Ревизия правил файрвол [решено]

Обсуждение ПО и его настройки
Ответить
Despierto
Сообщения: 45
Зарегистрирован: 21 фев 2019, 16:35

Здравствуйте, уважаемые форумчане!
Мне достался к администрированию роутер со следующими настройками в файерволе

Код: Выделить всё

add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1d chain=input comment="PROTECTION -  DDoS Protect - Connection Limit" connection-limit=100,32 in-interface-list=Internet protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp src-address-list=ddos-blacklist
add action=jump chain=forward comment="PROTECTION - DDoS Protect - SYN Flood" connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=Internet jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp tcp-flags=syn
add action=drop chain=input comment="PROTECTION - Ports Scanners" src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" address-list-timeout=none-dynamic chain=input in-interface-list=Internet protocol=tcp psd=21,3s,3,1
add action=accept chain=input comment="PING - Accept Normal Ping from Internet" in-interface-list=Internet limit=50/5s,2:packet protocol=icmp

Из подключений извне сейчас используем только forward подключения. Из input нужен только пинг на данный момент. Я добавил в конец правило запрещающее все подключения не из локальной сети. Правильно ли будет удалить остальные и оставить только два:

Код: Выделить всё

add action=accept chain=input comment="PING - Accept Normal Ping from Internet" in-interface-list=Internet limit=50/5s,2:packet protocol=icmp
add action=drop chain=input comment="DROP ALL _input_ not coming from LAN (permanent)" in-interface-list=!LAN
Или что-то из остальных все-таки нужно?

PS: Также планирую добавлять VPN на самом шлюзе (это будет input трафик, насколько я понимаю)
Последний раз редактировалось Despierto 06 фев 2020, 15:27, всего редактировалось 1 раз.


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Despierto писал(а): 03 фев 2020, 15:18
Или что-то из остальных все-таки нужно?
Кому?

А чисто для справки. Первое оставленное правило разрешает пинговать ваш микротик из интернета, но ограничивает объем пингов.
Второе - запрещает входить на микротик любым способом (включая пинг) всем, кроме пользователей подключенных к интерфейсам из листа LAN.

Это все, что вам нужно от фаервола?


Despierto
Сообщения: 45
Зарегистрирован: 21 фев 2019, 16:35

Erik_U писал(а): 03 фев 2020, 16:39 Это все, что вам нужно от фаервола?
Возможно стоит пояснить - это не все правила, а только те, про которые я хотел задать вопрос. Остальное не привел, чтобы сократить листинг, похоже были упущены важные подробности.
Также есть
1) правила, разрешающие подключаться по определенным портам с адресов из белого списка и
2) есть открытые порты для торговых доступные с любого адреса.
Вот последнюю группу я и не взял в рассмотрение, задавая вопрос. Я рассуждал следующим образом: Защита от DDoS и сканирования портов неактуальна, так как в правиле для пинга и так имеется ограничение на количество подключений. А в (1) группе правил (белый список) зачем опасаться DDoS или сканирования, ведь там с любого адреса все равно не подключится. Собственно на эту логику я и хотел получить обратную связь, задавая вопрос.

Сейчас, принимая во внимание (2) группу портов, я сам понимаю что защита от DDoS и сканирования актуальна. Если у вас есть советы или комментарии с радостью выслушаю.


Ответить