Помогите правильно настроить firewall

Обсуждение ОС и пр.
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1195
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Помогите правильно настроить firewall

Сообщение Dragon_Knight » 01 апр 2012, 21:51

Да, ловушка заработала, очень полезная вещь. Атакующий страдает, а MT почти не замечает этого.
Вот правила, может кому пригодиться.

Код: Выделить всё

10   ;;; Tarpit FTP for HTTP server (SlimFTPd)
     chain=forward action=tarpit protocol=tcp dst-address=192.168.0.100 src-address-list=blocked-addr dst-port=21 connection-limit=1,32

11   ;;; Allow FTP for HTTP server (SlimFTPd)
     chain=forward action=accept protocol=tcp dst-address=192.168.0.100 dst-port=21

12   ;;; Tarpit HTTP for HTTP server (Apache)
     chain=forward action=tarpit protocol=tcp dst-address=192.168.0.100 src-address-list=blocked-addr dst-port=80 connection-limit=25,32

13   ;;; Allow HTTP for HTTP server (Apache)
     chain=forward action=accept protocol=tcp dst-address=192.168.0.100 dst-port=80

и в адрес лист: blocked-addr = 0.0.0.0/0

У меня возник такой вопрос:
Вот правила, в таблице отмечается трафик правила и у всех трафик смешной, и тока у Allow established connections 115гб. Если я правильно понял, то сначала срабатывает конкретное правило, И если всё ок, то соединение устанавливается и остальной трафик считается уже как established connections. (сори за туфталогию, не знаю как объяснить :( )
Думаю скрин скажет больше чем я)

Помощь в настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Помогите правильно настроить firewall

Сообщение iSupport » 02 апр 2012, 18:27

правила отрабатывают сверху вниз

соответственно глобальные правила надо вниз смещать а локальные (на подсети, отдельные порты и т.д.) - вверх
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1195
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Помогите правильно настроить firewall

Сообщение Dragon_Knight » 02 апр 2012, 19:50

Значит нужно расположить так:
(пронумеровал розовыми цифрами)

Помощь в настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Помогите правильно настроить firewall

Сообщение iSupport » 02 апр 2012, 20:04

Перетащите их вверх вниз в выбранном порядке

правила отлично таскаются
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1195
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Помогите правильно настроить firewall

Сообщение Dragon_Knight » 02 апр 2012, 21:08

iSupport, :D
Способ перетаскивания не вызывает вопросов. Вопрос вызывает куда какое правило, Я выше на против каждой строчки написал номер (розовым цветом), этими номера я расставил правила (визуально) по порядку от 0 и 22. Вопрос в том, правильно-ли я расставил правил. Дело в том, что в данный момент сервера активно используются и я не могу рисковать, экспериментируя с правилами...

Помощь в настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1195
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Помогите правильно настроить firewall

Сообщение Dragon_Knight » 04 апр 2012, 17:53

Пришёл вот к такому варианту:

Помощь в настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
iSupport
Сообщения: 2439
Зарегистрирован: 06 фев 2011, 20:44

Re: Помогите правильно настроить firewall

Сообщение iSupport » 05 апр 2012, 00:27

вполне хороший вариант
Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь

Вернуться в «MikroTik RouterOS»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость