Настройка Firewall на Mikrotik MB951Ui

[Dragon_Knight]

Если телефон на Андроиде, то очень полезная прожка https://play.google.com/store/apps/deta ... droid.fing
Есть сканер портов.

[Denitornado]

Тьфу ))))) не допер )))))!

Как я выше писал, что пров в договоре дал мне один адрес: 10.51.ххх.ххх. А сайт 2IP.ru мне показывает, что у меня 91.хх.хх.ххх
Значит мне сканить 91.хх.хх.ххх, и это будет результатом чего у меня на внешнем интерфейсе делается?

[plin2s]

10.51.x.x - это серый адрес, который натится в 91.хх.хх.ххх. Сканирование внешнего адреса вам ничего не даст. Если вы боитесь атак из-вне, то вы от них защищены натом провайдера. В худшем случае до вас можно достучаться только из локалки провайдера. И то не известно как она организована.

[Denitornado]

Спасибо! Ну по сути мое правило имеет место быть, для отсечения любого трафика с любых сетей на любые порты, что идут к моему Mikrotikу?
Я чуть выше описывал правило. Сделал Action=Drop, источник пакета поставил 0.0.0.0. Порты не указывал, т.к. так это ведь означает "все порты"?. цепочка = input, И интерфейс указал WAN.

[Denitornado]

привет всем.
Второй день наблюдаю, какую-то фигню в своей сетке, когда стоял старый роутер такого не было. Предполагаю, что я чего-то не закрыл у себя на своем уже теперь Микротике и какая-то дрянь пытается лезть.

Второй день подряд Касперский ругается, что с IP адреса 95.31.ххх.ххх и т.д. в событиях Каспера таких срабатываний уже порядка 25 штук, идет DdosSynAtack.....как то так написано, сейчас не дома, не могу посмотреть и написать точь в точь. Но суть в том, что походу кто-то или что-то сканит порты Микротика или есть что-то открытое через что лезет хрень. Чтобы это могло быть и все таки помогите перепроверить правила? Поскольку везде в инете настройка фаерволла описывается с командной строки, а мне бы для начала с интерфейсом разобраться, я смотря на команду, попробовал ее создать с помощью интерфейса Микротика.

Может кто приведет пример набора команд, которые обезопасят роутер от посягательств из вне. Я бы их приписал через визуалку в список правил.
Повторюсь. Сейчас у меня несколько правил, вчера еще в связи с DDosSynAtack подправил основываясь на примерах.

1) Правило закрытия соединений типа Invalid, как для input, так и для forward цепочки
2) Отключил в настройках все сервисы (IP-Services) кроме winbox, где прописал, что только с моего IP можно туда ходить
3) Запретил всем ICMP роутера, кроме своего IP изнутри сети. (input-icmp-drop-src-adress=<мой IP>)
4) Последним правилом сделал input=drop - якобы закрыл все остальное

Достаточен ли данный набор правил? Или что еще можно добавить?
Спасибо!

P.S. Даже когда было это срабатывание DDosSynAtack я полез посмотреть лог Микротика, но там ни чего подозрительного нет. Лишь событие (красным), что роутер был неправильно выключен, я его с кнопки на сетевом фильтре выключаю, а не через shutdown и события что я залогинился на WinBox, создал правило 1,2,3 и отредактировал правило 4. Так же события о том, что с MAC, тех кто у меня в Adress List, было connection. Как то так.

[plin2s]

Закройте 53 порт снаружи.

[Denitornado]

Закройте 53 порт снаружи.

А разве мое последнее правило на Chine=input Action=drop, не подразумевает, закрыть все что выше не открыто (а выше я ни чего не открывал)?

[plin2s]

Да, фигню сказал. Попробуйте понять кто и на какие порты к вам ломится.

[Denitornado]

Привет всем.
Я тут все разбираюсь, чего да как устроено, параллельно стал изучать IPTables )))).
Так же, по русскоязычному мануалу по RouterOS, изучаю главу "Фильтры". И тут приводится несколько правил, которые якобы, необходимы для защиты сети и самого роутера. С частью я сам уже разобрался.
Но вот, к примеру, вот эти несколько правил:

выдержка из главы:
Создадим переход в новые цепочки
add chain=forward protocol=tcp action=jump jump-target=tcp
add chain=forward protocol=udp action=jump jump-target=udp
add chain=forward protocol=icmp action=jump jump-target=icmp

Для чего это делается? Ну я еще со всеми нюансами iptables буду какое-то время еще разбираться, но вот тут, я смысл этого правила не могу понять. Что оно делает?
Как я его понимаю, оно берет транзитный трафик и перебрасывает на какой-то таргет. Зачем это?
Спасибо!

P.S. Правда почитав )))) чуть ниже идет вот такой блок правил

Создадим tcp правила в цепочке tcp и запретим некоторые tcp порты
add chain=tcp protocol=tcp dst-port=69 action=drop
comment=deny TFTPadd chain=tcp protocol=tcp dst-port=111 action=drop
comment=deny RPC portmapper
add chain=tcp protocol=tcp dst-port=135 action=drop
comment=deny RPC portmapper
add chain=tcp protocol=tcp dst-port=137-139 action=drop
comment=deny NBT
add chain=tcp protocol=tcp dst-port=445 action=drop
comment=deny cifs
add chain=tcp protocol=tcp dst-port=2049 action=drop comment=deny NFS
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment=deny
NetBus
add chain=tcp protocol=tcp dst-port=20034 action=drop comment=deny NetBus
add chain=tcp protocol=tcp dst-port=3133 action=drop comment=deny
BackOriffice
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment=deny DHCP

Получается что запись add chain=forward protocol=tcp action=jump jump-target=tcp ссылается теперь уже на этот блок из кучи строк, что выше?
Так что автор кода делает этими правилами? Порты что ли закрывает TCP? И все?

[podarok66]

Для чего это делается?

В основном, для того, чтобы можно было упорядочивать правила по своему усмотрению. С каждой цепочкой можно работать в отдельности, не затрагивая остальной поток.
Я, если честно, не создаю, мне хватает трёх основных. Но у меня и правил минимум. Для домашнего роутера много и не надо.
Вот провайдерские железки могут испытывать нагрузку в сотни правил и там проще работать с дополнительными цепочками.