Помогите правильно настроить firewall

Обсуждение ОС и пр.
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1188
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Помогите правильно настроить firewall

Сообщение Dragon_Knight » 31 мар 2012, 13:24

Всем привет.
Как Вы уже все поняли с MT я знаком чуть чуть, да и опыта в настройке WF нету :(

Вообще задача такова:
1) Настроить по правилу: "всем всё можно".
2) Настроить защиту от флуда (про DDoS я не говорю, но если подскажите, - буду благодарен).
3) Защитить сам MT.
3) При всём это не перегружать железку.

Что и как реализовано:

Код: Выделить всё

 /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
 0 X chain=input action=tarpit protocol=tcp src-address-list=blocked-addr connection-limit=1,32

 1   ;;; Drop invalid connection packets
     chain=forward action=drop connection-state=invalid

 2   ;;; Allow established connections
     chain=forward action=accept connection-state=established

 3   ;;; Allow related connections
     chain=forward action=accept connection-state=related

 4   ;;; Allow UDP
     chain=forward action=accept protocol=udp

 5   ;;; Allow ICMP Ping
     chain=forward action=accept protocol=icmp

 6   ;;; Allow all for all (in)
     chain=forward action=accept dst-address=192.168.0.0/24

 7   ;;; Allow all for all (out)
     chain=forward action=accept src-address=192.168.0.0/24

 8   ;;; Drop all
     chain=forward action=drop

Код: Выделить всё

 /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
 0   chain=srcnat action=masquerade out-interface=WAN-main-PPPoE

 1   chain=srcnat action=masquerade src-address=192.168.0.10-192.168.0.254 out-interface=LAN-1

 2   ;;; NAT for HTTP
     chain=dstnat action=dst-nat to-addresses=192.168.0.100 to-ports=80 protocol=tcp dst-address=4*.15*.16*.10* dst-port=80

 3   ;;; NAT for FTP
     chain=dstnat action=dst-nat to-addresses=192.168.0.100 to-ports=21 protocol=tcp dst-address=4*.15*.16*.10* dst-port=21

 4   ;;; NAT for Minecraft HTTP
     chain=dstnat action=dst-nat to-addresses=192.168.0.101 to-ports=80 protocol=tcp dst-address=4*.15*.16*.10* dst-port=8080

 5   ;;; NAT for Minecraft
     chain=dstnat action=dst-nat to-addresses=192.168.0.101 to-ports=25565 protocol=tcp dst-address=4*.15*.16*.10* dst-port=25565

 6   ;;; NAT for Minecraft
     chain=dstnat action=dst-nat to-addresses=192.168.0.101 to-ports=25565 protocol=udp dst-address=4*.15*.16*.10*6 dst-port=25565

 7   ;;; NAT for Icecast2
     chain=dstnat action=dst-nat to-addresses=192.168.0.101 to-ports=8000 protocol=tcp dst-address=4*.15*.16*.10* dst-port=8000

 8   ;;; NAT for uTorrent
     chain=dstnat action=dst-nat to-addresses=192.168.0.20 to-ports=24699 protocol=tcp dst-address=4*.15*.16*.10* dst-port=24699

 9   ;;; NAT for uTorrent
     chain=dstnat action=dst-nat to-addresses=192.168.0.20 to-ports=24699 protocol=udp dst-address=4*.15*.16*.10* dst-port=24699


action=tarpit - Отключен, потому-что не понял как он работает, но думаю очень полезная вещь.
Последний раз редактировалось Dragon_Knight 01 апр 2012, 14:24, всего редактировалось 1 раз.

Помощь в настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
podarok66
Модератор
Сообщения: 2858
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Re: Помогите правильно настроить firewall

Сообщение podarok66 » 31 мар 2012, 18:58

Прости, ты открыл все порта, разрешил все, и после этого вести речь о какой-то защите...
Может при таком раскладе не стоит плодить правила и оставить лишь маскарадинг?
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1188
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Помогите правильно настроить firewall

Сообщение Dragon_Knight » 31 мар 2012, 22:14

podarok66, если я-бы НЕ открыл всё, я-бы не смог написать на этом форуме, логично? а значит отсюда вывод что это временно.

Помощь в настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Помогите правильно настроить firewall

Сообщение iSupport » 01 апр 2012, 10:57

Я бы закрыл порты сетевой папки виндовс

то есть Netbios

Любят их всякие червяки и полувирусы

сможете защитить хотя бы разные подсети
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1188
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Помогите правильно настроить firewall

Сообщение Dragon_Knight » 01 апр 2012, 14:37

Как я понимаю нужно прописать для каждого сервера тока то, что он использует (всё остальное запретить общим правилом в конце списка), для компьютеров(обычных пользователей) разрешить всё, и в конце запретить всё. Здесь более менее понятно, а вот остальные 3 пункта пока не очень понятны для меня :(

Помощь в настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Помогите правильно настроить firewall

Сообщение iSupport » 01 апр 2012, 18:29

Тарпит - отличная вещь протов брутфорсеров

сервер не отвечает ничего на запрос и соединение *подвисает* и брутфорсер ждет ответа, теряя впустую время
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1188
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Помогите правильно настроить firewall

Сообщение Dragon_Knight » 01 апр 2012, 18:42

Это понятно, а вот как составить само правило...
Допустим:
на http сервер нужно поставить лимит в 25 подключений с 1 IP.
на ftp сервер нужно поставить лимит в 1 подключений с 1 IP.

Значит правила будут такие?
chain=input action=tarpit protocol=tcp src-address-list=blocked-addr connection-limit=25,32 dst-port=80
chain=input action=tarpit protocol=tcp src-address-list=blocked-addr connection-limit=1,32 dst-port=21

Помощь в настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Помогите правильно настроить firewall

Сообщение iSupport » 01 апр 2012, 20:54

Похоже на правду

попробуйте обкатать практикой
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1188
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Помогите правильно настроить firewall

Сообщение Dragon_Knight » 01 апр 2012, 21:02

iSupport, спасибо что уделяете время админу-самоучке. В сетях более менее а вот фаерволы обошёл стороной как-то, вот пытаюсь хоть как-то их изучить, к тому-же появилось на чём изучать)

Помощь в настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Помогите правильно настроить firewall

Сообщение iSupport » 01 апр 2012, 21:35

Все админы - самоучки.

Так как задачи, которые ингода приходится решать не проходят ни на одних курсах подготовки :)
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь

Вернуться в «MikroTik RouterOS»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость