hình như mặc định là mikrotik chặn inter vlan rồi hay sao đó bác, em thêm các rule như bác nói nhưng vẫn không ping được từ dải vlan 1 sang các dải khác được trừ phi thêm rule prerouting vào mangleCoi như là hiện giờ bác đang để 4 cái interface vlan1-4 trong cái interface list LAN như em nói ở trên nhé bác. Giờ bác tạo thêm 1 interface List tên là VLAN chẳng hạn, rồi bác add 3 cái interface vlan2-4 vào cái list này, interface vlan1 không trong list này chỉ trong list LAN. Với giả sử pihole vẫn ở 192.168.10.41 như ở thí dụ trước thì bác add các rules filter này vào ạ:
Code:/ip firewall filter add action=accept chain=forward comment="allow access to pihole" \ dst-address=192.168.10.41 in-interface-list=LAN add action=drop chain=forward comment="block vlan to lan" in-interface-list=VLAN \ out-interface-list=LAN
Như thế với dòng thứ nhất từ cả 4 vlan (là members của list LAN) đều vào được 192.168.10.41 (nếu bác muốn chỉ cho vào DNS thì biến nó thành 2 rules có dst-port=53 và protocol=udp và tcp).
Với dòng thứ 2 thì cả 3 thành viên của list VLAN (tức là gồm vlan2-4) đều không truy cập được vào các vlan còn lại (tức là 2 không truy cập được vào 1, 2, 3, 4). Nhưng vlan1 vẫn vào được 3 con còn lại vì không nằm trong list VLAN nên không bị dính rule drop.
Còn nếu bác chỉ không muốn vlan2-4 vào vlan-1, còn vẫn cho chúng liên lạc giữa nhau, thì bác thay out-interface-list=LAN thành out-interface=vlan1, tức là chỉ cấm vào vlan1.
Bác chú ý là cái này chỉ hoạt động nếu ở phía bên trên của chain forward này có rules:
Code:/ip firewall filter add action=accept chain=forward comment="accept established, related, untracked" \ connection-state=established,related,untracked
sẵn rồi nhé. Rule này có trong cấu hình tường lửa defconf. Nếu chưa có thì bác phải thêm nó vào và kéo lên trên. Không có rule này thì khi từ vlan1 vào vlan2-4 gửi được packet nhưng packet trả lời sẽ không nhận được vì bị drop bởi rule drop VLAN to LAN kia.
Nếu dùng IPv6 thì bác copy cái rule drop thứ 2 đó sang bên /ipv6 firewall filter (và kiểm tra xem ở bên trên bên đó có rule "accept established, related, untracked" ở chain forward sẵn chưa nữa).
thảo luận Cộng đồng người dùng MikroTik Router
- Thread starter tuanreb
- Start date
hình như mặc định là mikrotik chặn inter vlan rồi hay sao đó bác, em thêm các rule như bác nói nhưng vẫn không ping được từ dải vlan 1 sang các dải khác được trừ phi thêm rule prerouting vào mangle
CGGX_ANNX
Senior Member
Hơn bác ạ, nhất là khi không dùng được fasttrack (thí dụ khi dùng IPv6). Em có cả 2 con và con hAP ac2 hàng cũ giá 1 củ mua để thay con hEX vì con hEX dùng IPv6 chỉ được mỗi 2xx Mbps với RouterOS 7.
Hai con này đều ra đời với RouterOS 6 nên bảng benchmark trên trang web MikroTik có thể so sánh được với nhau (kết quả trong bảng là với R6, nếu so tương đương với thiết bị ra đời đã dùng sẵn R7 thì phải giảm kết quả benchmark của thiết bị dùng R6 đi khoảng 25%. Bác lấy số của hAP ac² so với hAP ax² thấy của ac² có vẻ nhanh hơn nhưng thực tế ax² nhanh hơn vì số của nó là đo với R7)
hAP ac² | MikroTik
Dual-Concurrent 2.4/5GHz AP, 802.11a/b/g/n/ac, Five Gigabit Ethernet ports, USB for 3G/4G support, universal tower case and IPsec hardware encryption support
mikrotik.com
hEX | MikroTik
5x Gigabit Ethernet, Dual Core 880MHz CPU, 256MB RAM, USB, microSD, RouterOS L4
mikrotik.com
Theo kinh nghiệm forum mikrotik thì các thiết bị lấy số ở chỗ 25 rules packet 512 bytes là sẽ giống với tốc độ thực tế khi không có fasttrack. Ở đây 2 số đều là với R6 nên nếu chạy R7 bác giảm đi 1/4. Con hEX vì thế chạy IPv6 (không dùng được fasttrack) còn 2xx Mbps còn con hAP ac² sẽ nhanh bằng 2.5 lần.
Tuy nhiên con hEX có lợi thế là switch chip của nó hoạt động giống với những con chip ở các dòng router đời cao hơn bây giờ của MikroTik. Tức là nếu setup VLAN theo phương pháp mới được khuyến cáo bây giờ (Bridge VLAN filtering) sẽ có tăng tốc phần cứng hoạt động nhanh như không dùng VLAN. Còn con hAP ac² để có tăng tốc phần cứng khi dùng VLAN bác phải cấu hình nó theo cách cũ, là chỉnh sửa trên phần cấu hình switch chip.
Nếu bác dùng để chạy WireGuard thì con hAP ac² cũng nhanh hơn hEX. Nhưng nếu dùng IPSec thì con hEX lại ngon hơn ạ, vì tăng tốc phần cứng IPSec ạ.
Last edited:
CGGX_ANNX
Senior Member
Không bác ạ, nếu dùng tường lửa mặc định của cầu hình defconf (hoặc nếu tường lửa bác rỗng bắt đầu từ 0) thì giữa các VLAN không bị block. Vì cái rule drop ở chain forward của cấu hình defconf nó chỉ drop với in-interface-list=WAN, mà các interface bác mới tạo ra mặc định nó không nằm trong list này. Chắc tường lửa của bác có rule drop ở chain forward khác rồi. Bác chú ý là thứ tự các rules trong bảng rất quan trọng, vì trong cùng 1 chain (chain input, chain forward) các rules sẽ được xử lý từ trên xuống dưới và khi match được với 1 rule drop hoặc accept thì sẽ dừng không xử lý tiếp. Thế nên nếu bác có ở chain forward 1 rule mặc định drop all nào đó thì bác phải để nó ở dưới mấy cái rule add thêm ở trên kia vào, nếu không các rules đó không có cơ hội chạy. Cũng vì thế nên bác thây cái rule accept cho vào 192.168.10.41 kia em phải đặt nó ở bên trên rule drop VLAN to LAN.
Nếu có thể bác chạy lệnh
Code:
/ip firewall filter exportrồi paste output vào đây thì càng tốt ạ.
Code:
/ip firewall filter
add action=accept chain=forward comment="accept established, related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="Memcrashed - Amplification Attacks UDP 11211" dst-port=11211 protocol=udp
add action=jump chain=forward comment="Anti DDoS Attacks" connection-state=new jump-target=block-ddos
add action=drop chain=forward connection-state=new dst-address-list=ddosed src-address-list=ddoser
add action=return chain=block-ddos dst-limit=50,50,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m chain=block-ddos
add action=add-src-to-address-list address-list=ddoser address-list-timeout=10m chain=block-ddos
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Mark Source ip port scanner to Address list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Drop port scanners" src-address-list="port scanners"
add action=drop chain=input comment="drop ftp BRUTE FORCErs" dst-port=21 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content="530 Login incorrect" protocol=tcp
add action=drop chain=input comment="drop ssh BRUTE FORCErs" dst-port=22-23 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22-23 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22-23 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22-23 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22-23 protocol=tcp
add action=drop chain=forward comment="drop ssh brute downstream" dst-port=22-23 protocol=tcp src-address-list=ssh_blacklist
add action=accept chain=forward comment="allow access to pihole" dst-address=192.168.10.10 in-interface-list="List All Vlan"
add action=drop chain=forward comment="block vlan to lan" in-interface-list="List Vlan Exclude VlanHome" out-interface-list="List All Vlan"bác xem dùm e nhé
wuhoatu
Senior Member
Thx U bác, rất chi tiết. Mà bác kiếm đâu đc HAP ac2 1 củ hay vậy.Hơn bác ạ, nhất là khi không dùng được fasttrack (thí dụ khi dùng IPv6). Em có cả 2 con và con hAP ac2 hàng cũ giá 1 củ mua để thay con hEX vì con hEX dùng IPv6 chỉ được mỗi 2xx Mbps với RouterOS 7.
Hai con này đều ra đời với RouterOS 6 nên bảng benchmark trên trang web MikroTik có thể so sánh được với nhau (kết quả trong bảng là với R6, nếu so tương đương với thiết bị ra đời đã dùng sẵn R7 thì phải giảm kết quả benchmark của thiết bị dùng R6 đi khoảng 25%. Bác lấy số của hAP ac² so với hAP ax² thấy của ac² có vẻ nhanh hơn nhưng thực tế ax² nhanh hơn vì số của nó là đo với R7)
hAP ac² | MikroTik
Dual-Concurrent 2.4/5GHz AP, 802.11a/b/g/n/ac, Five Gigabit Ethernet ports, USB for 3G/4G support, universal tower case and IPsec hardware encryption support
View attachment 2395774
hEX | MikroTik
5x Gigabit Ethernet, Dual Core 880MHz CPU, 256MB RAM, USB, microSD, RouterOS L4
View attachment 2395776
Theo kinh nghiệm forum mikrotik thì các thiết bị lấy số ở chỗ 25 rules packet 512 bytes là sẽ giống với tốc độ thực tế khi không có fasttrack. Ở đây 2 số đều là với R6 nên nếu chạy R7 bác giảm đi 1/4. Con hEX vì thế chạy IPv6 (không dùng được fasttrack) còn 2xx Mbps còn con hAP ac² sẽ nhanh bằng 2.5 lần.
Tuy nhiên con hEX có lợi thế là switch chip của nó hoạt động giống với những con chip ở các dòng router đời cao hơn bây giờ của MikroTik. Tức là nếu setup VLAN theo phương pháp mới được khuyến cáo bây giờ (Bridge VLAN filtering) sẽ có tăng tốc phần cứng hoạt động nhanh như không dùng VLAN. Còn con hAP ac² để có tăng tốc phần cứng khi dùng VLAN bác phải cấu hình nó theo cách cũ, là chỉnh sửa trên phần cấu hình switch chip.
Nếu bác dùng để chạy WireGuard thì con hAP ac² cũng nhanh hơn hEX. Nhưng nếu dùng IPSec thì con hEX lại ngon hơn ạ, vì tăng tốc phần cứng IPSec ạ.
CGGX_ANNX
Senior Member
Híc, có vẻ là bác copy cái đống rules từ cái trang kiểu trang này: Các Firewall Filter Rules giúp tăng cường bảo mật cho Mikrotik (https://aiot.io.vn/serial/mikrotik/firewall-rule-tang-cuong-bao-mat/)
Giờ có 2 phương án, hoặc là bác vẫn muốn giữ cái đống rules này. Nếu thế thì bác kéo (drag & drop bằng chuột) 2 cái rules "allow access to pihole" và "block vlan to lan" từ dưới cùng kia lên vị trí thứ 2 sau cái rule đầu tiên. Rồi sau đó thêm cái rule này vào vị trí sau cái dòng "allow access to pihole", trước dòng "block vlan to lan",
Code:
/ip firewall filter
add action=accept chain=forward comment="VlanHome to Vlan" in-interface=vlan1 \
out-interface-list="List All Vlan"vlan1 là tên cái interface VlanHome của bác.
Nhưng mà phương án em thực sự khuyên bác nên theo là cho tất cả đống rules filter bác copy được kia vào sọt rác, rồi sử dụng danh sách filter dựa trên cấu hình default configuration của MikroTik. Cấu hình dựa theo MikroTik sẽ block truy cập từ ngoài vào router ở chain input, trừ ICMP, block forwarding từ ngoài internet, ngoại trừ với các cổng bác đã thiết lập port forwarding. Giờ em giải thích sơ qua vì sao đống rule bác copy từ trang kia phần lớn vô tác dụng, chỉ chiếm thêm CPU, mà lại không bảo vệ được bằng cái cấu hình default configuration của MikroTik. Em sẽ đi lần lượt theo các mục màu xanh từ cái trang này: Các Firewall Filter Rules giúp tăng cường bảo mật cho Mikrotik (https://aiot.io.vn/serial/mikrotik/firewall-rule-tang-cuong-bao-mat/)
* Cái phần Memcrashed - Major amplification attacks from UDP port 11211: Cái này vô ích nếu bác không chạy memcached đâu đó trong LAN và port forward cổng 11211 của nó ra ngoài internet. Trong khi tường lửa defconf sẽ mặc định drop forwarding từ internet nên, ngay cả khi bác có chạy memcached trong mạng đi chăng nữa mà không mở port forwarding cổng này thì tường lửa mặc định cũng đã bảo vệ được rồi. Rule này coi như tốn xử lý 1 cách vô ích.
* Cái phần Anti DDoS Attacks: Ngoài việc có khi bác ở trên mạng hàng chục năm cũng không có kẻ xấu nào thừa hơi và tài nguyên đi DDoS đúng nhà bác làm cái gì, thì việc block DDoS bằng bảng Filter là vô ích. Sau khi mất công nhớ địa chỉ và đếm kết nối (tốn tài nguyên router) thì kết cục vẫn chỉ là 1 cái action=drop ở trên bảng filter sau khi so sánh với address list. Trong khi tường lửa cấu hình defconf bình thường mặc định drop luôn kết nối mới từ ngoài internet rồi, trừ trường hợp vào cổng đã được port forwarding. Thế nên nếu có bị DDoS kiểu này thì tường lửa defconf sẽ còn drop kết nối sớm hơn đống rules này, đồng thời không mất công nhớ địa chỉ và đếm connection. Muốn block DDoS hiệu quả thực sự, thì phải block ở bảng RAW, vì khi đó mới block được khi kết nối chưa dùng nhiều tài nguyên của router, còn đã để đến bảng filter rồi thì tác dụng không hơn gì cái rule drop mặc định cả.
* Cái phần Block IP/Port Scanner: Một lần nữa tốn xử lý vô ích khi kết quả cuối cùng cũng chỉ là 1 cái action=drop trên bảng filter của chain input. Lý do là nếu dùng tường lửa theo cấu hình defconf, thì mặc định mọi kết nối mới từ ngoài vào chain input của router bị drop sạch, (trừ ICMP, mà ICMP thì kernel Linux tự động rate-limit 1000 packet/s rồi), nên kẻ xấu có muốn port scan thoải mái, kết quả vẫn bị drop. Dùng cấu hình defconf còn bị drop ngay, còn dùng đống rules này phải đợi chạy qua 1 đống rules rồi mới add vào address list rồi mới drop.
* Cái phần Anti BruteForce Attack: Cái này chỉ áp dụng khi bác mở tô hô cổng FTP, Telnet, với SSH của router ra ngoài thế giới, trong khi không có lý do nào để bác làm việc đó cả. Filter của defconf mặc định đóng hết nên đứa nào muốn brute force 3 cái cổng này cũng sẽ bị drop từ lâu rồi (ngay từ đầu), chứ không như cái đống rules này, còn phải đợi mấy vòng, lưu mấy address list mới drop.
Không những không bảo vệ được gì hơn so với tường lửa cấu hình chuẩn của MikroTik, cái đống rules này của bác còn chẳng bảo vệ gì được hết những thứ quan trọng nhất. Thí dụ đơn thuần là cái cổng WinBox mở rộng mời bọn xấu vào thử password, cả cổng 80 của WebFig cũng vậy. Nếu router của bác bật DNS server thì cái đống rules của bác cũng không chặn được bọn bên ngoài tấn công DNS amplification attack với cổng UDP 53. Trong khi nếu dùng filter từ cấu hình defconf thì router của bác coi như kín mít, trừ ICMP được phép đi qua và các cổng bác bật port forwarding.
Vậy em khuyên bác xóa đống rules này đi bắt đầu lại từ bảng fitler trắng rồi thêm các rules sau đây dựa trên rules của MikroTik vào. Phần giải thích bác có thể tham khảo ở đây:
Building Advanced Firewall - RouterOS - MikroTik Documentation
Đầu tiên là interface list. Bác tạo thêm 1 cái interface list tên là WAN. Bác nhét interface pppoe-outX và cái cổng ethernet mà kết nối PPPoE sử dụng vào list này. Nếu bác dùng WireGuard cài ở server bên ngoài / dịch vụ WireGuard bên thứ 3 để vào internet thì cũng có thể cho interface WireGuard đó vào list WAN này.
Trong các rules sẽ sử dụng interface list LAN, là cái post trước em bảo bác tạo. Có vẻ bác đã đổi tên nó thành "List All Vlan". Vậy trong các rules em post chỗ nào thấy list "LAN" thì bác thay bằng "List All Vlan" nhé. Ngoài ra em cũng bỏ các rules liên quan đến IPSec hay CAPSMAN vì chắc bác sẽ không dùng những cái này.
Đầu tiên là để bảo vệ chain input. Bác thêm rules như phần "Protect the Device" ở trang của MikroTik:
Code:
/ip firewall filter
add chain=input action=accept connection-state=established,related,untracked \
comment="defconf: accept established,related,untracked"
add chain=input action=drop connection-state=invalid \
comment="defconf: drop invalid"
add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
add chain=input action=drop in-interface-list=!"List All Vlan"\
comment="defconf: drop all not coming from LAN"Bây giờ đến chain forward. Giống phần Protect the Clients ở trang MikroTik. Em sẽ disable cái rules fasttrack, vì bác có nhiều rules ở bảng mangle mà em không biết mặt mũi chúng ra sao nên không tể tạo ngoại lệ skip fasttrack cho chúng được. Tường lửa defconf đi theo thiết bị không có các rules drop "no_forward_ipv4" nên em cũng không đưa vào đây. Nếu muốn bác copy mấy rules đó từ trang kia của MikroTik. Ngoài ra em cũng chèn mấy rules VLAN với pihole sẵn cho bác.
Code:
/ip firewall filter
add chain=forward action=fasttrack-connection connection-state=established,related \
disabled=yes comment="defconf: fasttrack"
add chain=forward action=accept connection-state=established,related,untracked \
comment="defconf: accept established,related, untracked"
add chain=forward action=drop connection-state=invalid \
comment="defconf: drop invalid"
add action=accept chain=forward comment="allow access to pihole" \
dst-address=192.168.10.10 in-interface-list="List All Vlan"
add action=drop chain=forward comment="block vlan to lan" \
in-interface-list="List Vlan Exclude VlanHome" out-interface-list="List All Vlan"
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat \
in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"Thế là đủ an toàn và hoạt động tốt hơn mấy rules bác copy kia ạ.
Last edited:
CGGX_ANNX
Senior Member
Em check lại thì kể ra nói 1 củ cũng hơi điêu
, nhưng app voucher trên Shopee (em chỉ có mấy cái vouchers standard thôi), thì nó còn thế này cả ship:
CGGX_ANNX
Senior Member
tính ra thì thuần router ta có thể dùng ac² hay hex cũng được cả, dùng ở nhà đều đa số là thừa thãi hẳn năng lực thiết bị.
còn phức tạp hơn cần đến VLAN mà lại chịu tải lớn, có vẻ như môi trường kinh doanh, nhu cầu vượt hẳn luôn, mà so ra bảng ghi các loại hỗ trợ thẳng hw offload
View attachment 2396043
thấy kiểu này chỉ thiên về họ / dòng switch chứ mấy ông router là "phiên bản giới hạn" hay chờ phát triển thêm. Thế hay là trang bị hẳng dòng CRS3xx
cái nữa là, nghe đồn bên forum của mikrotik thì càng về sau tính năng mới được bổ sung cũng sẽ có hướng ưu tiên cho dòng chip arm hơn.
Hehe ba cái màu vàng bác đóng khung là được hỗ trợ rồi đấy ạ. Nó chỉ vàng vì có cái restriction ether-types, mà thường để mặc định là 0x8100 sẵn rồi. Với ba dòng đó là bao được đống hEX, hEX S, RBM33G, RB4011, RB1100AHx4, L009, RB5009, CCR2004-16G-2S+ rồi.
Con hAP ac² cũng có hỗ trợ phần cứng VLAN, nó là cái Atheros8327 trong bảng này, nhưng phải config theo kiểu khác Basic VLAN switching - RouterOS - MikroTik Documentation (https://help.mikrotik.com/docs/display/ROS/Basic+VLAN+switching#BasicVLANswitching-Otherdeviceswithabuilt-inswitchchip)
Có con ax² với ax³, bị xếp vào cái IPQ-PPE là hiện chưa có hardware acceleration cho gì cả.
Last edited:
cám ơn bác đã chỉ giáo, đúng là vip pro có khácHíc, có vẻ là bác copy cái đống rules từ cái trang kiểu trang này: Các Firewall Filter Rules giúp tăng cường bảo mật cho Mikrotik (https://aiot.io.vn/serial/mikrotik/firewall-rule-tang-cuong-bao-mat/)
Giờ có 2 phương án, hoặc là bác vẫn muốn giữ cái đống rules này. Nếu thế thì bác kéo (drag & drop bằng chuột) 2 cái rules "allow access to pihole" và "block vlan to lan" từ dưới cùng kia lên vị trí thứ 2 sau cái rule đầu tiên. Rồi sau đó thêm cái rule này vào vị trí sau cái dòng "allow access to pihole", trước dòng "block vlan to lan",
Code:/ip firewall filter add action=accept chain=forward comment="VlanHome to Vlan" in-interface=vlan1 \ out-interface-list="List All Vlan"
vlan1 là tên cái interface VlanHome của bác.
Nhưng mà phương án em thực sự khuyên bác nên theo là cho tất cả đống rules filter bác copy được kia vào sọt rác, rồi sử dụng danh sách filter dựa trên cấu hình default configuration của MikroTik. Cấu hình dựa theo MikroTik sẽ block truy cập từ ngoài vào router ở chain input, trừ ICMP, block forwarding từ ngoài internet, ngoại trừ với các cổng bác đã thiết lập port forwarding. Giờ em giải thích sơ qua vì sao đống rule bác copy từ trang kia phần lớn vô tác dụng, chỉ chiếm thêm CPU, mà lại không bảo vệ được bằng cái cấu hình default configuration của MikroTik. Em sẽ đi lần lượt theo các mục màu xanh từ cái trang này: Các Firewall Filter Rules giúp tăng cường bảo mật cho Mikrotik (https://aiot.io.vn/serial/mikrotik/firewall-rule-tang-cuong-bao-mat/)
* Cái phần Memcrashed - Major amplification attacks from UDP port 11211: Cái này vô ích nếu bác không chạy memcached đâu đó trong LAN và port forward cổng 11211 của nó ra ngoài internet. Trong khi tường lửa defconf sẽ mặc định drop forwarding từ internet nên, ngay cả khi bác có chạy memcached trong mạng đi chăng nữa mà không mở port forwarding cổng này thì tường lửa mặc định cũng đã bảo vệ được rồi. Rule này coi như tốn xử lý 1 cách vô ích.
* Cái phần Anti DDoS Attacks: Ngoài việc có khi bác ở trên mạng hàng chục năm cũng không có kẻ xấu nào thừa hơi và tài nguyên đi DDoS đúng nhà bác làm cái gì, thì việc block DDoS bằng bảng Filter là vô ích. Sau khi mất công nhớ địa chỉ và đếm kết nối (tốn tài nguyên router) thì kết cục vẫn chỉ là 1 cái action=drop ở trên bảng filter sau khi so sánh với address list. Trong khi tường lửa cấu hình defconf bình thường mặc định drop luôn kết nối mới từ ngoài internet rồi, trừ trường hợp vào cổng đã được port forwarding. Thế nên nếu có bị DDoS kiểu này thì tường lửa defconf sẽ còn drop kết nối sớm hơn đống rules này, đồng thời không mất công nhớ địa chỉ và đếm connection. Muốn block DDoS hiệu quả thực sự, thì phải block ở bảng RAW, vì khi đó mới block được khi kết nối chưa dùng nhiều tài nguyên của router, còn đã để đến bảng filter rồi thì tác dụng không hơn gì cái rule drop mặc định cả.
* Cái phần Block IP/Port Scanner: Một lần nữa tốn xử lý vô ích khi kết quả cuối cùng cũng chỉ là 1 cái action=drop trên bảng filter của chain input. Lý do là nếu dùng tường lửa theo cấu hình defconf, thì mặc định mọi kết nối mới từ ngoài vào chain input của router bị drop sạch, (trừ ICMP, mà ICMP thì kernel Linux tự động rate-limit 1000 packet/s rồi), nên kẻ xấu có muốn port scan thoải mái, kết quả vẫn bị drop. Dùng cấu hình defconf còn bị drop ngay, còn dùng đống rules này phải đợi chạy qua 1 đống rules rồi mới add vào address list rồi mới drop.
* Cái phần Anti BruteForce Attack: Cái này chỉ áp dụng khi bác mở tô hô cổng FTP, Telnet, với SSH của router ra ngoài thế giới, trong khi không có lý do nào để bác làm việc đó cả. Filter của defconf mặc định đóng hết nên đứa nào muốn brute force 3 cái cổng này cũng sẽ bị drop từ lâu rồi (ngay từ đầu), chứ không như cái đống rules này, còn phải đợi mấy vòng, lưu mấy address list mới drop.
Không những không bảo vệ được gì hơn so với tường lửa cấu hình chuẩn của MikroTik, cái đống rules này của bác còn chẳng bảo vệ gì được hết những thứ quan trọng nhất. Thí dụ đơn thuần là cái cổng WinBox mở rộng mời bọn xấu vào thử password, cả cổng 80 của WebFig cũng vậy. Nếu router của bác bật DNS server thì cái đống rules của bác cũng không chặn được bọn bên ngoài tấn công DNS amplification attack với cổng UDP 53. Trong khi nếu dùng filter từ cấu hình defconf thì router của bác coi như kín mít, trừ ICMP được phép đi qua và các cổng bác bật port forwarding.
Vậy em khuyên bác xóa đống rules này đi bắt đầu lại từ bảng fitler trắng rồi thêm các rules sau đây dựa trên rules của MikroTik vào. Phần giải thích bác có thể tham khảo ở đây:
Building Advanced Firewall - RouterOS - MikroTik Documentation
help.mikrotik.com
Đầu tiên là interface list. Bác tạo thêm 1 cái interface list tên là WAN. Bác nhét interface pppoe-outX và cái cổng ethernet mà kết nối PPPoE sử dụng vào list này. Nếu bác dùng WireGuard cài ở server bên ngoài / dịch vụ WireGuard bên thứ 3 để vào internet thì cũng có thể cho interface WireGuard đó vào list WAN này.
Trong các rules sẽ sử dụng interface list LAN, là cái post trước em bảo bác tạo. Có vẻ bác đã đổi tên nó thành "List All Vlan". Vậy trong các rules em post chỗ nào thấy list "LAN" thì bác thay bằng "List All Vlan" nhé. Ngoài ra em cũng bỏ các rules liên quan đến IPSec hay CAPSMAN vì chắc bác sẽ không dùng những cái này.
Đầu tiên là để bảo vệ chain input. Bác thêm rules như phần "Protect the Device" ở trang của MikroTik:
Code:/ip firewall filter add chain=input action=accept connection-state=established,related,untracked \ comment="defconf: accept established,related,untracked" add chain=input action=drop connection-state=invalid \ comment="defconf: drop invalid" add chain=input action=accept protocol=icmp comment="defconf: accept ICMP" add chain=input action=drop in-interface-list=!"List All Vlan"\ comment="defconf: drop all not coming from LAN"
Bây giờ đến chain forward. Giống phần Protect the Clients ở trang MikroTik. Em sẽ disable cái rules fasttrack, vì bác có nhiều rules ở bảng mangle mà em không biết mặt mũi chúng ra sao nên không tể tạo ngoại lệ skip fasttrack cho chúng được. Tường lửa defconf đi theo thiết bị không có các rules drop "no_forward_ipv4" nên em cũng không đưa vào đây. Nếu muốn bác copy mấy rules đó từ trang kia của MikroTik. Ngoài ra em cũng chèn mấy rules VLAN với pihole sẵn cho bác.
Code:/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related \ disabled=yes comment="defconf: fasttrack" add chain=forward action=accept connection-state=established,related,untracked \ comment="defconf: accept established,related, untracked" add chain=forward action=drop connection-state=invalid \ comment="defconf: drop invalid" add action=accept chain=forward comment="allow access to pihole" \ dst-address=192.168.10.10 in-interface-list="List All Vlan" add action=drop chain=forward comment="block vlan to lan" \ in-interface-list="List Vlan Exclude VlanHome" out-interface-list="List All Vlan" add chain=forward action=drop connection-state=new connection-nat-state=!dstnat \ in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"
Thế là đủ an toàn và hoạt động tốt hơn mấy rules bác copy kia ạ.
via theNEXTvoz for iPhone
wuhoatu
Senior Member
vẫn rẻ chán
CGGX_ANNX
Senior Member
Cũng có thể dạo này nó đắt lên vì sau 7.13 gỡ được package WiFi thì bớt bị lo đầy flash hơn trước. Trước cấu hình mà có thêm đống root certificates với address lists to to là nghẹt thở luôn
Koh Dong Jin
Senior Member
Hi các bác cho mình hỏi như này, Mình có 1 PC router tàu, có 2 Lan chạy Mik. 1 con newifi 3D2 chạy openwrt.
Giờ mình muốn bắt 1 mạng wifi khác từ con 3D2, kết nối với con PC router bằng Usb to Lan > cấu hình chạy 2 đường mạng trên PC router luôn. Thì liệu có làm như vậy được không? Mik có nhận được USB lan không? Nhờ các bác giải đáp và hướng dẫn.
Giờ mình muốn bắt 1 mạng wifi khác từ con 3D2, kết nối với con PC router bằng Usb to Lan > cấu hình chạy 2 đường mạng trên PC router luôn. Thì liệu có làm như vậy được không? Mik có nhận được USB lan không? Nhờ các bác giải đáp và hướng dẫn.
mynameishaj
Junior Member
Em dùng PC Router Mik OS pppoe mà khi bắt wifi máy Samsung nó cứ báo đã kết nối mà không sử dụng interner và có dấu chấm than ở cột sóng Wifi.
Các dòng điện thoại hãng khác thì bắt wifi sử dụng bình thường ạ. Ai biết lỗi gì và cách fix như nào chỉ em với. Em cảm ơn ạ
Các dòng điện thoại hãng khác thì bắt wifi sử dụng bình thường ạ. Ai biết lỗi gì và cách fix như nào chỉ em với. Em cảm ơn ạ
Attachments
vuducdong
Senior Member
sao không sử dụng container, cài adguard home lên usb, để làm DNS server, thích dùng DoH nào chẳng được :v
wuhoatu
Senior Member
HÌnh như con HAP ac2 ko chạy đc container???
vuducdong
Senior Member
wuhoatu
Senior Member
ah, nhưng sợ remove wifi xong có đủ chỗ cho container package ko ấy bác, còn khi chạy thì tải về USB đc rồi.
vuducdong
Senior Member
cái module package wifi nó to hơn cái module package container nhiều bạn ơi.
CGGX_ANNX
Senior Member
Được bác ạ, để chắc ăn bác kiếm con USB nào chạy chip RTL8153 của realtek vì chắc chắn nó được support từ 7.12
ngoài ra RTL8152 cũng được hỗ trợ nhưng cái đó chỉ là Fast Ethernet 100Mbps. Cái theo các chú trên forum MikroTik vẫn chưa được hỗ trợ là cái 2.5Gbps RTL8156.
Last edited:
vuducdong
Senior Member
nên tải bộ cài của adguard home về usb, rồi mới cài, hoặc nếu pull source từ hub docker, phải chỉnh lại chỗ file tmp khi cài đặt sang usb, chứ không mặc định nó chọn bộ nhớ trong của router ---> thiếu bộ nhớ trong --> lỗi cài đặt.
