Настройка фильтрации трафика на Mikrotik

Обсуждение ПО и его настройки
Ответить
wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

Глупый вопрос.. Кто и как настраивает фильтрацию трафика на Mikrotik? Есть стандартная наброска правил?

Ниже буду выкладывать конфиг и редактировать его
Последний раз редактировалось wolf_ktl 10 июн 2015, 12:33, всего редактировалось 1 раз.


wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

/ip service disable api
/ip service disable ftp
/ip service disable ssh
/ip service disable telnet
/ip service disable www


кусоск защитит сам рутер
/ip firewall filter
add chain=input action=accept protocol=tcp in-interface=l2tp-flex dst-port=8291 comment="access to winbox"
add chain=input protocol=icmp action=accept comment="allow icmp ping from router"
add chain=forward protocol=icmp action=accept comment="allow icmp ping from network"
add chain=input dst-port=1801 protocol=udp comment="allow 1801 L2TP"
add chain=input dst-port=1723 protocol=tcp comment="allow 1723 PPTP"
add chain=input action=drop protocol=udp in-interface=ether2 dst-port=53 comment="drop flood on port 53"
add chain=input connection-state=established action=accept comment="accept established connections from router"
add chain=input comment=RELATED connection-state=related
add action=drop chain=input comment=ALL_OTHER--DROP in-interface=l2tp-flex

защитит наши подсети
/ip firewall filter
add action=drop chain=forward comment=DROP_INVALID connection-state=invalid
add chain=forward connection-state=established action=accept comment="accept established connections from network"
add chain=forward comment=RELATED connection-state=related
add action=drop chain=forward comment=ALL_OTHER--DROP in-interface=l2tp-flex


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Отключаем Tool ==> MAC Server
Отключаем IP ==> neighbor
=========================
А так...., настройка фильтрации - личное дело каждого, ИМХО)) Я вот, например, никогда не отключаю ip service
Тут можно только основные догмы подсказать, они у меня вот такие:
1) В фильтрации идут сначла правила input , затем forward, затем output
1.1) input это трафик идущий НА роутер
1.2) forward это трафик идущий ЧЕРЕЗ роутер
1.3) output это трафик ИЗ роутера (не путать ЧЕРЕЗ)

2) Правила фаервола должы как можно быстрее принять или блокировать тот или иной пакет.... Не стесняемся пользоваться "jump"

3) Правила фильтрации настраиваются двумя путями "Всё что не разрешено - запрещено" и "Всё что не запрещено - разрешено".... Попытка сделать из этого золотую середину приведёт к провалу и бесполезности фаервола...
4) Активно внедряем правила защиты от сканеров портов и флуда (особенно dns флуда)


Rusx123
Сообщения: 13
Зарегистрирован: 13 май 2015, 12:16

add chain=input dst-port=1801 protocol=udp comment="allow 1801 L2TP"

должен быть 1701.


EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Да не)))) Просто кое-кто спалил свой нестандартный порт ;)


wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

EdkiyGluk писал(а):Да не)))) Просто кое-кто спалил свой нестандартный порт ;)



:smu:sche_nie: :smu:sche_nie: :smu:sche_nie:


Ответить