Firewall rules RouterOS

[bollewolle]

Hoi,

Ik ben er onlangs eindelijk toe gekomen mijn Mirkotik RB1200 op te zetten. Tot nu toe is alles redelijk vlot verlopen en de volgende stap is om de Firewall rules op te zetten. Nu, bij de RB1200 is er geen default configuratie hiervan in tegenstelling tot andere Routerboards (van hetgeen ik kan afleiden uit andere topics) en nu vroeg ik mij af of er mensen zijn die me verder kunnen helpen met de config. Hoe begin ik hier best aan? Ergens is het toch handiger om van een soort van standaard config te vertrekken.

Iemand tips? Zaken waarop ik moet letten?

Zelf ben ik volgende topics al tegen gekomen:
http://wiki.mikrotik.com/wiki/Basic_uni ... all_script
http://wiki.mikrotik.com/wiki/Securing_ ... rOs_Router

Alle info is welkom, wil hier graag bijleren

Alvast merci!

[krisken]

Mikrotik 1200? Bedoel je niet 1100 of 2011?

[bollewolle]

Nee hoor, ik bedoel wel degelijk de RB1200: http://routerboard.com/RB1200

PS: ik merk dat hij ook onlangs bij de Archive geplaatst is op routerboard.com. Dat was tot een even geleden niet het geval.

[krisken]

Had ik over t hoofd gezien. Waarvoor wil je exact firewall rules hebben (welke poorten wil je openen/sluiten etc)

[ubremoved_539]

Iemand tips? Zaken waarop ik moet letten?

De vraag is natuurlijk hoever je hierin wil gaan... het ultieme is dat je van iedere byte die binnen en buiten gaat weet waarom (en al de rest blocked).

Zelf heb ik een setje rules bij elkaar geraapt, al staan daar ook niet alles rules in van je twee links.

[FunkStar]

Ik begin ook altijd met alle poorten te sluiten.

En dan enkel de poorten die we gebruiken open te zetten:

80 HTTP
443 HTTPS
3389 Extern Bureaublad
1723 PPTN (VPN)
25 MAIL
143 IMAP

en dan natuurlijk de uniekskes die enkel voor mijn omgeving tellen.

[krisken]

Vergeet ook niet om IPv6 rules in te stellen dan

[bollewolle]

Wel, het is daarmee dat ik eens wilde horen wat jullie aanraden gezien er toch redelijk wat mensen blijken te zijn met veel meer netwerk kennis dan mezelf (is alweer geleden van mijn studententijd 10j geleden) en met Routerboard ervaring. Ik wil graag hier wat over bijleren maar weet niet goed hoe ik er best aan begin. Mij lijken de Basic Examples op de wiki en de erop verder gebouwde (of die indruk heb ik toch) Basic Universal Firewall Script goede basissen om daarna verder te bouwen op basis van mijn ondervindingen wat ik nog nodig heb. Eventueel achteraf zaken verwijderen die ik niet nodig zou hebben.
Als ik de 2 scripts met elkaar vergelijk heb ik de indruk dat de "Basic Universal Firewall Script" redelijk streng is maar wel redelijk goed onderhoudbaar, of ben ik mis? Zou dit een goed script zijn om van te starten? Of zijn er zaken waarvan jullie zeggen dat het beter kan?

Ik ga het sowieso beter bekijken als ik terug thuis ben om eerst te begrijpen wat er precies gebeurd. Hou er niet zo van dingen de copy/pasten maar niet te weten wat er gebeurd. Ik heb nu nog niet zo een zich op welke poorten ik exact nodig ga hebben, voorlopig zullen het de basics moeten zijn waarmee ik de apparaten achter de router kan laten connecteren met het Net maar toch wat beschermd zijn. Ik besef maar al te goed dat het een simpele en veel te algemene uitleg is, sorry daarvoor

[bollewolle]

Oh, en alvast bedankt voor de feedback, much appreciated!

[ubremoved_539]

Ik begin ook altijd met alle poorten te sluiten.

Spreek je dan over inkomend of uitgaand verkeer ?

Vergeet ook niet om IPv6 rules in te stellen dan

Inderdaad, bij IPv4 heb je het "voordeel" van NAT, echter bij IPv6 niet.

Zonder specifieke rules staat daar meteen gans je netwerk open

[NuKeM]

Zeer interessant topic. Ik heb ondertussen door dat mijn firewall rules vrij zwak zijn en wil deze ook graag wat verbeteren.
Op basis van http://wiki.mikrotik.com/wiki/Basic_uni ... all_script ben ik begonnen, maar her en der willen dan zaken niet meer werken (zoals internet vanuit LAN, VPN,...) het zullen dus nog enkele avondjes zoeken worden en hopelijk hier af en toe iets opsteken.

I.v.m. IPv6, nu ik gemerkt heb dat Telenet dit uitdeelt wil ik natuurlijk ook veilig zitten... ik denk dat ik toch maar eens IPv6 onder de loepe ga nemen en de firewall rules indien nodig ook zal toevoegen (als ik de RouterBoard op IPv6 laat werken). Is dat eigenlijk wel een goed idee? Staat elke computer dan alleen voor het internet (m.a.w. enkel zijn eigen firewall beschermt hem en niet meer volledig de router en NAT)?

[ubremoved_539]

Ik heb ondertussen door dat mijn firewall rules vrij zwak zijn

In vergelijking met de huis-tuin-en-keuken routers hoef je volgens mij niet veel te doen om beter te zitten.

I.v.m. IPv6, nu ik gemerkt heb dat Telenet dit uitdeelt wil ik natuurlijk ook veilig zitten

Als TN weer belachelijk doet en alles blokkeerd onder 1024 blijf ik wel bij m'n tunnel.

Staat elke computer dan alleen voor het internet (m.a.w. enkel zijn eigen firewall beschermt hem en niet meer volledig de router en NAT)?

Bij IPv6 is het alsof iedere PC rechtstreeks aan het internet hangt... ze hebben dus allemaal een publiek IP adres (al heeft TN aangegeven alles te blokkeren onder de 1024... maar wat daarboven, NAT zal je niet meer "redden" hierbij).

[Tim.Bracquez]

IP's die 'door' je routerboard gaan (zoals IPv6 voor elk device) kan je met een forward rule veilig stellen.