"Сегодня праздник у девчат..." и нужны ли танцы...?

Обсуждение ПО и его настройки
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

simpl3x писал(а):по человечески это читается так:
если есть пакет, который прилетел в интерфейс такой то и он попал в цепочку форвард, то надо передать его в цепочку customer и там над ним подумать.

Спасибо, хоть как-то смысл доходить начал.
KARaS'b писал(а):Этого достаточно что бы полноценно "прикрыть себе попу" и нет ли тут чего лишнего и ненужного?

Каждый строит забор, исходя из размера своей паранойи. Вот на ixbt товарищ привел свой "заборчик" в качестве примера правильного использования цепочки customer:
Ильясла писал(а):Хотя, по-умолчанию, в Микротике в фильтрах файрволла применяется политика полного разрешения, это относится к стандартным цепочкам, но ни как не к самопальным, вроде имеющегося "Сustomer". Эта наша цепочка не имеет логического конца.
Поэтому нужно добавить в конец пользовательской цепочки правило разрешения.
А ещё лучше заменить эти строки на нижеприведённый вариант, как на одном из моих микротиков:


Код: Выделить всё

  /ip firewall filter
    #
    add action=drop chain=forward comment="protect lans - drop invalid connections" connection-state=invalid disabled=no protocol=tcp
    add action=accept chain=forward comment="protect lans - allow already established connections" connection-state=established disabled=no
    add action=accept chain=forward comment="protect lans - allow related connections" connection-state=related disabled=no
    add action=jump chain=forward comment="add jump target = TCP FORWARD" disabled=no jump-target=tcp protocol=tcp
    add action=jump chain=forward comment="add jump target = UDP FORWARD" disabled=no jump-target=udp protocol=udp
    add action=jump chain=forward comment="add jump target = ICMP FORWARD" disabled=no jump-target=icmp_rules protocol=icmp
    add action=drop chain=forward comment="protect lans - drop anything else" disabled=no
    # Forward TCP
    add action=drop chain=tcp comment="TCP - deny DHCP" disabled=no dst-port=67-68 protocol=tcp
    add action=drop chain=tcp comment="TCP - deny TFTP" disabled=no dst-port=69 protocol=tcp
    add action=drop chain=tcp comment="TCP - deny RPC portmapper" disabled=no dst-port=111 protocol=tcp
    add action=drop chain=tcp comment="TCP - deny RPC portmapper" disabled=no dst-port=135 protocol=tcp
    add action=drop chain=tcp comment="TCP - deny NetBios" disabled=no dst-port=137-139 protocol=tcp
    add action=drop chain=tcp comment="TCP - deny cifs" disabled=no dst-port=445 protocol=tcp
    add action=drop chain=tcp comment="TCP - deny NFS" disabled=no dst-port=2049 protocol=tcp
    add action=drop chain=tcp comment="TCP - deny NetBus" disabled=no dst-port=12345-12346 protocol=tcp
    add action=drop chain=tcp comment="TCP - deny NetBus" disabled=no dst-port=20034 protocol=tcp
    add action=drop chain=tcp comment="TCP - deny BackOrifice" disabled=no dst-port=3133 protocol=tcp
    add action=accept chain=tcp comment="TCP - allow all" disabled=no protocol=tcp
    # Forward UDP
    add action=drop chain=udp comment="UDP - deny TFTP" disabled=no dst-port=69 protocol=udp
    add action=drop chain=udp comment="UDP - deny RPC portmapper" disabled=no dst-port=111 protocol=udp
    add action=drop chain=udp comment="UDP - deny RPC portmapper" disabled=no dst-port=135 protocol=udp
    add action=drop chain=udp comment="UDP - deny NetBios" disabled=no dst-port=137-139 protocol=udp
    add action=drop chain=udp comment="UDP - deny NFS" disabled=no dst-port=2049 protocol=udp
    add action=drop chain=udp comment="UDP - deny BackOriffice" disabled=no dst-port=3133 protocol=udp
    add action=accept chain=udp comment="UDP - allow all" disabled=no protocol=udp
    # Forward ICMP
    add action=accept chain=icmp_rules comment="ICMP (0:0) echo reply" disabled=no icmp-options=0:0 protocol=icmp
    add action=accept chain=icmp_rules comment="ICMP (3:0) dest / net unreachable" disabled=no icmp-options=3:0 protocol=icmp
    add action=accept chain=icmp_rules comment="ICMP (3:1) dest / host unreachable" disabled=no icmp-options=3:1 protocol=icmp
    add action=accept chain=icmp_rules comment="ICMP (3:3) dest / port unreachable" disabled=no icmp-options=3:3 protocol=icmp
    add action=accept chain=icmp_rules comment="ICMP (3:4) dest / fragment. needed" disabled=no icmp-options=3:4 protocol=icmp
    add action=accept chain=icmp_rules comment="ICMP (3:10) dest / comm. with-dst-host prohibited" disabled=no icmp-options=3:10 protocol=icmp
    add action=accept chain=icmp_rules comment="ICMP (3:13) dest / communication prohibited" disabled=no icmp-options=3:13 protocol=icmp
    add action=accept chain=icmp_rules comment="ICMP (4:0) source quench" disabled=no icmp-options=4:0 protocol=icmp
    add action=accept chain=icmp_rules comment="ICMP (8:0) echo request" disabled=no icmp-options=8:0 protocol=icmp
    add action=accept chain=icmp_rules comment="ICMP (11:0) time exceeded / TTL" disabled=no icmp-options=11:0 protocol=icmp
    add action=accept chain=icmp_rules comment="ICMP (12:0) parameter problem / error" disabled=no icmp-options=12:0 protocol=icmp
    add action=drop chain=icmp comment="ICMP - deny ALL other types" disabled=no protocol=icmp

Правила разделены на три группы (цепочки), по основным протоколам. В конце каждой цепочки стоит разрешающее или запрещающее правило. Всё это довольно наглядно, и при настройке легко добавлять или убирать дополнительные правила.
К слову, некоторые из этих правил не словили ни единого пакета
Недостаток такого упрощённого фильтра - траффик свободно разрешается и внутрь сети, хотя по идее нужно разрешать только ответы на запросы клиентов (но тогда могут быть проблемы с торрентами). С другой стороны - маловероятно, что кому-то из сопредельной сети придёт в голову ставить ваш внешний IP себе шлюзом и прощупывать вашу внутреннюю сеть. Ну а при обычной работе какой-ио входящий траффик будет отсеиваться провайдерскими и вашим маршрутизатором по той причине, что они не знают адреса назначения для такого траффика.

Не забудьте добавить прежде всего самым первым в списке правил:


Код: Выделить всё

    /ip firewall filter add action=accept chain=input comment="allow winbox admin" disabled=no dst-port=8291 in-interface=!ether1 protocol=tcp

Я, признаться, до этого не дорос. У меня все много проще. Наверное, моя паранойя от недокорма растет плохо :D


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Вот как раз после таких "мемуаров" в мою голову и забираются мысли аптом достаточно ли хорошо "прикрыты тылы" у меня =)


Ответить