shraikus Опубликовано 25 апреля, 2018 · Жалоба Добрый день, а подскажите стандартный "default IPv6 firewall filter rules" для домашнего использования. (интернет приходит подсетью /64) В микротике как-то пусто по умолчанию, а ведь надо бдить и не пущать :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 25 апреля, 2018 · Жалоба смысл главного правила это повторить аналог NAT для ipv4, т.е. закрыться от входящих соединений извне, на языке шлакотика типа такого: /ipv6 firewall filter chain=forward dst-address=LAN-network/prefix connection-state=new action=drop Кстати, очень правильную тему подняли. А то ведь люди тут прям фапают на ipv6, при этом забывая, что на тех же мобильных телефонах куча портов слушается, через которые хацкеры могут всё сломать (ибо прошивки-то не особо обновляются на телефонах постарше) Т.е. ipv6 по факту оооочень опасен для абонента, если в роутера этого правила нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 25 апреля, 2018 (изменено) · Жалоба у меня также само как и на ipv4, только ipv6 приходит через туннель /ipv6 firewall filter add action=accept chain=input connection-state=established,related in-interface=6to4-tunnel-office-ipsec add action=accept chain=input in-interface=6to4-tunnel-office-ipsec protocol=icmpv6 add action=drop chain=input in-interface=6to4-tunnel-office-ipsec add action=accept chain=forward connection-state=established,related in-interface=6to4-tunnel-office-ipsec add action=accept chain=forward in-interface=6to4-tunnel-office-ipsec protocol=icmpv6 add action=drop chain=forward in-interface=6to4-tunnel-office-ipsec Изменено 25 апреля, 2018 пользователем .None Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
8bit Опубликовано 26 апреля, 2018 (изменено) · Жалоба Убрали лишнее с защитой от брутфоса ssh (куда ничего ни разу не прилетело), что скажете? /ipv6 firewall filter add action=drop chain=input connection-state=invalid add action=accept chain=input connection-state=established,related in-interface=sit1 add action=accept chain=forward connection-state=established,related in-interface=sit1 out-interface=home add action=accept chain=input limit=50,5 protocol=icmpv6 add action=accept chain=forward limit=50,5 protocol=icmpv6 add action=accept chain=forward in-interface=home out-interface=sit1 add action=drop chain=input add action=drop chain=forward Изменено 26 апреля, 2018 пользователем 8bit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 26 апреля, 2018 · Жалоба Всё хорошо, кроме этого: add action=accept chain=forward limit=50,5 protocol=icmpv6 Зачем вам это? потом окажется, что какой-нибудь специально сформированный icmp-запрос позволяет что-нибудь сделать с ведром линукса. В инпуте icmpv6 от всех хостов - тоже сомнительная вещь. Если вы мониторите извне, то пропишите там ipv6-адрес сервера мониторинга Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
8bit Опубликовано 26 апреля, 2018 · Жалоба Хорошо, спасибо. А если я хочу открыть доступ до конкретной машины, конкретного порта, то вот так тоже будет нормально: chain=forward action=accept protocol=tcp dst-address= /128 in-interface=sit1 dst-port=80 chain=forward action=accept protocol=tcp dst-address= /128 in-interface=sit1 dst-port=443 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 26 апреля, 2018 · Жалоба в последних 2-х правилах я бы прописал in-interface=sit1, иначе как DNS клиент обратится к DNS микротика по ipv6 IMHO имеет смыл защищаться извне, зачем из LAN все дропать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 26 апреля, 2018 · Жалоба 4 минуты назад, .None сказал: в последних 2-х правилах я бы прописал in-interface=sit1, иначе как DNS клиент обратится к DNS микротика по ipv6 IMHO имеет смыл защищаться извне, зачем из LAN все дропать? А почему вы решили что у опа dns на микротике? Дропать из лана всё, что явно не разрешено это абсолютно правильно, потому что атаки на домашние роутеры происходят не только извне, но и изнутри (когда пользователь внутри сети запускает у себя вредоносный софт) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
8bit Опубликовано 26 апреля, 2018 · Жалоба 2 часа назад, .None сказал: как DNS клиент обратится к DNS микротика по ipv6 DNS использую публичный от google, возможно не самая лучшая идея, но и проблем пока не было. 2001:4860:4860::4444 2001:4860:4860::8888 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rm_ Опубликовано 27 апреля, 2018 · Жалоба On 4/26/2018 at 12:24 PM, s.lobanov said: Зачем вам это? потом окажется, что какой-нибудь специально сформированный icmp-запрос позволяет что-нибудь сделать с ведром линукса. В инпуте icmpv6 от всех хостов - тоже сомнительная вещь. Если вы мониторите извне, то пропишите там ipv6-адрес сервера мониторинга Затем что зарезав ICMP Packet Too Big вы поломаете PMTU discovery, а она жизненно необходима на IPv6, поскольку фрагментации-то на роутерах нет. Некоторые ресурсы будут зависать при открытии соединения, потом закономерно создадите себе впечатление "ой какой плохой и поломанный ваш IPv6". https://tools.ietf.org/html/rfc4890 Recommendations for Filtering ICMPv6 Messages in Firewalls Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 27 апреля, 2018 · Жалоба фрагментации и в ipv4 по факту нет (она зарезана оооочень много где) и люди, которые используют udp (в реальном мире, а не в теории), просто делают пакетики поменьше на уровне приложения. Для tcp есть всё тот же tcp.mss Для домашнего(soho юзкейса) использования pmtu discovery не нужен Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...