Сравнение Firewall

Обсуждение ПО и его настройки
Stas788
Сообщения: 66
Зарегистрирован: 18 окт 2017, 01:43

Есть два фаервола: первый - рабочий безпроблемный, второй - явно с уязвимостью по 53 порту. Помогите разобраться что во втором фильтре не так?

первый:
/ip firewall filter
add action=accept chain=input dst-port=8291 in-interface=tap1-wan protocol=\
tcp
add action=accept chain=forward
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established,related
add action=drop chain=input in-interface=tap1-wan
add action=fasttrack-connection chain=forward connection-state=\
established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=\
new in-interface=tap1-wan
add action=drop chain=input in-interface=tap1-wan

второй:
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=forward connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=forward connection-state=related
add action=accept chain=input in-interface=!eth1-wan src-address=\
192.168.88.0/24
add chain=forward action=accept protocol=tcp in-interface=!eth1-wan dst-port=5900
add action=accept chain=input dst-port=8291 in-interface=tap1-wan protocol=\
tcp
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=input in-interface=eth1-wan
add action=accept chain=forward comment="\E4\EE\F1\F2\F3\EF \E2 \E8\ED\F2\E5\
\F0\ED\E5\F2 \E8\E7 \EB\EE\EA\E0\EB\FC\ED\EE\E9 \F1\E5\F2\E8" \
dst-address=10.30.10.102 in-interface=!tap1-wan \
out-interface=tap1-wan protocol=tcp
add action=accept chain=forward comment="\E4\EE\F1\F2\F3\EF \EA ftp" \
dst-address=10.30.10.98 dst-port=21 in-interface=!tap1-wan \
out-interface=tap1-wan protocol=tcp
add action=accept chain=forward comment="\E4\EE\F1\F2\F3\EF \EA ofd.ru" \
dst-address=10.30.10.18 in-interface=!tap1-wan out-interface=tap1-wan \
protocol=tcp
add action=accept chain=forward comment="\E4\EE\F1\F2\F3\EF \EA Royal Bank" \
dst-address=10.30.10.119 in-interface=!tap1-wan out-interface=tap1-wan \
protocol=tcp
add action=accept chain=forward comment="\E4\EE\F1\F2\F3\EF \EA Royal Bank" \
dst-address=10.30.10.120 in-interface=!tap1-wan out-interface=tap1-wan \
protocol=tcp
add action=drop chain=forward


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

В последних строчках главное отличие


Stas788
Сообщения: 66
Зарегистрирован: 18 окт 2017, 01:43

Erik_U писал(а):В последних строчках главное отличие


Что именно-то? Телепаты в отпуске, поэтому сюда и пишу.... =)


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

Телепаты в отпуске, а остальные все ослепли?

Надеюсь хоть один зрячий остался, и он сможет не только прочитать, но и распознать выделение цветом.

у первого последняя строка
add action=drop chain=input

у второго последняя строка
add action=drop chain=forward

В последних строках своего конфига вы пытаетесь запретить все, что не разрешили правилами выше.
Если хотите, чтобы запрещения были одинаковыми - сделайте одинаковые запрещающие правила.

А если хотите понять - почитайте вики. Input от forward сильно отличается.
https://wiki.mikrotik.com/wiki/Manual:I ... all/Filter


Stas788
Сообщения: 66
Зарегистрирован: 18 окт 2017, 01:43

[quote="Erik_U"]Телепаты в отпуске, а остальные все ослепли?

Надеюсь хоть один зрячий остался, и он сможет не только прочитать, но и распознать выделение цветом.

Спасибо большое =) И правда глаз замылился.
Если во втором forward на input заменить, то флуд по порту 53 прекратится? только в этом ошибка?


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

Stas788 писал(а):
Спасибо большое =) И правда глаз замылился.
Если во втором forward на input заменить, то флуд по порту 53 прекратится? только в этом ошибка?


У вас судя по конфигу у второго микротика 2 ван интерфейса.
Инпут запрещен для одного, а форвард для обоих.

У вас флуд с какого интерфейса то?

вы строку add action=drop chain=input in-interface=eth1-wan сделайте add action=drop chain=input, и опустите в самый низ.


Stas788
Сообщения: 66
Зарегистрирован: 18 окт 2017, 01:43

У вас флуд с какого интерфейса то?

вы строку add action=drop chain=input in-interface=eth1-wan сделайте add action=drop chain=input, и опустите в самый низ.[/quote]


флуд естественно с внешнего....
может эту строку из конца первого в конец второго поместить?
add action=drop chain=input in-interface=tap1-wan

а эту строку совсем из второго убрать ? add action=drop chain=forward


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

Хаотическое перемешивание правил с обязательным переносом их с устройства на устройство - хороший метод!
Отпишитесь о результатах, пожалуйста. :)


Stas788
Сообщения: 66
Зарегистрирован: 18 окт 2017, 01:43

к хвосту второго файервола добавил add action=drop chain=input in-interface=tap1-wan - и все нормализовалось. Атаки флуда не наблюдаются.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Stas788 писал(а):к хвосту второго файервола добавил add action=drop chain=input in-interface=tap1-wan - и все нормализовалось. Атаки флуда не наблюдаются.

Я всё хочу Вас спросить...что за такой у Вас интерфейс хитрый:
я про tap1-wan

У меня на роутерах его нету...откуда у Вас он создался...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить