Возможности Firewall как на Mikrotik

[yoda yoda]

Добрый день! 2 года являюсь пользователем mikrotik hap ac2 и вот захотел взять Keenetic Giga (точнее даже едет уже ко мне).

Почитал тут https://help.keenetic.com/hc/ru/articles/360000991640 про межсетевой экран, что-то как-то странно работает, если даешь доступ, то потом +1 правило чтобы закрыть порт/доступ, я думал должно работать по принципу - "что не разрешено - запрещено", а тут явно указывать надо.

Я возможно ретроград, но на микроте выглядит куда проще. 

Хочу уточнить, 3 момента по настройке "гиги", может кто знает:
1. В кинетике есть ли возможность например ряд внешних айпишников активно сканирующих/обращающихся на определенный твой порт, добавить в какой-то список автоматом и потом просто всему списку запретить доступ?
В "микроте" удобно - создал правило, что например если кто угодно сканирует какой-то твой порт, например 25 - то в бан его навсегда или на время (я к примеру не пользуюсь этим портом или можно любой другой порт указать как "ловушку").

Привык, удобно, могу сам контролировать и видеть кто "ломился".

2. Проброс портов что-то в примере не увидел (Пример 8. Разрешить доступ по протоколу RDP только с определенного внешнего IP-адреса. не совсем то), например локальный RDP 3389, но с внешнего ресурса я хочу подключиться к определенному ПК в своей домашней сети и я не знаю айпи с которого буду делать запрос, но я хочу закрыть внешний 3389 порт, например:
-- домашний внешний адрес 1.1.1.1 (образно), я хочу делать запрос на 1.1.1.1:4444 и попасть на RDP (или другой порт) ПК в своей сети 192.168.0.2:3389 или 192.168.0.2:1111

Это я так понимаю тривиальная простая задача, но примера не нашел.

3. Есть ли Port knocking у кинетиков? Я вот на микротике пользуюсь чуть другой штукой, как называется не знаю. Опишу - чтобы дать доступ определенному адресу к вышеуказанным портам:
-- делаю пинг первый на свой домашний адрес с определенным размером пакета ХХ (это при пинге указывать можно) - микротик проверяет такой ли размер ожидаем мы и если да - добавляет этот адрес в список1 на хх секунд
-- делаю пинг второй на свой домашний адрес с определенным размером пакета ХХХ - микротик смотрит, есть ли такой адрес в списке1 И соответствует ли размер ожидаемому, если да - добавляет этот адрес в список доверенных на час
-- теперь в течении часа я могу получить доступ с определенного внешнего айпи адреса. И таких цепочек можно создать много типа пинг+размер1 -> пинг+размер2 -> ...

Очень удобно и безопасно, я могу пробросить порты или вообще указать их открытыми всегда только адресам из доверенного списка, будучи уверенным, что туда смогут попасть только те адреса, которые делали определенного размера пинги и в определенной последовательности.

Есть ли такая возможность?

[MDP]

По первому пункту тоже не совсем понятно...изначально все порты и так закрыты. Для практически всех служб есть механизм от брутфорса . Смысл делать ловушку? Весь Китай вы всё равно не добавите.))))

[vasek00]

15 часов назад, yoda yoda сказал:

1. В кинетике есть ли возможность например ряд внешних айпишников активно сканирующих/обращающихся на определенный твой порт, добавить в какой-то список автоматом и потом просто всему списку запретить доступ?
В "микроте" удобно - создал правило, что например если кто угодно сканирует какой-то твой порт, например 25 - то в бан его навсегда или на время (я к примеру не пользуюсь этим портом или можно любой другой порт указать как "ловушку").

Привык, удобно, могу сам контролировать и видеть кто "ломился".

3. Есть ли Port knocking у кинетиков? Я вот на микротике пользуюсь чуть другой штукой, как называется не знаю. Опишу - чтобы дать доступ определенному адресу к вышеуказанным портам:

 

-- делаю пинг первый на свой домашний адрес с определенным размером пакета ХХ (это при пинге указывать можно) - микротик проверяет такой ли размер ожидаем мы и если да - добавляет этот адрес в список1 на хх секунд
-- делаю пинг второй на свой домашний адрес с определенным размером пакета ХХХ - микротик смотрит, есть ли такой адрес в списке1 И соответствует ли размер ожидаемому, если да - добавляет этот адрес в список доверенных на час
-- теперь в течении часа я могу получить доступ с определенного внешнего айпи адреса. И таких цепочек можно создать много типа пинг+размер1 -> пинг+размер2 -> ...

Очень удобно и безопасно, я могу пробросить порты или вообще указать их открытыми всегда только адресам из доверенного списка, будучи уверенным, что туда смогут попасть только те адреса, которые делали определенного размера пинги и в определенной последовательности.

Есть ли такая возможность?

Ставите Entware + сервис knock + iptables + xtables-addons_legacy

Плюс TARPIT через iptables

Скрытый текст

knock - 0.7.8-1 - It listens to all traffic on an ethernet (or PPP) interface, looking for special "knock" sequences of port-hits. A client makes these port-hits by sending a TCP (or UDP) packet to a port on the server. This port need not be open -- since knockd listens at the link-layer level, it sees all traffic even if it's destined for a closed port. When the server detects a specific sequence of port-hits, it runs a command defined in its configuration file. This can be used to open up holes in a firewall for quick access. This package contains the port-knocking client.

knockd - 0.7.8-1 - It listens to all traffic on an ethernet (or PPP) interface, looking for special "knock" sequences of port-hits. A client makes these port-hits by sending a TCP (or UDP) packet to a port on the server. This port need not be open -- since knockd listens at the link-layer level, it sees all traffic even if it's destined for a closed port. When the server detects a specific sequence of port-hits, it runs a command defined in its configuration file. This can be used to open up holes in a firewall for quick access. This package contains the port-knocking server.

xtables-addons_legacy - 1.47.1-1a - Extensions not distributed in the main Xtables (1.47.1 legacy version)

ndmq - 1.0.2-5a - NDM Query utility

 

Edited March 4, 2020 by vasek00

[keenet07]

15 часов назад, yoda yoda сказал:

2. Проброс портов что-то в примере не увидел (Пример 8. Разрешить доступ по протоколу RDP только с определенного внешнего IP-адреса. не совсем то), например локальный RDP 3389, но с внешнего ресурса я хочу подключиться к определенному ПК в своей домашней сети и я не знаю айпи с которого буду делать запрос, но я хочу закрыть внешний 3389 порт, например:
-- домашний внешний адрес 1.1.1.1 (образно), я хочу делать запрос на 1.1.1.1:4444 и попасть на RDP (или другой порт) ПК в своей сети 192.168.0.2:3389 или 192.168.0.2:1111

Это я так понимаю тривиальная простая задача, но примера не нашел.

Конечно это всё есть.

https://help.keenetic.com/hc/ru/articles/360000360760-Переадресация-портов

Входящий и исходящий порт выбираете произвольно.

[Albram]

18 часов назад, yoda yoda сказал:

2 года являюсь пользователем mikrotik hap ac2 и вот захотел взять Keenetic Giga

Начало, прямо скажем, интригующее))

По существу, по первому пункту, без установки Entware вряд ли получится, но и как-то смысла особого нет блочить всех, кто хоть раз в порт постучался. А из похожего есть такое решение.

2. Элементарно указываете любой номер входящего порта и перенаправляете его на любой адрес:порт в локалке.

3. Про эту микротиковскую фишку знаю, но применения ей ни разу не находил, т.к. я предпочитаю держать всё порты закрытыми и настроить на кинетик vpn туннель.

После этого заодно отпадет надобность и в пунктах 1 и 2.

 

P.S.: Не сочтите за труд ответить на несколько вопросов по микротикам, и в частности по hap ac^2 (причину вопросов поясню ниже).

Как там с DoT/DoH, не завезли ещё?

Поддержки Wireguard нет?
Сейчас выбираю оборудование между keenetic и mikrotik для связывания туннелями трёх офисов, в одном будет wifi. Хотел сделать на микротиках. Там где wifi нужен поставить hap ac^2, где не нужен - hex. Планировал Wireguard использовать, но оказалось, что микротики в него не могут.

Edited March 4, 2020 by Albram

[MDP]

В МСЭ последнее правило ставьте запрещающее правило от любых хостов до любых хостов для всех протоколов. Это будет вам доступ по белому списку.

[yoda yoda]

3 hours ago, Albram said:

Как там с DoT/DoH, не завезли ещё?

Поддержки Wireguard нет?

Если DoH - dns over https, то наверно нет, у меня дома есть NAS на OMV5 с пачкой докер контейнеров, один из которых Pi-hole, собственно я его использую как DNS сервер для всей домашней сети, а в нём уже настраиваю DNS, сейчас правда оставил Cloudflare. Вроде работает какое-то шифрование + рекламу режет на всех устройствах включая ТВ.

У кинетиков что эта штука из коробки работает?

Про Wireguard нет поддержки https://habr.com/ru/post/487450/ (я вот до сего момента не знал что это и зачем).

3 hours ago, Albram said:

предпочитаю держать всё порты закрытыми и настроить на кинетик vpn туннель.

А vpn скорость не режет? Я вот просто в офисе на одном из 3х мониторов бывает запускаю медиа сервер домашний Jellyfin (тоже в контейнере крутится) и пока там у меня билдится что-то или тесты бегают - сериал смотрю, боюсь что с vpn я бы не смог так делать.

 

Спасибо всем ответившим! Я думал у "вас" всё из коробки, а этот список 

6 hours ago, vasek00 said:

Ставите Entware + сервис knock + iptables + xtables-addons_legacy

Плюс TARPIT через iptables

Мягко говоря пугает, я так понимаю это пакеты, которые потом настраивать через SSH или с UI ? В случае чего (например там баги какие-то) поддержка кинетика помогает или это сторонние вещи и они не несут ответственности?

Просто выходит, что мне родной функционал роутера от кинетик и не нужен (торренты и прочее качает сервер на intel i5 4570 c 8ГБ ОЗУ), если всё что меня интересует - сторонние приложения, которые еще ставить и настраивать, я что-то подозреваю, что это не проще микротика будет. 

Вот wifi у Giga мне нравится, мощный, у меня же максимум 300мбит, а в остальном я пока так понял допиливать надо или я не прав?

[Albram]

7 часов назад, yoda yoda сказал:

У кинетиков что эта штука из коробки работает?

Спасибо за ответы. Да, в версиях прошивок 3.x DoH/DoT есть из коробки. И с недавнего времени WireGuard тоже.

 

7 часов назад, yoda yoda сказал:

А vpn скорость не режет?

WireGuard тем и хорош, что быстрый. И настраивается несложно. Но я медиаконтент по туннелю не гоняю.

Видимо, туннели в офисы на кинетиках буду делать.

7 часов назад, yoda yoda сказал:

Я думал у "вас" всё из коробки

На все ситуации «коробок» не хватит) в смысле, всё не предусмотришь. Но здесь на форуме есть раздел с предложениями для добавления функционала в прошивку.

И да, если поставите Entware, то официальная техподдержка его не поддерживает.

[vasek00]

8 часов назад, yoda yoda сказал:

Мягко говоря пугает, я так понимаю это пакеты, которые потом настраивать через SSH или с UI ? В случае чего (например там баги какие-то) поддержка кинетика помогает или это сторонние вещи и они не несут ответственности?

Установка Entware - при готовом HDD/flash 5мин., установка пакетов ну при наборе данных команд наверное не более 10мин., а далее ваши знания которые использовали ранее (выше ваш пост). За сторонние вещи разработчики ответственности не несут, но помощь от них и данного сообщества имеется.

opkg update
opkg upgrade
opkg install knock knockd iptables xtables-addons_legacy mc ndmq

 

Edited March 5, 2020 by vasek00

[yoda yoda]

Спасибо всем! Ладно, заберу наверно вечером Giga и попробую, похоже прошивка развивается и поддержка адекватная, как и форум приятный. 👍