Извиняюсь, если тут ну что-то не так намутил, я еще нуб в микротике :) помогите новичку, все ли тут правильно?

Обсуждение общих вопросов, не касающихся настройки оборудования и ОС
Ответить
snow1eopard
Сообщения: 1
Зарегистрирован: 01 май 2017, 22:50

Ребят где что не так, прошу помощи, подскажите, возможно что-то избыточно или наоброт чего-то не хватает.
Изображение
Изображение

Взял CrowdInspect и комодо, посмотрел какие приложения какие порты требуют, все остальное запретил, порты соответсвенно для браузера, торент по требованию, проброс трафика что бы исключить фильтрацию на sip, world of tanks и csgo. На входящих, проверка на валидность всего трафика так же на проброшенный трафик и на исходящий. На входящие в ван разрешено только 1701 и только udp и только от провайдера, т.е. с любых других ip вход запрещен и протоколы все запрещены кроме udp. Отдельно фильтруется входящий по wan и по l2tp трафик на входящие на 53 порт, т.е. на dns. Дропаются все левые порты, которыми не пользуются мои проги, из прог тут понятно браузер, вайбер под винду и скайп. Далее в блоклист заносятся все кто приходит к нам не с сервера провайдера и далее режем все что не является разрешенным на ване и на l2tp. ДНС от комодо. Было вычислено, что использование DNS от гугл ведет к 1700 не связанным подключениям на комп в течении уже первых 30 минут, непонятно от кого, т.е. это просто прилетает в л2тп трафик непонятно от кого соединения при использовании днс от гугла. На комодовских днс такое замечено не было. Т.е. это спецслужбы, прости Господи) и те кто как-то слушает трафик на днс серверах гугла, т.е. хакеры, траяны ну и естественно гугловские какие-то мутки)
Ну и дальше уже немного паранои, если заражен телефон - троян не сможет атаковать комп, запрещеные подключения с беспроводных к сетке, тоже самое из сетки к телефону, что бы исключить не прямой уход трафика, т.е. если например троян не может выбраться с компа из-за файера, он ломает по сетке тел и через него уходит. Так же комп не может подрубится к микротику по лану(добавлен в блоклист), конект только по маку, беспровадная сетка не может подключится к микротику - отключен в neigbors > discovery interfaces. Что бы исключить взлом с компа микротика, на случай если на компе троян.

Более подробно в консольном варианте:
 
0 chain=forward action=jump jump-target=drop_all in-interface=all-ethernet out-interface=all-wireless log=no log-prefix=""
1 chain=forward action=jump jump-target=drop_all in-interface=all-wireless out-interface=all-ethernet log=no log-prefix=""
2 ;;; wot
chain=forward action=jump jump-target=accepted_connections src-address-list=wot_ip log=no log-prefix=""
3 ;;; csgo
chain=forward action=jump jump-target=accepted_connections src-address-list=csgo_list log=no log-prefix=""
4 ;;;
chain=input action=jump jump-target=drop_all connection-state=invalid log=no log-prefix=""
5 chain=forward action=jump jump-target=drop_all connection-state=invalid log=no log-prefix=""
6 chain=output action=jump jump-target=drop_all connection-state=invalid log=no log-prefix=""
7 ;;; icmp & igmp
chain=input action=jump jump-target=drop_all protocol=icmp log=no log-prefix=""
8 chain=input action=jump jump-target=drop_all protocol=igmp log=no log-prefix=""
9 chain=forward action=jump jump-target=drop_all protocol=igmp log=no log-prefix=""
10 chain=input action=jump jump-target=drop_all protocol=udp src-address-list=!dns_list src-port=53 log=no log-prefix=""
11 ;;;
chain=input action=jump jump-target=drop_all src-address-list=droplist log=no log-prefix=""
12 ;;; mikrotik
chain=input action=jump jump-target=accepted_connections dst-address=255.255.255.255 log=no log-prefix=""
13 ;;; IP:: SIP: 78.155.208.95
chain=forward action=jump jump-target=accepted_connections protocol=udp src-address=78.155.208.95 log=no log-prefix=""
14 ;;; wan
chain=input action=add-dst-to-address-list protocol=udp src-address-list=!droplist address-list=droplist address-list-timeout=5w6d15h in-interface=wan-bee src-port=!1701 log=no log-prefix=""
15 chain=input action=jump jump-target=drop_all protocol=udp in-interface=wan-bee src-port=!1701 log=no log-prefix=""
16 chain=input action=jump jump-target=drop_all connection-state=!established,related protocol=udp src-address=85.21.59.236 in-interface=wan-bee src-port=1701 log=no log-prefix=""
17 chain=input action=accept connection-state=established,related protocol=udp src-address=85.21.59.236 in-interface=wan-bee src-port=1701 log=no log-prefix=""
18 chain=input action=add-dst-to-address-list address-list=droplist address-list-timeout=0s log=yes log-prefix=""
19 chain=input action=jump jump-target=drop_all log=no log-prefix=""
20 X ;;;
chain=output action=jump jump-target=accepted_connections protocol=tcp src-port=62000 log=no log-prefix=""
21 ;;; l2tp
chain=forward action=jump jump-target=drop_all src-address-list=droplist in-interface=beeline-l2tp log=no log-prefix=""
22 chain=forward action=jump jump-target=accepted_connections protocol=udp src-address-list=dns_list in-interface=beeline-l2tp src-port=53 log=no log-prefix=""
23 chain=forward action=jump jump-target=drop_all protocol=udp src-address-list=!dns_list in-interface=beeline-l2tp src-port=53 log=no log-prefix=""
24 ;;; l2tp
chain=forward action=accept connection-state=established,related protocol=udp in-interface=beeline-l2tp src-port=80,443,1119,4244,5938,12350 log=no log-prefix=""
25 chain=forward action=drop connection-state=established,related protocol=udp in-interface=beeline-l2tp src-port=1-79,81-442,444-4243,4245-5937,5939-12349,12351-49999 log=no log-prefix=""
26 chain=forward action=accept connection-state=established,related protocol=tcp in-interface=beeline-l2tp src-port=80,443,1119,3389,4244,5938,12350 log=no log-prefix=""
27 chain=forward action=drop connection-state=established,related protocol=tcp in-interface=beeline-l2tp src-port=1-79,81-442,444-3388,3390-4243,4245-5937,5939-12349,12351-49999 log=no log-prefix=""
28 chain=forward action=jump jump-target=drop_all in-interface=beeline-l2tp log=no log-prefix=""
29 ;;; end
chain=accepted_connections action=accept log=no log-prefix=""
30 chain=output action=jump jump-target=drop_all protocol=icmp log=no log-prefix=""
31 chain=output action=jump jump-target=drop_all protocol=igmp log=no log-prefix=""
32 chain=drop_all action=drop log=no log-prefix=""

------------
кто подскажет, где что не так? все ли оптимально?)


Ответить