Добрый день, в наличии RouterBOARD 3011UiAS, версия софта 6,4
Вопрос наверное банальный, но честно запутался. Пока что изучаю.
Первоначальная настройка роутера.
Сделал nat
А какие базовые правила fw прописать? Дабы выпустить локальную сеть в интернет? И обеспечить "базовую" защиту роутера?
Т.е. что бы пользователи попали в интернет, а из вне ничего не могло пробиться?
Идея такая, сделать некие "базовые" правила с помощью сообщества, а дальше уже изучать на "живую", добавляя различные разрешающие правила (пробросы и т.п.).
Гугл даёт много мануалов первоначальной настройки, например вот такой.
- - Разрешаем пинг для цепочек input и forward
/ip firewall filter
add chain=input protocol=icmp action=accept comment=”Allow Ping”
add chain=forward protocol=icmp action=accept
- - Разрешаем успешно установленные соединения для цепочек input и forward
add chain=input connection-state=established action=accept comment=”Accept established connections”
add chain=forward connection-state=established action=accept
- - Разрешаем родственные соединения для цепочек input и forward
add chain=input connection-state=related action=accept comment=”Accept related connections”
add chain=forward connection-state=related action=accept
- - Запрещаем недействительные соединения для цепочек input и forward
add chain=input connection-state=invalid action=drop comment=”Drop invalid connections”
add chain=forward connection-state=invalid action=drop
- - Разрешаем UDP протокол для цепочек input и forward
add chain=input protocol=udp action=accept comment=”Allow UDP”
add chain=forward protocol=udp action=accept
- - Разрешаем выход в интернет для нашей локально сети
add chain=forward src-address=192.168.0.0/24 out-interface=WAN action=accept comment=”Access to Internet from local network”
- - Ограничиваем доступ к нашему роутеру, только адресами нашей локально сети
add chain=input src-address=192.168.0.0/24 action=accept comment=”Access to Mikrotik only from our local network”
- - запрещают прохождение всех остальных пакетов
add chain=input action=drop comment=”All other drop”
add chain=forward action=drop
Не будет ли более простым сделать всего несколько правил, которое разрешит просто выходить в интернет из-за ната из всей локальной сети, а все остальные соединения "зарубит" ?
Типа вот этого
add chain=forward src-address=192.168.0.0/24 out-interface=WAN action=accept comment=”Access to Internet from local network”
add chain=input action=drop comment=”All other drop”
add chain=forward action=drop
\\ кстати можно всего одно правило дропа сделать или обязательно дроп для input и дроп для forward ??
Начальная настройка
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Сделать файрволл - это как сделать какое то блюдо - всё очень индивидуально, и по своим вкусам и подходам.
Если в целом, то для начального и основного есть пару правил которым надо следовать.
а) убивать ИНВАЛИДНЫЕ пакеты со Всех интерфейсов, у роутера маленькая память, зачем позже обрабатывать то, что нельзя
б) в новых прошивках добавили правила про Эстаблиш и Релейтед пакеты, такие правила уже не нужны
в) при использовании туннельных протоколов также в прошивках сделали уже встроенный функционал об изменении МСС размера
г) закрыть сервисы которые есть на самом роутере (либо сервис на роутере отключить или прикрыть если он нужен).
ТО есть отключаем телнет, фтп, а ssh и winbox прикрываем правилами, также тут надо прикрыть/закрыть атаку(флуд) на порты DNS - порт 53 (по обоим протоколам).
И если минимально - то вот пока этого как минимум должно хватить.
Ну и от себя дополню:
не зря в описании каждой железки производитель даёт строку тестов с файрволом (где указывается что правил до 25) и без файрвола.
Поэтому так как у нас роутер и не супер-мега процессор, то основываясь на спецификациях - надо также придерживаться чтобы правил файрвола было 25 +/- пару.
(всё это справедливо больше и главное на SOHO роутеры, проф-модели сюда не попадают).
Если в целом, то для начального и основного есть пару правил которым надо следовать.
а) убивать ИНВАЛИДНЫЕ пакеты со Всех интерфейсов, у роутера маленькая память, зачем позже обрабатывать то, что нельзя
б) в новых прошивках добавили правила про Эстаблиш и Релейтед пакеты, такие правила уже не нужны
в) при использовании туннельных протоколов также в прошивках сделали уже встроенный функционал об изменении МСС размера
г) закрыть сервисы которые есть на самом роутере (либо сервис на роутере отключить или прикрыть если он нужен).
ТО есть отключаем телнет, фтп, а ssh и winbox прикрываем правилами, также тут надо прикрыть/закрыть атаку(флуд) на порты DNS - порт 53 (по обоим протоколам).
И если минимально - то вот пока этого как минимум должно хватить.
Ну и от себя дополню:
не зря в описании каждой железки производитель даёт строку тестов с файрволом (где указывается что правил до 25) и без файрвола.
Поэтому так как у нас роутер и не супер-мега процессор, то основываясь на спецификациях - надо также придерживаться чтобы правил файрвола было 25 +/- пару.
(всё это справедливо больше и главное на SOHO роутеры, проф-модели сюда не попадают).