ComputerBase Menü
Aktuelles

Mikrotik RouterOS forward drop statt accept

N

newsletter

Cadet 4th Year
Registriert
Okt. 2014
Beiträge
65
Moin,

vielleicht kann mir jemand helfen.
Bin neu im Thema Mikrotik / RouterOS.

Meine Geräte:
ISP -> Modem (DrayTek Vigor 167) -> Router (MikroTik Hex S)

WAN habe ich auf Port 1 beim Hex S.
Den Laptop auf Port 2 beim Hex S.
Internet habe ich soweit.

Ipconfig:

Verbindungsspezifisches DNS-Suffix:
Verbindungslokale IPv6-Adresse . : fe81::5bb:b52d:178d:4753%15
IPv4-Adresse . . . . . . . . . . : 192.168.1.53
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.1.1

Nun bin ich an den Forward-Regeln dran:
Ich verstehe nicht wieso mein Zugriff auf Webseiten (Port 80 / 443) vom Laptop / ether2 nicht klappt.
Es landet jedes mal im Drop.

Meine Firewall-Einstellungen:
p4.png


Problematische Konfig:
p5.png

(bei Action natürlich "accept")

Danke

Gruss newsletter
 
Port 80 (http) und 443 (https) sind immer offen und brauchen nicht weitergeleitet oder erlaubt werden, im Normalfall
was genau hast du vor? ein Game zum laufen zu bringen Obwohl du ds-lite/cgn hast?
deine Konstellation mit vigor plus mikrotik bedürfen ein paar Erfahrungen mehr als das übliche Consumer Wissen und kann bei falscher Konfiguration sehr teuer werden.
 
Zuletzt bearbeitet:
Man kann sich überall einlernen ;)

Ich habe bereits mehrere Jahre ein Server zuhause am laufen. Hierfür will ich eine DMZ resp. vLan's einrichten um einzelne Dienste/ Docker Container (z.B. Webseite) öffentlich zu machen.

Würde ich nur ein Game zum laufen bringen wollen wäre ich bei der Fritzbox geblieben ;)
Bis das ganze sicher läuft surfe ich auch mit der alten Fritzbox 7490 weiter.

-> Benutzer "admin" ist ersetzt durch einen neuen kryptischen resp. natürlich sehr gutem pw.
-> Upgrade auf Version 7.7

Meine aktuellen Firewall Regeln:
Input Chain: Zugriff von Aussen nach Innen verhindern.
-> Zugriff von Lan-Port 2.
-> related & established akzeptieren
-> rest droppen.

Das müsste bereits reichen, dass die Ports für die Öffentlichkeit blockiert sind (zumindest sagt das nmap).

Forward Chain: Zugriff von Innen nach Aussen.
-> related & established akzeptieren.
-> mal testweise 80 (http) / 443 (https) erlauben für den Pc am Lan2
-> rest droppen

chrigu schrieb:
Port 80 (http) und 443 (https) sind immer offen und brauchen nicht weitergeleitet oder erlaubt werden, im Normalfall
Zum Vergrößern anklicken....

Der drop müsste auch 80/443 blockieren, zumindest sagt das der log innerhalb vom drop.
Würde der drop 80/443 nicht blockieren chönte ich weiterhin auf Webseiten surfen, erst nach dem deaktiveren wieder möglich.

Hiermit will ich erreichen, dass ich die Kommunikation von einzelnen Diensten besser steuern kann.
z.B. HTPC darf nicht überall drauf :)

Blöderweise macht die oben geschriebene Regel nicht genau das was ich will..

Mir ist klar, dass die Konfiguration entscheidend ist z.B. Bruteforce / DDos ist bisher noch nicht blockiert.

Das ganze will ich ggf. weiter ausbauen:
-> E-Mail Server
-> Mikrotik cAP ac

Gruss newsletter
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

N
RJ45 -> RJ11 möglich?
Antworten
5
Aufrufe
1.003
Wechsler
W
N
Mikrotik AccessPoint (capsman) über hex S
Antworten
2
Aufrufe
1.072
cbtaste420
cbtaste420
G
Mikrotik IPv6 Kaskadierung zu UDM Pro
Antworten
4
Aufrufe
1.107
GCCM
G
N
Mikrotik Hex S - Vlan realisieren
Antworten
7
Aufrufe
2.554
norKoeri
N
W
Plötzlich keine IPv4-Konnektivität auf allen Geräten
2
Antworten
33
Aufrufe
1.476
Telekom hilft
Telekom hilft
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz