Мне достался к администрированию роутер со следующими настройками в файерволе
Код: Выделить всё
add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1d chain=input comment="PROTECTION - DDoS Protect - Connection Limit" connection-limit=100,32 in-interface-list=Internet protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp src-address-list=ddos-blacklist
add action=jump chain=forward comment="PROTECTION - DDoS Protect - SYN Flood" connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=Internet jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp tcp-flags=syn
add action=drop chain=input comment="PROTECTION - Ports Scanners" src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=none-dynamic chain=input in-interface-list=Internet protocol=tcp psd=21,3s,3,1
add action=accept chain=input comment="PING - Accept Normal Ping from Internet" in-interface-list=Internet limit=50/5s,2:packet protocol=icmp
Из подключений извне сейчас используем только forward подключения. Из input нужен только пинг на данный момент. Я добавил в конец правило запрещающее все подключения не из локальной сети. Правильно ли будет удалить остальные и оставить только два:
Код: Выделить всё
add action=accept chain=input comment="PING - Accept Normal Ping from Internet" in-interface-list=Internet limit=50/5s,2:packet protocol=icmp
add action=drop chain=input comment="DROP ALL _input_ not coming from LAN (permanent)" in-interface-list=!LAN
PS: Также планирую добавлять VPN на самом шлюзе (это будет input трафик, насколько я понимаю)