[RN3DCX]

/ip firewall filter add action=drop chain=input in-interface-list=WAN comment="Drop all incoming packages to interface WAN" disabled=no;/
 

При включении этого правила, пропадает интернет на самом некро-говнотике, транзитный трафик: CPE => CCR => МИР = всё ок!

Раньше это правило работало и хлопот не доставляло, но, по всей видимости после обновления какой-то версии, что-то поломали...

 

Вопрос: что в этом правиле не правильного!? - вопрос знатокам, подскажите!

[maxkst]

В 16.12.2021 в 08:45, RN3DCX сказал:

пропадает интернет

Что значит пропадает интернет? Не ходят пинги до публичных DNS серверов, или доменные имена не резолвятся в IP адреса? ))

[RN3DCX]

В 16.12.2021 в 19:09, maxkst сказал:

Не ходят пинги до публичных DNS серверов, или доменные имена не резолвятся в IP адреса? ))

Усё и всё сразу! При включённом правиле у самого маршрутизатора нет доступа в мир: ping, traceroute и т.д.

[maxkst]

В 16.12.2021 в 10:18, RN3DCX сказал:

Усё и всё сразу! При включённом правиле у самого маршрутизатора нет доступа в мир: ping, traceroute и т.д.

ну добавьте для начала ICMP в исключения для этого правила: Protocol (!) 1 (ICMP)

[RN3DCX]

В 16.12.2021 в 19:22, maxkst сказал:

ну добавьте для начала ICMP в исключения для этого правила: Protocol (!) 1 (ICMP)

И тогда интерфейс будет отвечать на icmp запросы из мира.

У меня задача, чтоб все запросы из мира были drop!

[maxkst]

В 16.12.2021 в 10:28, RN3DCX сказал:

И тогда интерфейс будет отвечать на запросы icmp из мира.

У меня задача, чтоб всё запросы из мира были drop!

ну так он и дропает. и ваши собственные тоже 

[RN3DCX]

В 16.12.2021 в 19:30, maxkst сказал:

и ваши собственные тоже 

Что как-бы не логично!

[maxkst]

В 16.12.2021 в 10:33, RN3DCX сказал:

Что как-бы не логично!

ну не те, что от вас уходят, а те что обратно возвращаются. Вполне логично

[RN3DCX]

Ранее где-то вычитал, что пакеты сгенерированные маршрутизатором не дропаются!?

[maxkst]

В 16.12.2021 в 10:38, RN3DCX сказал:

Где-то вычитал, что пакеты сгенерированные маршрутизатором не дропаются!?

Это как раз таки и не логично, но в принципе можно сделать Output правило, которое DST адрес будет закидывать в лист исключения, и не будет дропать ответы с этих адресов. 

 

В 16.12.2021 в 10:38, RN3DCX сказал:

Ранее где-то вычитал, что пакеты сгенерированные маршрутизатором не дропаются!?

тут сама формулировка неверная. Пакеты сгеренированые маршрутизаторами попадают в Output. А ответы уже дропаются либо не дропаются - на Input-е

[RN3DCX]

В 16.12.2021 в 19:40, maxkst сказал:

которое DST адрес будет закидывать в лист исключения

Делать список на разрешенные хосты? - Не-е-е, это не вариант!

 

[maxkst]

В 16.12.2021 в 10:52, RN3DCX сказал:

Делать список на разрешенные хосты? - не это не вариант!

почему? делать то не в ручную, а сам роутер будет это делать автоматически. ну и таймаут можно сделать не очень долгим

[rz3dwy]

/ip firewall add action=accept chain=input in-interface-list=WAN comment="Accept established" connection-state=established,related disabled=no;/

/ip firewall filter add action=drop chain=input in-interface-list=WAN comment="Drop all incoming packages to interface WAN" disabled=no;/

 

Первое разрешает установленные соединения, т.е. ответы на ваши пакеты будут приниматься, а новые и не связанные с установленными - дропаться

[RN3DCX]

Ок, если пойти другим путём?

Как запретить всё зло из интернета, но дать маршрутизатору доступ в мир?

[maxkst]

В 16.12.2021 в 10:54, rz3dwy сказал:

Первое разрешает установленные соединения, т.е. ответы на ваши пакеты будут приниматься, а новые и не связанные с установленными - дропаться

ну или в основном правиле можно наверное добавить (!) connection-state=established,related 

 

В 16.12.2021 в 10:55, RN3DCX сказал:

Как запретить всё зло из интернета, но дать маршрутизатору доступ в мир?

не, там слишком много зла ))

 

[RN3DCX]

@maxkst , @rz3dwy Благодарствую за уточняющие примеры!

Вообщем проблемам была в невнимательности. Сейчас глянул а у меня правила:

Цитата

#Разрешаем входящий трафик от уже установленных подключений и связанных
/ip firewall filter add action=accept chain=input connection-state=established,related comment="Accept all incoming input established connections" disabled=no;/

#Разрешаем транзитные пакеты от уже установленных соединений
/ip firewall filter add action=accept chain=forward  connection-state=established,related comment="Accept all incoming forward (transit traffic) established connections" disabled=no;/

# ipsec-policy=out,none означает, что маскарадинг будет применяться только для соединений в которых нет ipsec пакетов для обработки.
# Source NAT для пакетов не относящихся к ipsec, уходящих с интерфесов из списка WAN
/ip firewall nat set numbers=0 ipsec-policy=out,none comment="NAT + IPsec connections" disabled=no;/

# Для правильной работы ipsec в туннельном режиме
/ip firewall filter add action=accept chain=forward ipsec-policy=in,ipsec comment="IPsec connections" disabled=no;
/ip firewall filter add action=accept chain=forward ipsec-policy=out,ipsec comment="IPsec connections" disabled=no;/
 

Стоят в самом низу, а запрещающие идут первыми.

Как такое получилось я х.з.... Мож обновления подкинули сюрприз, но всё же это не отменяет моей вины.

 

[maxkst]

В 16.12.2021 в 11:09, RN3DCX сказал:

Вообщем проблемам была в невнимательности.

 

В 16.12.2021 в 08:45, RN3DCX сказал:

некро-говнотике

 

В 16.12.2021 в 11:09, RN3DCX сказал:

не отменяет моей вины.

 

МИкротик наверное ждет извинений )

[RN3DCX]

Да, поставили вы меня в неудобную ситуацию перед тиком! =)

Придётся теперь мне на узел сгоднять, в качестве извинения. И провести тику ТО: пыль продуть, пасту поменять...