Jump to content
  • 1

Возможности Firewall как на Mikrotik


yoda yoda

Question

Добрый день! 2 года являюсь пользователем mikrotik hap ac2 и вот захотел взять Keenetic Giga (точнее даже едет уже ко мне).

Почитал тут https://help.keenetic.com/hc/ru/articles/360000991640 про межсетевой экран, что-то как-то странно работает, если даешь доступ, то потом +1 правило чтобы закрыть порт/доступ, я думал должно работать по принципу - "что не разрешено - запрещено", а тут явно указывать надо.

Я возможно ретроград, но на микроте выглядит куда проще. 

Хочу уточнить, 3 момента по настройке "гиги", может кто знает:
1. В кинетике есть ли возможность например ряд внешних айпишников активно сканирующих/обращающихся на определенный твой порт, добавить в какой-то список автоматом и потом просто всему списку запретить доступ?
В "микроте" удобно - создал правило, что например если кто угодно сканирует какой-то твой порт, например 25 - то в бан его навсегда или на время (я к примеру не пользуюсь этим портом или можно любой другой порт указать как "ловушку").

Привык, удобно, могу сам контролировать и видеть кто "ломился".

2. Проброс портов что-то в примере не увидел (Пример 8. Разрешить доступ по протоколу RDP только с определенного внешнего IP-адреса. не совсем то), например локальный RDP 3389, но с внешнего ресурса я хочу подключиться к определенному ПК в своей домашней сети и я не знаю айпи с которого буду делать запрос, но я хочу закрыть внешний 3389 порт, например:
-- домашний внешний адрес 1.1.1.1 (образно), я хочу делать запрос на 1.1.1.1:4444 и попасть на RDP (или другой порт) ПК в своей сети 192.168.0.2:3389 или 192.168.0.2:1111

Это я так понимаю тривиальная простая задача, но примера не нашел.

3. Есть ли Port knocking у кинетиков? Я вот на микротике пользуюсь чуть другой штукой, как называется не знаю. Опишу - чтобы дать доступ определенному адресу к вышеуказанным портам:
-- делаю пинг первый на свой домашний адрес с определенным размером пакета ХХ (это при пинге указывать можно) - микротик проверяет такой ли размер ожидаем мы и если да - добавляет этот адрес в список1 на хх секунд
-- делаю пинг второй на свой домашний адрес с определенным размером пакета ХХХ - микротик смотрит, есть ли такой адрес в списке1 И соответствует ли размер ожидаемому, если да - добавляет этот адрес в список доверенных на час
-- теперь в течении часа я могу получить доступ с определенного внешнего айпи адреса. И таких цепочек можно создать много типа пинг+размер1 -> пинг+размер2 -> ...

Очень удобно и безопасно, я могу пробросить порты или вообще указать их открытыми всегда только адресам из доверенного списка, будучи уверенным, что туда смогут попасть только те адреса, которые делали определенного размера пинги и в определенной последовательности.

Есть ли такая возможность?

  • Thanks 1
Link to comment
Share on other sites

9 answers to this question

Recommended Posts

  • 1

По первому пункту тоже не совсем понятно...изначально все порты и так закрыты. Для практически всех служб есть механизм от брутфорса . Смысл делать ловушку? Весь Китай вы всё равно не добавите.))))

Link to comment
Share on other sites

  • 1
15 часов назад, yoda yoda сказал:

1. В кинетике есть ли возможность например ряд внешних айпишников активно сканирующих/обращающихся на определенный твой порт, добавить в какой-то список автоматом и потом просто всему списку запретить доступ?
В "микроте" удобно - создал правило, что например если кто угодно сканирует какой-то твой порт, например 25 - то в бан его навсегда или на время (я к примеру не пользуюсь этим портом или можно любой другой порт указать как "ловушку").

Привык, удобно, могу сам контролировать и видеть кто "ломился".

3. Есть ли Port knocking у кинетиков? Я вот на микротике пользуюсь чуть другой штукой, как называется не знаю. Опишу - чтобы дать доступ определенному адресу к вышеуказанным портам:

 

-- делаю пинг первый на свой домашний адрес с определенным размером пакета ХХ (это при пинге указывать можно) - микротик проверяет такой ли размер ожидаем мы и если да - добавляет этот адрес в список1 на хх секунд
-- делаю пинг второй на свой домашний адрес с определенным размером пакета ХХХ - микротик смотрит, есть ли такой адрес в списке1 И соответствует ли размер ожидаемому, если да - добавляет этот адрес в список доверенных на час
-- теперь в течении часа я могу получить доступ с определенного внешнего айпи адреса. И таких цепочек можно создать много типа пинг+размер1 -> пинг+размер2 -> ...

Очень удобно и безопасно, я могу пробросить порты или вообще указать их открытыми всегда только адресам из доверенного списка, будучи уверенным, что туда смогут попасть только те адреса, которые делали определенного размера пинги и в определенной последовательности.

Есть ли такая возможность?

Ставите Entware + сервис knock + iptables + xtables-addons_legacy

Плюс TARPIT через iptables

Скрытый текст

knock - 0.7.8-1 - It listens to all traffic on an ethernet (or PPP) interface, looking for special "knock" sequences of port-hits. A client makes these port-hits by sending a TCP (or UDP) packet to a port on the server. This port need not be open -- since knockd listens at the link-layer level, it sees all traffic even if it's destined for a closed port. When the server detects a specific sequence of port-hits, it runs a command defined in its configuration file. This can be used to open up holes in a firewall for quick access. This package contains the port-knocking client.

knockd - 0.7.8-1 - It listens to all traffic on an ethernet (or PPP) interface, looking for special "knock" sequences of port-hits. A client makes these port-hits by sending a TCP (or UDP) packet to a port on the server. This port need not be open -- since knockd listens at the link-layer level, it sees all traffic even if it's destined for a closed port. When the server detects a specific sequence of port-hits, it runs a command defined in its configuration file. This can be used to open up holes in a firewall for quick access. This package contains the port-knocking server.

xtables-addons_legacy - 1.47.1-1a - Extensions not distributed in the main Xtables (1.47.1 legacy version)

ndmq - 1.0.2-5a - NDM Query utility

 

Edited by vasek00
Link to comment
Share on other sites

  • 1
15 часов назад, yoda yoda сказал:

2. Проброс портов что-то в примере не увидел (Пример 8. Разрешить доступ по протоколу RDP только с определенного внешнего IP-адреса. не совсем то), например локальный RDP 3389, но с внешнего ресурса я хочу подключиться к определенному ПК в своей домашней сети и я не знаю айпи с которого буду делать запрос, но я хочу закрыть внешний 3389 порт, например:
-- домашний внешний адрес 1.1.1.1 (образно), я хочу делать запрос на 1.1.1.1:4444 и попасть на RDP (или другой порт) ПК в своей сети 192.168.0.2:3389 или 192.168.0.2:1111

Это я так понимаю тривиальная простая задача, но примера не нашел.

Конечно это всё есть.

https://help.keenetic.com/hc/ru/articles/360000360760-Переадресация-портов

Входящий и исходящий порт выбираете произвольно.

Link to comment
Share on other sites

  • 1
18 часов назад, yoda yoda сказал:

2 года являюсь пользователем mikrotik hap ac2 и вот захотел взять Keenetic Giga

Начало, прямо скажем, интригующее))

По существу, по первому пункту, без установки Entware вряд ли получится, но и как-то смысла особого нет блочить всех, кто хоть раз в порт постучался. А из похожего есть такое решение.

2. Элементарно указываете любой номер входящего порта и перенаправляете его на любой адрес:порт в локалке.

3. Про эту микротиковскую фишку знаю, но применения ей ни разу не находил, т.к. я предпочитаю держать всё порты закрытыми и настроить на кинетик vpn туннель.

После этого заодно отпадет надобность и в пунктах 1 и 2.

 

P.S.: Не сочтите за труд ответить на несколько вопросов по микротикам, и в частности по hap ac^2 (причину вопросов поясню ниже).

Как там с DoT/DoH, не завезли ещё?

Поддержки Wireguard нет?
Сейчас выбираю оборудование между keenetic и mikrotik для связывания туннелями трёх офисов, в одном будет wifi. Хотел сделать на микротиках. Там где wifi нужен поставить hap ac^2, где не нужен - hex. Планировал Wireguard использовать, но оказалось, что микротики в него не могут.

Edited by Albram
Link to comment
Share on other sites

  • 0

В МСЭ последнее правило ставьте запрещающее правило от любых хостов до любых хостов для всех протоколов. Это будет вам доступ по белому списку.

Link to comment
Share on other sites

  • 0
3 hours ago, Albram said:

Как там с DoT/DoH, не завезли ещё?

Поддержки Wireguard нет?

Если DoH - dns over https, то наверно нет, у меня дома есть NAS на OMV5 с пачкой докер контейнеров, один из которых Pi-hole, собственно я его использую как DNS сервер для всей домашней сети, а в нём уже настраиваю DNS, сейчас правда оставил Cloudflare. Вроде работает какое-то шифрование + рекламу режет на всех устройствах включая ТВ.

У кинетиков что эта штука из коробки работает?

Про Wireguard нет поддержки https://habr.com/ru/post/487450/ (я вот до сего момента не знал что это и зачем).

3 hours ago, Albram said:

предпочитаю держать всё порты закрытыми и настроить на кинетик vpn туннель.

А vpn скорость не режет? Я вот просто в офисе на одном из 3х мониторов бывает запускаю медиа сервер домашний Jellyfin (тоже в контейнере крутится) и пока там у меня билдится что-то или тесты бегают - сериал смотрю, боюсь что с vpn я бы не смог так делать.

 

Спасибо всем ответившим! Я думал у "вас" всё из коробки, а этот список 

6 hours ago, vasek00 said:

Ставите Entware + сервис knock + iptables + xtables-addons_legacy

Плюс TARPIT через iptables

Мягко говоря пугает, я так понимаю это пакеты, которые потом настраивать через SSH или с UI ? В случае чего (например там баги какие-то) поддержка кинетика помогает или это сторонние вещи и они не несут ответственности?

Просто выходит, что мне родной функционал роутера от кинетик и не нужен (торренты и прочее качает сервер на intel i5 4570 c 8ГБ ОЗУ), если всё что меня интересует - сторонние приложения, которые еще ставить и настраивать, я что-то подозреваю, что это не проще микротика будет. 

Вот wifi у Giga мне нравится, мощный, у меня же максимум 300мбит, а в остальном я пока так понял допиливать надо или я не прав?

  • Upvote 1
Link to comment
Share on other sites

  • 0
7 часов назад, yoda yoda сказал:

У кинетиков что эта штука из коробки работает?

Спасибо за ответы. Да, в версиях прошивок 3.x DoH/DoT есть из коробки. И с недавнего времени WireGuard тоже.

 

7 часов назад, yoda yoda сказал:

А vpn скорость не режет?

WireGuard тем и хорош, что быстрый. И настраивается несложно. Но я медиаконтент по туннелю не гоняю.

Видимо, туннели в офисы на кинетиках буду делать.

7 часов назад, yoda yoda сказал:

Я думал у "вас" всё из коробки

На все ситуации «коробок» не хватит) в смысле, всё не предусмотришь. Но здесь на форуме есть раздел с предложениями для добавления функционала в прошивку.

И да, если поставите Entware, то официальная техподдержка его не поддерживает.

  • Thanks 1
  • Upvote 2
Link to comment
Share on other sites

  • 0
8 часов назад, yoda yoda сказал:

Мягко говоря пугает, я так понимаю это пакеты, которые потом настраивать через SSH или с UI ? В случае чего (например там баги какие-то) поддержка кинетика помогает или это сторонние вещи и они не несут ответственности?

Установка Entware - при готовом HDD/flash 5мин., установка пакетов ну при наборе данных команд наверное не более 10мин., а далее ваши знания которые использовали ранее (выше ваш пост). За сторонние вещи разработчики ответственности не несут, но помощь от них и данного сообщества имеется.

opkg update
opkg upgrade
opkg install knock knockd iptables xtables-addons_legacy mc ndmq

 

Edited by vasek00
  • Thanks 1
Link to comment
Share on other sites

  • 0

Спасибо всем! Ладно, заберу наверно вечером Giga и попробую, похоже прошивка развивается и поддержка адекватная, как и форум приятный. 👍

  • Upvote 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...