Microtik default firewall ?

[ubremoved_2964]

In de docu las ik dat de default firewall config aan staat:

https://wiki.mikrotik.com/wiki/Manual:S ... o_a_router

"We strongly suggest to keep default firewall on. Here are few adjustment to make it more secure, make sure to apply the rules, when you understand what are they doing."

In de logs zag ik ondertussen al failed login pogingen. Blijkbaar filtert telenet blijkbaar geen inkomende poorten op business fibernet 200, en staat er helemaal geen deftige fw op de microtik:

default-firewall-omg.png

Want ik kan gewoon naar het public ip van mijn RB11001AHx2 SSH'en.

Mijn internet uplink is ether1, dus ik heb dan maar een default drop rule gezet op alles wat op die poort binnenkomt op de input chain:

default-firewall-drop.png

Als ik de log aanzet op die rule, dan zie ik dat mijn ext IP geportscanned wordt.

[didi79]

Wat is je punt / vraag ?

[ubremoved_539]

Je kan een Mikrotik niet vergelijken met een huis-tuin-en-keuken routertje… wat je niet zelf doet is er niet.

Er is dus in weze geen default firewall... tenzij je misschien een Quick-Set installatie doet waarbij je de paar rules uit je link krijgt (absoluut minimum).

Het is dus aan jou te zorgen dat alles correct staat… en een deny all is een eerste stap (alleen opletten dat je ook jezelf niet buiten sluit).

[ITnetadmin]

Dat is dan wel de mentaliteit op pro toestellen, maar dan nog kan ik de verwarring begrijpen:
die mentaliteit kan 2 richtingen opgaan: ofwel deny all by default, ofwel allow all by default.
Ik zou ook verwachten dat men (cisco gewijs) de deny all by default toer zou opgaan.

[Sasuke]

Bij de aanschaf van mijn mikrotik tijdje geleden, zelfde model, was dat ook iets wat mij opviel. Default install is dat ding zo lek als een zeef, iets wat zelfs een huis/tuin/keuken router beter doet. En Enterprise toestellen/firewalls hebben by default ook mooi een Deny all staan.

Verder best wel tevreden ervan, na een config van 2 dagen spelen

[yaris]

Klopt.Hier ook mikrotik in huis. Vooral genomen omdat ik een switch / router / AP in 1 wilde en makkelijk een span poort kon maken voor packets capturing.
Is wel een steile leercurve en als je niks noties hebt van netwerken bijna onbegonnen werk.

[Splitter]

ik meen toch dat er meer firewall rules instaan als te zien zijn in je screenshot...
zeker dat jer er niet ooit een reset config op gedaan hebt en geen default config hebt laten inladen bij de restore?

[ubremoved_539]

zeker dat jer er niet ooit een reset config op gedaan hebt en geen default config hebt laten inladen bij de restore?

Hij heeft inderdaad geen Quick-Set setup gedaan... en dan is alles volledig leeg.

[Splitter]

Hij heeft inderdaad geen Quick-Set setup gedaan... en dan is alles volledig leeg.

zelfs zonder quick setup staat er toch meer in?
mijn 2011 en hap ac hadden toch beide redelijke defaults.
en als je je config reset (via reset optie in winbox) moet je ook specifiek aanvinken van no default config ofzo om een volledig lege config te krijgen...


overigens:

In de logs zag ik ondertussen al failed login pogingen.
....
Als ik de log aanzet op die rule, dan zie ik dat mijn ext IP geportscanned wordt

welcome to the internets?

[ubremoved_2964]

Default install is dat ding zo lek als een zeef, iets wat zelfs een huis/tuin/keuken router beter doet. En Enterprise toestellen/firewalls hebben by default ook mooi een Deny all staan.

Ja die standaard wizard is zo lek als een zeef. De firewall staat default op permissive, dus wat je niet expliciet dropped, wordt doorgelaten.
Na een paar uur spelen nu vlans met trunking aan de praat. Vervangt een dd-wrt router en een tp-link easy smart switch.

Verder best wel tevreden ervan, na een config van 2 dagen spelen

Hier al na een dag een werkende config voor mekaar. Gelukkig zit er linux met iptables onder de moterkap, en is het vooral zoeken hoe je iets doet door hun GUI. Enkel openvpn moet ik er nog opzetten. Misschien koop ik nog een 2e erbij om mee te spelen en configs op te testen.