
<div dir="ltr"><div class="gmail_default" style="font-size:large">Don't forget <b>forward</b> and <b>output</b> rules.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Mar 16, 2021 at 9:41 AM Steve - WA7PTM <<a href="mailto:psdr-list@aberle.net">psdr-list@aberle.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">The only firewall rules I've done on the MikroTik are for the persistent <br>

hackers which show up in the logs.  For specific ports and protocols, I <br>

expect something like this would be a start:<br>

<br>

/ip firewall filter add action=drop chain=input comment="reject ssh" <br>

disabled=no port=22 protocol=tcp<br>

/ip firewall filter add action=drop chain=input comment="reject https" <br>

disabled=no port=443 protocol=tcp<br>

/ip firewall filter add action=drop chain=input comment="reject <br>

ftps-data" disabled=no port=989 protocol=tcp<br>

/ip firewall filter add action=drop chain=input comment="reject ftps" <br>

disabled=no port=990 protocol=tcp<br>

/ip firewall filter add action=drop chain=input comment="reject telnets" <br>

disabled=no port=992 protocol=tcp<br>

/ip firewall filter add action=drop chain=input comment="reject imaps" <br>

disabled=no port=993 protocol=tcp<br>

/ip firewall filter add action=drop chain=input comment="reject pop3s" <br>

disabled=no port=995 protocol=tcp<br>

<br>

Has anyone experimented with this and have a more complete set of rules?<br>

<br>

Thanks,<br>

Steve<br>

<br>

<br>

John D. Hays wrote on 3/16/21 9:09 AM:<br>

> Put a firewall filter for in for ports and protocols using encryption.<br>

> <br>

> On Tue, Mar 16, 2021, 08:42 Steve - WA7PTM<<a href="mailto:psdr-list@aberle.net" target="_blank">psdr-list@aberle.net</a>>  wrote:<br>

> <br>

>> Thanks Aaron.  I fully understand what SSL/TLS is, but am trying to zero<br>

>> in on how to avoid it on my HamWAN connection.  Unfortunately, the<br>

>> sneaky protocol translations on the back end will only continue, and we<br>

>> just need to be know which software to stop using when things are not<br>

>> obvious on the front end.<br>

>><br>

>> Steve<br>

>><br>

>><br>

>> Aaron Taggert wrote on 3/16/21 8:26 AM:<br>

>>> On the authentication/integrity side... FCC says no encryption so we can<br>

>>> all hear what you're on about. Ham would not be much fun if all you heard<br>

>>> was encrypted pseudo noise. SSL/TLS authentication is a bit like me<br>

>> sending<br>

>>> you a list of 100 words and asking you to tell me word 45. Everything is<br>

>> in<br>

>>> the clear, but I can authenticate that whomever is at the other end at<br>

>>> least has the right list. Another SSL/TLS feature is integrity, meaning<br>

>> the<br>

>>> whole message is received. They would be like saying I sent 3421<br>

>> characters<br>

>>> CW 786 of them were vowels. Again everybody can hear what we're saying<br>

>> but<br>

>>> it would be difficult to impersonate the sender (or receiver) or change<br>

>> the<br>

>>> message.<br>

>>><br>

>>> On Tue, Mar 16, 2021, 6:32 AM Steve - WA7PTM<<a href="mailto:psdr-list@aberle.net" target="_blank">psdr-list@aberle.net</a>><br>

>> wrote:<br>

>>>> If we separate Winlink (the system) from Winlink Express (the client<br>

>>>> program), is a SSL connection also the case with the other six clients<br>

>>>> listed on thehttps://<a href="http://winlink.org/ClientSoftware" rel="noreferrer" target="_blank">winlink.org/ClientSoftware</a>  page when used in<br>

>>>> telnet mode?<br>

>>>><br>

>>>> Steve<br>

>>>><br>

>>>><br>

>>>> Scott Currie wrote on 3/15/21 10:06 PM:<br>

>>>>> Yeah, I discussed this with the WDT, and the issue with using HamWAN or<br>

>>>>> ARDEN. I had asked if we could force a non-SSL connection to the CMS.<br>

>>>> They<br>

>>>>> have been under pressure from AWS to switch to all SSL connections, so<br>

>>>> they<br>

>>>>> had to make the change. They did commit to leaving the client or<br>

>> gateway<br>

>>>>> connection to RMS Relay as non-SSL, so that is why we have suggested<br>

>>>> having<br>

>>>>> a regional instance of RMS Relay on HamWAN that the RMS Gateways and<br>

>>>>> clients could point to. Backend of the RMS Relay would then connect to<br>

>>>> the<br>

>>>>> CMS over SSL on a hardened Internet connection (like at a county EOC or<br>

>>>> the<br>

>>>>> State EOC), or even HF forwarding if the Internet is down.<br>

>>>>><br>

>>>>> -Scott<br>

>>>>><br>

>>>>> On Mon, Mar 15, 2021 at 9:41 PM Stephen Kangas<<a href="mailto:stephen@kangas.com" target="_blank">stephen@kangas.com</a>><br>

>>>> wrote:<br>

>>>>>> Scott, thanks for that update, interesting.  “Telnet” is a misnomer in<br>

>>>>>> this WinLink instance, as that port 22 protocol is historically and<br>

>>>>>> normally unencrypted, and widely understood in the industry as such<br>

>>>>>> (whereas SSH is encrypted).   It looks like the email client is<br>

>>>> connecting<br>

>>>>>> locally to an RMS Relay in that mode, which then connects to the CMS<br>

>> on<br>

>>>> the<br>

>>>>>> internet.<br>

>>>>>><br>

>>>>>><br>

>>>>>><br>

>>>>>> --Stephen W9SK<br>

>>>>>><br>

>>>>>><br>

>>>>>><br>

>>>>>> *From:* PSDR<<a href="mailto:psdr-bounces@hamwan.org" target="_blank">psdr-bounces@hamwan.org</a>>  *On Behalf Of *Scott Currie<br>

>>>>>> *Sent:* Monday, March 15, 2021 5:56 PM<br>

>>>>>> *To:* Puget Sound Data Ring<<a href="mailto:psdr@hamwan.org" target="_blank">psdr@hamwan.org</a>><br>

>>>>>> *Subject:* Re: [HamWAN PSDR] Newbie<br>

>>>>>><br>

>>>>>><br>

>>>>>><br>

>>>>>> This is not entirely true. Winlink does use TLS/SSL connections for<br>

>> some<br>

>>>>>> things. The normal telnet connection is now SSL (will fallback to<br>

>>>> non-SSL<br>

>>>>>> if the connection fails). Also, RMS Gateway to the CMS is now SSL.<br>

>>>> Telnet<br>

>>>>>> P2P and telnet to RMS Relay is not SSL. I believe updates are also SSL<br>

>>>> now.<br>

>>>>>><br>

>>>>>><br>

>>>>>> Winlink Express Link Test:<br>

>>>>>><br>

>>>>>> Test started 2021/03/16 00:52 UTC<br>

>>>>>><br>

>>>>>> Testing CMS telnet connection to <a href="http://cms.winlink.org" rel="noreferrer" target="_blank">cms.winlink.org</a> through port 8772...<br>

>>>>>>      Successfully connected to a CMS through port 8772 in 253<br>

>> Milliseconds<br>

>>>>>> Testing CMS SSL telnet connection to <a href="http://cms.winlink.org" rel="noreferrer" target="_blank">cms.winlink.org</a> through port<br>

>>>> 8773...<br>

>>>>>>      Successfully connected to a CMS through port 8773 in 311<br>

>> Milliseconds<br>

>>>>>> Testing API service access through port 443 to api.winlink.org...<br>

>>>>>>      Successfully performed API service to <a href="http://api.winlink.org" rel="noreferrer" target="_blank">api.winlink.org</a> through<br>

>> port<br>

>>>> 443<br>

>>>>>> in 756 Milliseconds<br>

>>>>>><br>

>>>>>> Testing Autoupdate server access through port 443 to<br>

>>>>>> autoupdate2.winlink.org...<br>

>>>>>>      Successfully checked autoupdate server through port 443 in 439<br>

>>>>>> Milliseconds<br>

>>>>>><br>

>>>>>> Testing connection to web site -<a href="http://www.winlink.org:443" rel="noreferrer" target="_blank">www.winlink.org:443</a><br>

>>>>>>      Successfully connected <a href="http://towww.winlink.org" rel="noreferrer" target="_blank">towww.winlink.org</a>  through port 443 in 47<br>

>>>>>> Milliseconds<br>

>>>>>><br>

>>>>>> Testing FTP connection to SFI site -<br>

>>>>>> <a href="ftp://ftp.swpc.noaa.gov/pub/latest/SGAS.txt" rel="noreferrer" target="_blank">ftp://ftp.swpc.noaa.gov/pub/latest/SGAS.txt</a><br>

>>>>>>      Successfully connected to<br>

>>>> <a href="ftp://ftp.swpc.noaa.gov/pub/latest/SGAS.txt" rel="noreferrer" target="_blank">ftp://ftp.swpc.noaa.gov/pub/latest/SGAS.txt</a><br>

>>>>>> through port 20/21 in 1522 Milliseconds<br>

>>>>>><br>

>>>>>> Test completed successfully.<br>

>>>>>><br>

>>>>>> -Scott, NS7C<br>

>>>>>><br>

_______________________________________________<br>

PSDR mailing list<br>

<a href="mailto:PSDR@hamwan.org" target="_blank">PSDR@hamwan.org</a><br>

<a href="http://mail.hamwan.net/mailman/listinfo/psdr" rel="noreferrer" target="_blank">http://mail.hamwan.net/mailman/listinfo/psdr</a><br>

</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div style="float:left;padding-left:1em"><font><font><font color="#0000ff">John D. Hays</font><br><font color="#000000">Kingston, WA</font></font></font></div><div style="float:left;padding-left:1em;color:blue"><font><span style="color:rgb(128,128,128)"><font>K7VE / WRJT-215</font></span></font><br><span style="color:rgb(128,128,128)"><font></font></span></div><div style="float:left;padding-left:1em;color:blue"><span style="color:rgb(128,128,128)"><br></span></div><div style="float:right;text-align:right"><div style="padding-top:0.5em"> </div><div style="padding-top:0.5em"><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>