Есть два фаервола: первый - рабочий безпроблемный, второй - явно с уязвимостью по 53 порту. Помогите разобраться что во втором фильтре не так?
первый:
/ip firewall filter
add action=accept chain=input dst-port=8291 in-interface=tap1-wan protocol=\
tcp
add action=accept chain=forward
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established,related
add action=drop chain=input in-interface=tap1-wan
add action=fasttrack-connection chain=forward connection-state=\
established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=\
new in-interface=tap1-wan
add action=drop chain=input in-interface=tap1-wan
второй:
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=forward connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=forward connection-state=related
add action=accept chain=input in-interface=!eth1-wan src-address=\
192.168.88.0/24
add chain=forward action=accept protocol=tcp in-interface=!eth1-wan dst-port=5900
add action=accept chain=input dst-port=8291 in-interface=tap1-wan protocol=\
tcp
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=input in-interface=eth1-wan
add action=accept chain=forward comment="\E4\EE\F1\F2\F3\EF \E2 \E8\ED\F2\E5\
\F0\ED\E5\F2 \E8\E7 \EB\EE\EA\E0\EB\FC\ED\EE\E9 \F1\E5\F2\E8" \
dst-address=10.30.10.102 in-interface=!tap1-wan \
out-interface=tap1-wan protocol=tcp
add action=accept chain=forward comment="\E4\EE\F1\F2\F3\EF \EA ftp" \
dst-address=10.30.10.98 dst-port=21 in-interface=!tap1-wan \
out-interface=tap1-wan protocol=tcp
add action=accept chain=forward comment="\E4\EE\F1\F2\F3\EF \EA ofd.ru" \
dst-address=10.30.10.18 in-interface=!tap1-wan out-interface=tap1-wan \
protocol=tcp
add action=accept chain=forward comment="\E4\EE\F1\F2\F3\EF \EA Royal Bank" \
dst-address=10.30.10.119 in-interface=!tap1-wan out-interface=tap1-wan \
protocol=tcp
add action=accept chain=forward comment="\E4\EE\F1\F2\F3\EF \EA Royal Bank" \
dst-address=10.30.10.120 in-interface=!tap1-wan out-interface=tap1-wan \
protocol=tcp
add action=drop chain=forward
Сравнение Firewall
-
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
В последних строчках главное отличие
-
- Сообщения: 66
- Зарегистрирован: 18 окт 2017, 01:43
Erik_U писал(а):В последних строчках главное отличие
Что именно-то? Телепаты в отпуске, поэтому сюда и пишу.... =)
-
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
Телепаты в отпуске, а остальные все ослепли?
Надеюсь хоть один зрячий остался, и он сможет не только прочитать, но и распознать выделение цветом.
у первого последняя строка
add action=drop chain=input
у второго последняя строка
add action=drop chain=forward
В последних строках своего конфига вы пытаетесь запретить все, что не разрешили правилами выше.
Если хотите, чтобы запрещения были одинаковыми - сделайте одинаковые запрещающие правила.
А если хотите понять - почитайте вики. Input от forward сильно отличается.
https://wiki.mikrotik.com/wiki/Manual:I ... all/Filter
Надеюсь хоть один зрячий остался, и он сможет не только прочитать, но и распознать выделение цветом.
у первого последняя строка
add action=drop chain=input
у второго последняя строка
add action=drop chain=forward
В последних строках своего конфига вы пытаетесь запретить все, что не разрешили правилами выше.
Если хотите, чтобы запрещения были одинаковыми - сделайте одинаковые запрещающие правила.
А если хотите понять - почитайте вики. Input от forward сильно отличается.
https://wiki.mikrotik.com/wiki/Manual:I ... all/Filter
-
- Сообщения: 66
- Зарегистрирован: 18 окт 2017, 01:43
[quote="Erik_U"]Телепаты в отпуске, а остальные все ослепли?
Надеюсь хоть один зрячий остался, и он сможет не только прочитать, но и распознать выделение цветом.
Спасибо большое =) И правда глаз замылился.
Если во втором forward на input заменить, то флуд по порту 53 прекратится? только в этом ошибка?
Надеюсь хоть один зрячий остался, и он сможет не только прочитать, но и распознать выделение цветом.
Спасибо большое =) И правда глаз замылился.
Если во втором forward на input заменить, то флуд по порту 53 прекратится? только в этом ошибка?
-
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
Stas788 писал(а):
Спасибо большое =) И правда глаз замылился.
Если во втором forward на input заменить, то флуд по порту 53 прекратится? только в этом ошибка?
У вас судя по конфигу у второго микротика 2 ван интерфейса.
Инпут запрещен для одного, а форвард для обоих.
У вас флуд с какого интерфейса то?
вы строку add action=drop chain=input in-interface=eth1-wan сделайте add action=drop chain=input, и опустите в самый низ.
-
- Сообщения: 66
- Зарегистрирован: 18 окт 2017, 01:43
У вас флуд с какого интерфейса то?
вы строку add action=drop chain=input in-interface=eth1-wan сделайте add action=drop chain=input, и опустите в самый низ.[/quote]
флуд естественно с внешнего....
может эту строку из конца первого в конец второго поместить?
add action=drop chain=input in-interface=tap1-wan
а эту строку совсем из второго убрать ? add action=drop chain=forward
вы строку add action=drop chain=input in-interface=eth1-wan сделайте add action=drop chain=input, и опустите в самый низ.[/quote]
флуд естественно с внешнего....
может эту строку из конца первого в конец второго поместить?
add action=drop chain=input in-interface=tap1-wan
а эту строку совсем из второго убрать ? add action=drop chain=forward
-
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
Хаотическое перемешивание правил с обязательным переносом их с устройства на устройство - хороший метод!
Отпишитесь о результатах, пожалуйста. :)
Отпишитесь о результатах, пожалуйста. :)
-
- Сообщения: 66
- Зарегистрирован: 18 окт 2017, 01:43
к хвосту второго файервола добавил add action=drop chain=input in-interface=tap1-wan - и все нормализовалось. Атаки флуда не наблюдаются.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Stas788 писал(а):к хвосту второго файервола добавил add action=drop chain=input in-interface=tap1-wan - и все нормализовалось. Атаки флуда не наблюдаются.
Я всё хочу Вас спросить...что за такой у Вас интерфейс хитрый:
я про tap1-wan
У меня на роутерах его нету...откуда у Вас он создался...