Allow remote request - зло или необходимость?

Базовая функциональность RouterOS
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Allow remote request - зло или необходимость?

Сообщение sasha300 »

Привет!
На Пикабу прочитал статью, что у топикстартера стояла галка на Allow remote request и был неестественный внешний трафик.
У меня дома интернет от Ростелекома идет через pppoe, проверяю настройки DNS - галка напротив злосчастного пункта стоит, снимаю - инет пропадает. Отсюда вопрос - нужен ли Allow remote request в моем случае или пропадание интернета связано с кривыми настройками? Кстати, на просторах интернета инструкции по настройке pppoe интернета от Ростелеком не доходили до DNS.

В интернете прочел, что при включенной галке Allow remote request роутер становиться уязвимым от внешних запросов, то 53 порт UDP должен быть закрыт. Короче немного обезопасил себя, в IP Service List включил только Winbox, а в правилах фаервола запретил все, кроме разрешенных (53 порт протокола UDP дропается предпоследним правилом, но вполне возможно, что правила настроил криво, нужно мнение профессионала, правильно ли настроил):

Код: Выделить всё

/ip firewall filter
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=input comment="Accept establshed and related connection" connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=input comment="reserve input Mikrotik" in-interface=pppoe-out1 src-address-list=External_IP_port_knocking
тут port knoking
add action=accept chain=input comment="access from local to mikrotik " src-address=192.168.0.0/24
add action=accept chain=forward comment="Access to Internet from local network" out-interface=pppoe-out1 src-address=192.168.0.0/24
add action=accept chain=input comment="access from the office" src-address=ip_office
add action=accept chain=forward src-address=ip_office
add action=drop chain=input comment="All other drop"
add action=drop chain=forward
Заранее спасибо за ответ!
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Allow remote request - зло или необходимость?

Сообщение Chupaka »

Доброго. Всё — зло, если не понимать, что творишь. Allow Remote Requests — разрешает роутеру работать DNS-сервером для сторонних клиентов (будь то локальные или из Интернета).

Для дома есть два варианта: либо не заморачиваемся на роутере и выдаём всем DNS'ы провайдера/гугла/яндекса/другие внешние, либо выдаём адрес роутера, на роутере разрешаем Allow Remote Requests, а в фильтре файрвола открываем доступ к роутеру по 53-му порту (UDP, можно и TCP, но уже по желанию, не критично) только для локалки (чтобы атаки DNS Amplification из Интернета не пролезли).
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Re: Allow remote request - зло или необходимость?

Сообщение sasha300 »

выдаём всем DNS'ы провайдера/гугла/яндекса/другие внешние
сделал так:

Код: Выделить всё

/ip dns
set servers=8.8.8.8,8.8.4.4
внизу еще динамические адреса:
Снимок экрана_2019-03-10_14-03-04.png
снимаю галку - попадает инет, пинги с хоста не идут =(
Почему так произошло, ведь внешние DNS я указал!?
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Allow remote request - зло или необходимость?

Сообщение Chupaka »

Под "выдаём" я имел в виду DHCP и выдачу клиентам (IP -> DHCP Server -> Networks), а не настройку DNS'ов на самом роутере. В вашем случае (когда клиенты получают адрес роутера как DNS-сервер) вам надо оставить Allow Remote Requests.
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Re: Allow remote request - зло или необходимость?

Сообщение sasha300 »

понял, спасибо за развернутый ответ!
Аватара пользователя
sasha300
Сообщения: 107
Зарегистрирован: 03 мар 2016, 16:00
Откуда: Санкт-Петербург

Re: Allow remote request - зло или необходимость?

Сообщение sasha300 »

Не хотел лицезреть разрешение на удаленные запросы и следить за 53 портом. В итоге как Вы посоветовали в
IP -> DHCP Server -> Networks
добавил 2 гугловских днс, в итоге получилось:

Код: Выделить всё

/ip dhcp-server network
add address=192.168.0.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.100 \
    netmask=24
в настройках DNS снимаю галку напротив Allow Remote Request и оставил только динамические днс.
Перезагружаю роутер, дабы клиентские компы подхватили настройки и вуаля, интернет есть =)
Спасибо за наводки!
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Allow remote request - зло или необходимость?

Сообщение Chupaka »

sasha300 писал(а): 10 мар 2019, 16:50 Не хотел лицезреть разрешение на удаленные запросы
Ну, это вообще субъективное. Поскольку...
sasha300 писал(а): 10 мар 2019, 16:50 и следить за 53 портом
По умолчанию правила файрвола разрешают доступ к роутеру только из локалки и запрещают из Интернета (включая порт 53). Если человек начитался *****мануалов из Интернетов, начинающихся словами "удалите все правила и не добавляйте ничего путного", и так и сделал - тогда да, опасаться надо :)