Помогите пожалуйста с правилом

Обсуждение ПО и его настройки
joslan
Сообщения: 29
Зарегистрирован: 06 июн 2017, 20:46

xvo писал(а): 24 окт 2018, 22:08
joslan писал(а): 24 окт 2018, 21:58 Я по поводу ваших слов, что если правил нету то всё закрыто,
Эээ...
Вы что-то не так поняли: я нигде не говорил, что если правил нет, то все закрыто.
Действие по умолчанию - accept, так что если правил нет, то все наоборот открыто.
Я говорил, что вы можете взять firewall, который настроен из коробки и он вполне подойдет под ваши нужды, если его немного докрутить.
Если вы вдруг конфигурацию стирали в ноль, то посмотреть дефолтные настройки можно так:

Код: Выделить всё

/system default-config print
а они есть по дефолту в роутер ОС x86 ?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

joslan писал(а): 24 окт 2018, 22:33
xvo писал(а): 24 окт 2018, 22:08 Если вы вдруг конфигурацию стирали в ноль, то посмотреть дефолтные настройки можно так:

Код: Выделить всё

/system default-config print
а они есть по дефолту в роутер ОС x86 ?
Посмотрите, команду я привел.
У меня на CCR там только адрес на одном порту.
На x86 тоже вполне может ничего не быть.
Но вы же не посчитали нужным как-то конкретизировать в изначальном посте, что у вас за система, как вы её настраивали и т.д.
А на большинстве домашних моделей дефолтный конфиг относительно нормальный, рабочий. Firewall там такой, можете использовать его в качестве отправной точки:

Код: Выделить всё

/ip firewall filter
add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf:  drop all from WAN not DSTNATed"
Может быть только ещё правило относительно fasttrack нужно будет выкинуть - не уверен, что на x86 fasttrack вообще работает.


Telegram: @thexvo
joslan
Сообщения: 29
Зарегистрирован: 06 июн 2017, 20:46

xvo писал(а): 24 окт 2018, 23:15
joslan писал(а): 24 окт 2018, 22:33
xvo писал(а): 24 окт 2018, 22:08 Если вы вдруг конфигурацию стирали в ноль, то посмотреть дефолтные настройки можно так:

Код: Выделить всё

/system default-config print
а они есть по дефолту в роутер ОС x86 ?
Посмотрите, команду я привел.
У меня на CCR там только адрес на одном порту.
На x86 тоже вполне может ничего не быть.
Но вы же не посчитали нужным как-то конкретизировать в изначальном посте, что у вас за система, как вы её настраивали и т.д.
А на большинстве домашних моделей дефолтный конфиг относительно нормальный, рабочий. Firewall там такой, можете использовать его в качестве отправной точки:

Код: Выделить всё

/ip firewall filter
add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf:  drop all from WAN not DSTNATed"
Может быть только ещё правило относительно fasttrack нужно будет выкинуть - не уверен, что на x86 fasttrack вообще работает.
что то мне дается понимание микротик, очень туго(
судя по вашим правилам, я так понял почти всё разрешено у вас а некоторое дропается, что практически разрешено для хакеров есть ответ значит там ктото живет можно долбить)

я просто не могу вам более четко сформулировать то что мне нужно
нужно чтоб все желающие прощупать мой внешний ip не могли проступать что за этим ip что то есть, то есть было бы закрыто, при дропе идет какойто ответ есле я не ошибаюсь, при режекте остается конект


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Тот firewall, что я привел выше построен по закрытому типу: все, что не разрешено в явном виде - дропается последним правилом, что в цепочке input (на сам роутер), что в цепочке forward (через него).

Что разрешено:
1) Все уже установленные и связанные соединения - само собой.
2) Untracked соединения
3) Через роутер - извне - то, что попадет под политики ipsec
4) Через роутер - извне - то, что прошло dst-nat
5) Через роутер - все новые соединения инициированные из локальной сети
6) На роутер - соединения из локальной сети
7) На роутер - ICMP

Т.е. по сути из внешней сети разрешен только пинг самого роутера.
Все остальное будет дропнуто.

Что политики ipsec, что правила dst-nat (проброс портов), что untracked соединения - задаются в явном виде в других местах, и в firewall широкие правила для них добавлены, чтобы не прописывать все это каждый раз и там и там.

И да, если drop - пакет просто сбрасывается, никакого ответа не идет.
Если reject - идет ответ.


Telegram: @thexvo
Ответить