Winbox z WAN

Místo, kde žádná otázka není hloupá.
jval
Příspěvky: 117
Registrován: 10 years ago

Winbox z WAN

Příspěvekod jval » 3 weeks ago

Zdravím, na základě def pravidla "defconf: drop all not coming from LAN" se zvenčí nedostanu na MK přes Winbox. Dle všemožných návodů (např. https://support.purplewifi.net/en/support/solutions/articles/1000152546-mikrotik-setting-up-remote-winbox-access) jsem nad toto pravidlo vytvořil nové s accept.
Bohužel mi to stejně nefunguje. Dostanu se tam pouze když zakážu to pravidlo drop all.
Věřím, že pro profíky to bude jednohubka, ale ať na netu hledám jak hledám, tak mi stále vyskakují jen stránky s tím accept pravidlem a to mi nefunguje.


Děkuji předem
0 x

mirek.k
Příspěvky: 689
Registrován: 10 years ago

Příspěvekod mirek.k » 3 weeks ago

Pošli výpis z firewallu. Bude tam nějaká chybka.
0 x

DarkLogic
Příspěvky: 1223
Registrován: 7 years ago

Příspěvekod DarkLogic » 3 weeks ago

Navod je spravne. Musis delat neco blbe. Jak bylo zmineno, posli vypis pravidel.
0 x

Uživatelský avatar
Selič
Příspěvky: 709
Registrován: 9 years ago
antispam: Ano

Příspěvekod Selič » 3 weeks ago

Je to easy. Na začátku firewallu musíš přidat pravidlo chain=input protocol=tcp destination_port=8291 action=accept
0 x
"Slepému neukážeš, hluchému nepovíš, debilovi nedokážeš..."

Noxus28
Příspěvky: 359
Registrován: 7 years ago

Příspěvekod Noxus28 » 3 weeks ago

pravidlo funguje len ho musíš mať v poradí INPUT skorej ako ten drop-all :)
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

jval
Příspěvky: 117
Registrován: 10 years ago

Příspěvekod jval » 3 weeks ago

Kód: Vybrat vše

Flags: X - disabled, I - invalid, D - dynamic
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough

 1    ;;; Allow winbox from WAN
      chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""

 2 X  ;;; Kill PS
      chain=forward action=drop src-mac-address=F8:46:1C:CD:19:AE log=no log-prefix=""

 3 X  ;;; Kill Ema Phone
      chain=forward action=drop src-mac-address=24:00:BA:8B:C8:60 log=no log-prefix=""

 4 X  ;;; Kill Adam Phone
      chain=forward action=drop src-mac-address=0C:2C:54:52:10:0C log=no log-prefix=""

 5 X  ;;; Kill Markeeta
      chain=forward action=drop src-mac-address=54:EF:92:A7:2A:5C log=no log-prefix=""

 6 X  ;;; Kill Ema Tablet
      chain=forward action=drop src-mac-address=74:04:2B:E7:EE:2F log=no log-prefix=""

 7 X  ;;; Kill Adam Tablet
      chain=forward action=drop src-mac-address=6C:F3:73:11:8D:B5 log=no log-prefix=""

 8 X  ;;; Kill RaspiPokoj
      chain=forward action=drop src-mac-address=B8:27:EB:3B:3A:65 log=no log-prefix=""

 9 X  ;;; Kill Adam NTB
      chain=forward action=drop src-mac-address=00:1F:3C:25:02:3B log=no log-prefix=""

10 X  ;;; Kill Ema NTB
      chain=forward action=drop src-mac-address=00:21:6A:01:F6:C2 log=no log-prefix=""

11    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked log=no log-prefix=""

12    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid log=no log-prefix=""

13    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp log=no log-prefix=""

14    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN log=no log-prefix=""

15    ;;; defconf: accept in ipsec policy
      chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec

16    ;;; defconf: accept out ipsec policy
      chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec

17    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""

18    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked log=no log-prefix=""

19    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

20    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix=""
0 x

jval
Příspěvky: 117
Registrován: 10 years ago

Příspěvekod jval » 3 weeks ago

Jen vyzdvihuji aby příspěvek nezapadl.
Napadá vás někoho proč to nefunguje?


Děkuji
0 x

Rosak
Příspěvky: 181
Registrován: 6 years ago

Příspěvekod Rosak » 3 weeks ago

Ahoj.
Pokud se to chová jak píšeš v prvním příspěvku, zapni si na tom zakazujícím pravidle logování, zkus přístup Winboxem z venku a podívej se do logu, mohlo by Ti to napovědět.
0 x

jval
Příspěvky: 117
Registrován: 10 years ago

Příspěvekod jval » 3 weeks ago

Jo, děkuju moc.
Jsem prostě pako a myslel jsem si, že když se hlásím aplikací z androidu, tak to jde přes stejný port. No nejde, tam to jde přes api 8728.
Přidal jsem ho do toho pravidla k 8291 a už to maká.

Ještě jednou děkuji moc.
0 x

Uživatelský avatar
Selič
Příspěvky: 709
Registrován: 9 years ago
antispam: Ano

Příspěvekod Selič » 3 weeks ago

Ponechávat API dostupné z internetu není moc dobrý nápad.
Vypadá to, že je tam bezpečnostní díra.
0 x
"Slepému neukážeš, hluchému nepovíš, debilovi nedokážeš..."

mirek.k
Příspěvky: 689
Registrován: 10 years ago

Příspěvekod mirek.k » 3 weeks ago

jval píše:Jo, děkuju moc.
Jsem prostě pako a myslel jsem si, že když se hlásím aplikací z androidu, tak to jde přes stejný port. No nejde, tam to jde přes api 8728.
Přidal jsem ho do toho pravidla k 8291 a už to maká.

Ještě jednou děkuji moc.

Winbox z Androidu?
0 x

Uživatelský avatar
goblajz
Příspěvky: 821
Registrován: 11 years ago
antispam: Ano

Příspěvekod goblajz » 3 weeks ago

0 x

jval
Příspěvky: 117
Registrován: 10 years ago

Příspěvekod jval » 3 weeks ago

Ano vím o něm, ale zatím jsem se nedokopal přendat uložené spojení z https://play.google.com/store/apps/details?id=com.birkot.mikrowinbox.pro, který používám už dlouho.
0 x

Machca
Příspěvky: 54
Registrován: 10 years ago

Příspěvekod Machca » 2 weeks ago

není bezbečné nechávat povolené api z wan ani winbox na default portu 8291

Kód: Vybrat vše

add action=accept chain=input comment="Allow Winbox" dst-port=8291 protocol=tcp

tohle bude chodit na všech interfaces, doporučuju udělat address list white list a omezit to na ip z addresslistu alespoň
0 x
Machča

jval
Příspěvky: 117
Registrován: 10 years ago

Příspěvekod jval » 2 weeks ago

No na jiný port to asi přehodím, to je fakt, ale address list nepřipadá v úvahu, protože potřebuji zapínat/vypínat FW pravidla ať jsem kdekoliv.
Díky
0 x


Zpět na „Začátečnické témata“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host