain=input connection-state=invalid in-interface=PPPoE-TelekomDSL
add action=drop chain=forward connection-state=invalid in-interface=PPPoE-TelekomDSL
add chain=input connection-state=established in-interface=PPPoE-TelekomDSL
add action=drop chain=input in-interface=PPPoE-TelekomDSL
add chain=forward connection-state=new in-interface=PPPoE-TelekomDSL src-address-list=“Telekom Subnet”
add chain=forward connection-state=related in-interface=PPPoE-TelekomDSL
add chain=forward connection-state=established in-interface=PPPoE-TelekomDSL
add action=drop chain=forward in-interface=PPPoE-TelekomDSL
/ip firewall mangle add chain=prerouting dst-address-list=local-addresses dst-address-type=“” fragment=no add action=mark-routing
chain=prerouting dst-address-list=addressList_WANIPTelekom new-routing-mark=table_PenetrationTesting passthrough=no src-address-list=addressList_PenetrationTesting
add action=mark-routing chain=prerouting new-routing-mark=WANTelekom passthrough=no src-address-list=“Telekom Subnet”
add action=mark-routing chain=prerouting new-routing-mark=fromFPV passthrough=no src-address-list=“F PV Subnet”
add action=mark-routing chain=prerouting new-routing-mark= fromflyingEGuest passthrough=no src-address-list=“Guest WLAN Subnet”
add action=mark-routing chain=prerouting in-interface=PPPoE-TelekomDSL new-routing-mark=WANTelekom passthrough=no
/ip firewall nat add action=masquerade chain=srcnat out-interface=PPPoE-TelekomDSL src-address=192.168.128.0/24
add action=masquerade chain=srcnat out-interface=PPPoE-TelekomDSL src-address= 192.168.0.0/24
/ip route print
DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 PPPoE-TelekomDSL 1
1 A S 192.168.0.0/24 ether2_homenet 1
2 A S 192.168.128.0/24 ether3_telekom 1
3 A S 0.0.0.0/0 192.168.179.1 1
4 A S 0.0.0.0/0 192.168.179.1 1
5 A S A.B.C.14/32 192.168.0.240 1
6 A S 0.0.0.0/0 192.168.0.240 1
7 S 0.0.0.0/0 PPPoE-TelekomDSL 5
8 ADC 10.0.128.0/24 10.0.128.254 vlan100_ether5 0
9 ADC 10.0.192.0/24 10.0.192.254 vlan200_ether5 0
10 ADC F.G.H.165/32 A.B.C.14 PPPoE-TelekomDSL 0
11 ADC 192.168.0.0/24 192.168.0.254 ether2_homenet 0
12 ADC 192.168.128.0/24 192.168.128.254 ether3_telekom 0
13 ADC 192.168.179.0/24 192.168.179.21 ether1_fritzbox 0
IP-адрес моей машины для сканирования сети — 192.168.0.119, подключена к ether2_homenet.

lambert

Guest

09.01.2014 08:20:00

Похоже, я забыл попросить тебя выдать IP-адрес. А какая команда nmap ты использовал? `nmap -sT A.B.C.14`? Кажется, ты используешь маршрутизацию. Можешь показать нам вывод `/ip route export`? Ты пытаешься изолировать адресное пространство (VRF) или пытаешься настроить ограничение скорости (очереди)? Я пока мало работал с VRF.

Toby7

Guest

09.01.2014 17:18:00

Команда nmap — nmap -sT, как ты и сказал.

/ip address print
ADDRESS NETWORK INTERFACE
0 192.168.0.254/24 192.168.0.0 ether2_homenet
1 192.168.128.254/24 192.168.128.0 ether3_telekom
2 10.0.128.254/24 10.0.128.0 vlan100_ether5
3 10.0.192.254/24 10.0.192.0 vlan200_ether5
4 D 192.168.179.21/24 192.168.179.0 ether1_fritzbox
5 D A.B.C.14/32 F.G.H.165 PPPoE-TelekomDSL

/ip route export add check-gateway=ping distance=1 gateway=PPPoE-TelekomDSL routing-mark=WANTelekom
add distance=1 dst-address=192.168.0.0/24 gateway=ether2_homenet routing-mark=WANTelekom
add distance=1 dst-address=192.168.128.0/24 gateway=ether3_telekom routing-mark= WANTelekom
add distance=1 gateway=192.168.179.1 routing-mark= fromFreyPV
add check-gateway=ping distance=1 gateway= 192.168.179.1 routing-mark=fromflyingEllertGuest
add distance=1 dst-address=A.B.C.14/32 gateway=192.168.0.240 routing-mark=table_PenetrationTesting
add check-gateway=ping distance=1 gateway=192.168.0.240
add check-gateway=ping distance=5 gateway= PPPoE-TelekomDSL

/ip route rule add action=drop dst-address=192.168.0.0/24 src-address=10.0.128.0/24
add action=drop dst-address=192.168.128.0/24 src-address= 10.0.128.0/24
add action=drop dst-address=10.0.192.0/24 src-address=10.0.128.0/24
add dst-address=192.168.128.0/24 src-address=192.168.0.0/24 table=main
add action=drop disabled=yes dst-address=192.168.0.0/24 src-address= 10.0.192.0/24
add action=drop disabled=yes dst-address=192.168.0.0/24 src-address=10.0.192.0/24

Я не знаю ничего о VRF, поэтому их не использую. Очередей нет!

lambert

Guest

10.01.2014 06:53:00

Я не вижу ничего, что говорило бы о проблеме. Ты все еще видишь лишние порты, когда сканируешь свой IP A.B.C.14 с помощью nmap? Я не использую routing-marks, так что это, вероятно, какой-то побочный эффект. Прости, но я, кажется, исчерпал все идеи.

Toby7

Guest

11.01.2014 19:18:00

Попробую ещё раз завтра. Обычно открытые порты всё равно видны… Хм, странно, если маршрутизация влияет на открытые порты файрвола. Может, в nmap какой-то баг, из-за которого показываются якобы открытые порты, которые на самом деле невидимы?

Toby7

Guest

#10

12.01.2014 23:16:00

Тест namp -sT сейчас показывает другой результат:
PORT STATE SERVICE
25/tcp open smtp
80/tcp open http
110/tcp open pop3
143/tcp open imap
993/tcp open imaps
8080/tcp open http-proxy

Меньше открытых портов, но всё ещё нет объяснения, почему они открыты… Изменений в routing-marks и т.п. не вносилось.

Toby7 Guest	#11 0 14.01.2014 20:02:00 Еще один мой вклад. PPPoE-соединение установлено через ADSL-модем Draytek Vigor 120v2. Может ли это устройство иметь какое-то отношение к открытым портам?

lambert Guest	#12 0 24.01.2014 22:28:00 Просто ради прикола просканировал внутренний адрес с помощью nmap.

CblP Guest	#13 0 29.01.2014 16:21:00 Используй силу анализа сетевых пакетов, Люк! Wireshark — мой лучший инструмент для копания в любых сетевых проблемах/вопросах. #1

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры