Страница 1 из 1
Помогите разобраться с файерволом 2011UiAS
Добавлено: 09 фев 2016, 17:13
stanyellow
День добрый! За микротиком есть NAS с которого раздаёт Transmission соответствующие порты прокинуты, всё работает. Fierwall настроен на стандартные правила, но недавно обратил внимание, что при проверке порта в Transmission, порт закрыт, как только отключаю последнее правило, тут же порт открыт! Прошу помочь разобраться.
Re: Помогите разобраться с файерволом 2011UiAS
Добавлено: 09 фев 2016, 17:46
gmx
По картинке невозможно определить, что внутри правил.
Для чего вам правила в фаерволле, если вы не знаете что они делают???
Здесь на форуме прописная истина повторяется на каждой странице: добавляем в Firewall-Filters только те правила, которые вам действительно нужны и вы понимаете, для чего они нужны. Уберите все лишнее.
Re: Помогите разобраться с файерволом 2011UiAS
Добавлено: 09 фев 2016, 18:08
stanyellow
Нет, лишних тут нет правил. мне непонятно почему правило стоящее выше последнего, drop forward, игнорируется. Либо прошу указать на какую-то ошибку! Готов предоставить ещё какие-то настройки. Неужели по правилам невидно в чём косяк?
Re: Помогите разобраться с файерволом 2011UiAS
Добавлено: 10 фев 2016, 23:26
podarok66
stanyellow писал(а): Неужели по правилам невидно в чём косяк?
По правилам видно, но картинка - это не правила. Правила получим командой
ip firewall export Вот результат этой команды и покажите.
Re: Помогите разобраться с файерволом 2011UiAS
Добавлено: 12 фев 2016, 15:45
stanyellow
Я недавно начал изучать Mikrotik, поэтому не знаю, как убирать под теги информацию. А модер, он бездельник, вот пусть он и убирает.
Код: Выделить всё
/ip firewall filter
add chain=input protocol=icmp
add chain=forward protocol=icmp
add chain=input connection-state=established
add chain=forward connection-state=established
add chain=input connection-state=related
add chain=forward connection-state=related
add chain=input dst-port=1723 protocol=tcp
add chain=input protocol=gre
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add chain=input protocol=udp
add chain=forward protocol=udp
add chain=forward in-interface=bridge1 src-address=192.168.2.0/24
add chain=input src-address=192.168.2.0/24
add action=drop chain=input
add action=drop chain=forward disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=wan1
add action=masquerade chain=srcnat dst-address=0.0.0.0/0 src-address=192.168.2.0/24
add action=masquerade chain=srcnat disabled=yes dst-address=!192.168.0.0/16 src-address=192.168.2.0/24
add action=dst-nat chain=dstnat dst-port=52333 protocol=tcp to-addresses=192.168.2.10 to-ports=52333
add action=dst-nat chain=dstnat dst-port=52333 protocol=udp to-addresses=192.168.2.10 to-ports=52333
add action=dst-nat chain=dstnat dst-port=51323 protocol=tcp to-addresses=192.168.2.11 to-ports=51323
add action=dst-nat chain=dstnat dst-port=51323 protocol=udp to-addresses=192.168.2.11 to-ports=51323
add action=dst-nat chain=dstnat dst-address=****** dst-port=80 protocol=tcp to-addresses=192.168.2.16 \
to-ports=80
add action=dst-nat chain=dstnat dst-address=****** dst-port=7000 protocol=tcp to-addresses=192.168.2.101
add action=dst-nat chain=dstnat dst-address=****** dst-port=554 protocol=tcp to-addresses=192.168.2.16 \
to-ports=554
Re: Помогите разобраться с файерволом 2011UiAS
Добавлено: 12 фев 2016, 16:44
gmx
stanyellow писал(а):/ip firewall filter
add chain=input protocol=icmp
add chain=forward protocol=icmp
add chain=input connection-state=established
add chain=forward connection-state=established
add chain=input connection-state=related
add chain=forward connection-state=related
add chain=input dst-port=1723 protocol=tcp
add chain=input protocol=gre
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add chain=input protocol=udp
add chain=forward protocol=udp
add chain=forward in-interface=bridge1 src-address=192.168.2.0/24
add chain=input src-address=192.168.2.0/24
add action=drop chain=input
add action=drop chain=forward disabled=yes
Я же вам в самом начале написал, что используйте только те правила, которые действительно нужны!!!!
Для чего "все запретить", а затем "почти все разрешить"???
Мало того, что толку в плане защиты никакой, так еще и нагрузка на проц, бесполезная!
Re: Помогите разобраться с файерволом 2011UiAS
Добавлено: 13 фев 2016, 12:37
stanyellow
Я просто совсем недавно начал изучать микротик, как железо очень понравилось+гибкость возможностей, админских сетевых познаний нет, поэтому тогда ещё вопрос, что на ваш взгляд корректнее, убрать "всё разрешить" либо "запретить"? Если не трудно, ткните на некорректные строки! Спасибо
Re: Помогите разобраться с файерволом 2011UiAS
Добавлено: 13 фев 2016, 19:50
gmx
Убрать все и радоваться жизни.
Добавлять правила только в том случае, если они нужны и вы понимаете, для чего они.
Рекомендую почитать
http://podarok66.livejournal.com/10089.html
Re: Помогите разобраться с файерволом 2011UiAS
Добавлено: 13 фев 2016, 20:03
podarok66
Думаю, если в цепочке input в фильтрах разрешить порт, который пробрасываете для Transmission ( для обоих протоколов, естественно), и поднимете эти правила вверх, все должно заработать.
Re: Помогите разобраться с файерволом 2011UiAS
Добавлено: 14 фев 2016, 18:43
stanyellow
/ip firewall filter
add chain=input protocol=icmp
add chain=forward protocol=icmp
add chain=input dst-port=51323 protocol=tcp
add chain=forward dst-port=51323 protocol=tcp
add chain=input dst-port=51323 protocol=udp
add chain=forward dst-port=51323 protocol=udp
add chain=input dst-port=1723 protocol=tcp
add chain=input protocol=gre
add chain=input connection-state=established
add chain=forward connection-state=established
add chain=input connection-state=related
add chain=forward connection-state=related
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add chain=forward in-interface=bridge1 src-address=192.168.2.0/24
add chain=input src-address=192.168.2.0/24
add action=drop chain=input
add action=drop chain=forward
В таком варианте порты открыты! Спасибо большое. Нагрузка на проц заметно упала, 25-30% вместо 50-80%