И снова Firewall

Обсуждение ПО и его настройки
LeSTaT
Сообщения: 7
Зарегистрирован: 10 дек 2017, 15:00

KARaS'b писал(а):Или вы меня не правильно поняли, или вы сейчас не правильно выразились и я не правильно понял вас, но на всякий случай уточню, это не просто исключение, это правило и блокирует ваши ресурсы и оно же разрешает необходимым компам посещать их, оно заменяет все то, чем вы блокировали и пытались разрешить, то есть вообще других правил по блокировке или разрешению соц сетей или иных нежелательных ресурсов не нужно, достаточно только его и в дальнейшем достаточно убирать и добавлять из определенных листов определенные ресурсы и компы что бы изменять возможность доступа определенных людей и определенных ресурсов.


Мы друг друга прекрасно поняли. В итоге мне и нужно было соц. сети для всех заблокировать и дать исключения для посещения соц. сетей определенной группе компов.
Вот так сейчас у меня выглядит FireWall
/ip firewall filter
add action=drop chain=input comment="drop invalid connections" connection-state=invalid
add action=reject chain=forward comment="Block social seti and list isclyuchenii" dst-address-list=soc_block protocol=tcp \reject-with=tcp-reset src-address-list=!MembersGroupALL_Allows
add action=drop chain=input dst-port=53 in-interface=2WanMTSOsn protocol=udp
add action=accept chain=input comment="allow established connections" connection-state=established
add action=accept chain=input comment="allow related connections" connection-state=related
add action=accept chain=input comment=Connect_to_winbox_HOME connection-state=new dst-port=8291 protocol=tcp src-address=\xxx.xxx.xxx.xxx
add action=drop chain=input comment="drop everything else" in-interface=2WanMTSOsn

Мне только одно еще интересно, нужно ли мне правило которое блокирует 53 порт
add action=drop chain=input dst-port=53 in-interface=2WanMTSOsn protocol=udp

так как в IP-DNS у меня не стоит галка Allow Remote Requests???


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Если ваш микротик не является dns сервером (и галка не стоит) то и правило не нужно, он же и так не отвечает на dns запросы.
И на всякий случай, смотрю вы используете в качестве блокировки reject, вообще при ваших условиях скорее всего никакого падения производительности не будет, но в целом, лучше использовать drop, что бы микротик тупо ронял пакет, а не тратил мощности на ответ. И так же не обязательно указывать протокол, это на случай, если вы решите заблокировать некий ресурс, который как потом окажется, использует еще и udp.


LeSTaT
Сообщения: 7
Зарегистрирован: 10 дек 2017, 15:00

KARaS'b писал(а):И на всякий случай, смотрю вы используете в качестве блокировки reject, вообще при ваших условиях скорее всего никакого падения производительности не будет, но в целом, лучше использовать drop, что бы микротик тупо ронял пакет, а не тратил мощности на ответ.


вчера просто на одном из форумов прочитал, что с reject будет оптимальнее в том случае, когда открывается страница сайта, где используется сервис - комментариев из vk.com, и человек описывал что в случае использования drop такая страница будет открываться намного дольше...
Сейчас пробую найти такой сайт и проверить как откроется страничка с reject и drop
Я конечно может что не так и понял.


Ответить