Russian Users MikroTik | Форум пользователей MikroTik

Добрый день.
Хотелось бы увидеть базовые настройки для firewall.
На данный момент у меня следующие настройки:

Что еще можно добавить, чтобы обезопасить себя?

Еще ограничите доступ по сервисным портам из вне

порт 21 (ftp) закрыть из вне - рано или поздно поймаете брутфорсера, который месяцами будет подбирать пароль на фтп

сделать 2 правила:
открыть
порт 80 (http)
порт 22 (ssh)
порт 8291 (winbox)
порт 23 (telnet) [- по желанию]

для ИП адреса *работы*, *девушки*, *тещи* и т.д.

а для прочих адресов - закрыть.

Кстати в фвайерволе есть веселое действие (action) tarpit - оно *подвешивает* соединение а не дропает его, в результате сессия на брутфорсере подвисает до таймаута , и он захлебывается

-----
И еще - сменить на микротике логин с admin, root, support на что-то уникальное
ну и пароль сделать на порядок сложнее, чем 12345
Это - для шаловливых ручек из внутренней подсети

---------
PS закончу цитатой моего друга-линуксоида *Ковыряться с файрволлом на удаленной машине - К Дальней дороге...*

поэтому сначала делаем Разрешить для своих, а потом Запретить для всех.

Подскажите пожалуйста.

1 ;;; Drop invalid connection packets
chain=forward action=drop connection-state=invalid

2 ;;; Allow established connections
chain=forward action=accept connection-state=established

3 X ;;; Allow related connections
chain=forward action=accept connection-state=related

В инете видел вариант базовой настройки в котором эти три правила указывались и для цепочки input.
Как правильно или указывать эти правила и для цепочки input тоже?


Еще один вопрос:
Если я настроил нат на маппинг для проброса порта на комп в локальной сети, нужно ли в фаерволе открывать этот порт???
И по поводу последних дропов, какие и для каких цепочек нужно указать?

Начну с конца.

Уфайрволла есть 2 политики
1) все что не запрещено -разрешено (более слабая, с точки зрения безопасности)

2) все что не разрешено - запрещено (более стойкая)


посмотрите документацию по файрволлуи НАТу
viewtopic.php?f=8&t=6