Страница 1 из 2

Помогите правильно настроить firewall

Добавлено: 31 мар 2012, 13:24
Dragon_Knight
Всем привет.
Как Вы уже все поняли с MT я знаком чуть чуть, да и опыта в настройке WF нету :(

Вообще задача такова:
1) Настроить по правилу: "всем всё можно".
2) Настроить защиту от флуда (про DDoS я не говорю, но если подскажите, - буду благодарен).
3) Защитить сам MT.
3) При всём это не перегружать железку.

Что и как реализовано:

Код: Выделить всё

 /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
 0 X chain=input action=tarpit protocol=tcp src-address-list=blocked-addr connection-limit=1,32

 1   ;;; Drop invalid connection packets
     chain=forward action=drop connection-state=invalid

 2   ;;; Allow established connections
     chain=forward action=accept connection-state=established

 3   ;;; Allow related connections
     chain=forward action=accept connection-state=related

 4   ;;; Allow UDP
     chain=forward action=accept protocol=udp

 5   ;;; Allow ICMP Ping
     chain=forward action=accept protocol=icmp

 6   ;;; Allow all for all (in)
     chain=forward action=accept dst-address=192.168.0.0/24

 7   ;;; Allow all for all (out)
     chain=forward action=accept src-address=192.168.0.0/24

 8   ;;; Drop all
     chain=forward action=drop

Код: Выделить всё

 /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
 0   chain=srcnat action=masquerade out-interface=WAN-main-PPPoE

 1   chain=srcnat action=masquerade src-address=192.168.0.10-192.168.0.254 out-interface=LAN-1

 2   ;;; NAT for HTTP
     chain=dstnat action=dst-nat to-addresses=192.168.0.100 to-ports=80 protocol=tcp dst-address=4*.15*.16*.10* dst-port=80

 3   ;;; NAT for FTP
     chain=dstnat action=dst-nat to-addresses=192.168.0.100 to-ports=21 protocol=tcp dst-address=4*.15*.16*.10* dst-port=21

 4   ;;; NAT for Minecraft HTTP
     chain=dstnat action=dst-nat to-addresses=192.168.0.101 to-ports=80 protocol=tcp dst-address=4*.15*.16*.10* dst-port=8080

 5   ;;; NAT for Minecraft
     chain=dstnat action=dst-nat to-addresses=192.168.0.101 to-ports=25565 protocol=tcp dst-address=4*.15*.16*.10* dst-port=25565

 6   ;;; NAT for Minecraft
     chain=dstnat action=dst-nat to-addresses=192.168.0.101 to-ports=25565 protocol=udp dst-address=4*.15*.16*.10*6 dst-port=25565

 7   ;;; NAT for Icecast2
     chain=dstnat action=dst-nat to-addresses=192.168.0.101 to-ports=8000 protocol=tcp dst-address=4*.15*.16*.10* dst-port=8000

 8   ;;; NAT for uTorrent
     chain=dstnat action=dst-nat to-addresses=192.168.0.20 to-ports=24699 protocol=tcp dst-address=4*.15*.16*.10* dst-port=24699

 9   ;;; NAT for uTorrent
     chain=dstnat action=dst-nat to-addresses=192.168.0.20 to-ports=24699 protocol=udp dst-address=4*.15*.16*.10* dst-port=24699


action=tarpit - Отключен, потому-что не понял как он работает, но думаю очень полезная вещь.

Re: Помогите правильно настроить firewall

Добавлено: 31 мар 2012, 18:58
podarok66
Прости, ты открыл все порта, разрешил все, и после этого вести речь о какой-то защите...
Может при таком раскладе не стоит плодить правила и оставить лишь маскарадинг?

Re: Помогите правильно настроить firewall

Добавлено: 31 мар 2012, 22:14
Dragon_Knight
podarok66, если я-бы НЕ открыл всё, я-бы не смог написать на этом форуме, логично? а значит отсюда вывод что это временно.

Re: Помогите правильно настроить firewall

Добавлено: 01 апр 2012, 10:57
iSupport
Я бы закрыл порты сетевой папки виндовс

то есть Netbios

Любят их всякие червяки и полувирусы

сможете защитить хотя бы разные подсети

Re: Помогите правильно настроить firewall

Добавлено: 01 апр 2012, 14:37
Dragon_Knight
Как я понимаю нужно прописать для каждого сервера тока то, что он использует (всё остальное запретить общим правилом в конце списка), для компьютеров(обычных пользователей) разрешить всё, и в конце запретить всё. Здесь более менее понятно, а вот остальные 3 пункта пока не очень понятны для меня :(

Re: Помогите правильно настроить firewall

Добавлено: 01 апр 2012, 18:29
iSupport
Тарпит - отличная вещь протов брутфорсеров

сервер не отвечает ничего на запрос и соединение *подвисает* и брутфорсер ждет ответа, теряя впустую время

Re: Помогите правильно настроить firewall

Добавлено: 01 апр 2012, 18:42
Dragon_Knight
Это понятно, а вот как составить само правило...
Допустим:
на http сервер нужно поставить лимит в 25 подключений с 1 IP.
на ftp сервер нужно поставить лимит в 1 подключений с 1 IP.

Значит правила будут такие?
chain=input action=tarpit protocol=tcp src-address-list=blocked-addr connection-limit=25,32 dst-port=80
chain=input action=tarpit protocol=tcp src-address-list=blocked-addr connection-limit=1,32 dst-port=21

Re: Помогите правильно настроить firewall

Добавлено: 01 апр 2012, 20:54
iSupport
Похоже на правду

попробуйте обкатать практикой

Re: Помогите правильно настроить firewall

Добавлено: 01 апр 2012, 21:02
Dragon_Knight
iSupport, спасибо что уделяете время админу-самоучке. В сетях более менее а вот фаерволы обошёл стороной как-то, вот пытаюсь хоть как-то их изучить, к тому-же появилось на чём изучать)

Re: Помогите правильно настроить firewall

Добавлено: 01 апр 2012, 21:35
iSupport
Все админы - самоучки.

Так как задачи, которые ингода приходится решать не проходят ни на одних курсах подготовки :)