Что такое "Untracked" и прочий глоссарий для новичка

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
MaxoDroid
Сообщения: 278
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

20 май 2019, 15:00

Здравствуйте все участники форума!
После мучений с DLNA на МТС-овском S1010 решил купить что-т достойное.
Поскольку по дому установлено 8 розеток RG45, плюс еще NAS DS218Play, то вместе с WAN уже 10 получается.
В общем, после тренировок на RB951Ui-2HnD, конфигурацию которого я по не знанию снес, а потом сделал с нуля, я решил и уже купил замечательный RB4011iGS+5HacQ2HnD-IN, который сейчас конфигурирую.
Много вещей мне потихоньку становятся понятными. Но на данный момент времени есть пара вопросов.

1. при создании правил IP - Firewall на вкладке "General" есть параметры статуса соединения "Connectoi State".
Поясните мне, пожалуйста, что означает "Utracked" и как им оперировать. Раньше его не использовали, а теперь "из коробки" галочка на правилах с действиях с "Accept" уже стоит.

2. Что такое "Fasttrack"? И куда надо ставить правило проброса соединений такого типа?
/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related
В настройках "из коробки" это правило идет последним, но есть мнения, что это правило нужно ставить первым.

С благодарностью приму все Ваши советы.


... И полюбил я CAPsMAN .... Инженер - наладчик систем управления ГТУ. Максим.
Аватара пользователя
MaxoDroid
Сообщения: 278
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

20 май 2019, 17:29

Спасибо большое!
Про родной хелпер я и забыл....


... И полюбил я CAPsMAN .... Инженер - наладчик систем управления ГТУ. Максим.
Аватара пользователя
MaxoDroid
Сообщения: 278
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

21 май 2019, 17:31

В общем, для увеличения скорости работы аппарата первыми правилами должны стоять
/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related
/ip firewall filter add chain=forward action=accept connection-state=established,related
Это позволит пропускать непрямую все установленные и связанные цепочки соединений.

А потом уже, после дропа инвалидных входящих и пересланных цепочек, можно принять те входные, которые и есть те, кто по RAW не отслеживается.
/ip firewall filter add chain=input action=accepot connection-state=established,related,untracked

вот только ответьте мне, пожалуйста на вопрос. если я ставлю галочки на поля "established", "related" и "untracked", то как читает правило? Или "established" или "related" или "untracked", то есть выполнение любого из трех или все три условия должны при этом выполняться?


... И полюбил я CAPsMAN .... Инженер - наладчик систем управления ГТУ. Максим.
Аватара пользователя
MaxoDroid
Сообщения: 278
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

22 май 2019, 14:27

В общем, нарисовал я файрвол себе по соображениям, изложенным в статье https://gregory-gost.ru/sozdanie-domash ... -dostupa/. и в пояснениях мануалов Микротика.
В итоге получилась вот такая стена:

Код: Выделить всё

/ip firewall filter
add action=fasttrack-connection chain=forward comment=\
    "0,1 fasttrack --------------------------------------- (defconf)" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "1.1 Forward and Input Established and Related connections" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "1.1.1 Accept established,related, untracked ---(defconf)" \
    connection-state=established,related,untracked
add action=drop chain=forward comment=\
    "1.2 ---------  drop invalid ------------------ (defconf)" \
    connection-state=invalid
add action=accept chain=input comment=\
    "1.3 ---------  accept established,related" connection-state=\
    established,related
add action=accept chain=input comment=\
    "1.4 ---------  accept established,related,untracked --- (defconf)" \
    connection-state=established,related,untracked
add action=drop chain=input comment=\
    "1.5 ---------  drop invalid ------------------ (defconf)" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "2.1 drop all from WAN not DSTNATed ----- (defconf)" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=add-src-to-address-list address-list=ddos-blacklist \
    address-list-timeout=1d chain=input comment="3.1 DDoS attack filter" \
    connection-limit=100,32 in-interface-list=WAN protocol=tcp
add action=tarpit chain=input comment="3.2 ---------  end of DDoS" \
    connection-limit=3,32 protocol=tcp src-address-list=ddos-blacklist
add action=jump chain=forward comment="4.1 DDoS Protect - SYN Flood" \
    connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input comment="4.2 ---------  ---------     SYN Flood" \
    connection-state=new in-interface-list=WAN jump-target=SYN-Protect \
    protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect comment=\
    "4.3 ---------  ---------     SYN Flood" connection-state=new limit=\
    200,5:packet protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect comment=\
    "4.4 ---------  end of    SYN Flood" connection-state=new protocol=tcp \
    tcp-flags=syn
add action=drop chain=input comment="5.1 PSD \96 Port Scan Detection" \
    src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" \
    address-list-timeout=none-dynamic chain=input comment=\
    "5.2 ---------  PSD" in-interface-list=WAN protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="6.1 WinBox Port LockOut protection" \
    src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List WinBox" \
    address-list-timeout=none-dynamic chain=input comment=\
    "6.2 ---------  ---------   WinBox Protection" connection-state=new \
    dst-port=8291 in-interface-list=WAN log=yes log-prefix="BLACK WINBOX" \
    protocol=tcp src-address-list="WinBox Stage 3"
add action=add-src-to-address-list address-list="WinBox Stage 3" \
    address-list-timeout=1m chain=input comment=\
    "6.3 ---------  ---------   WinBox Protection" connection-state=new \
    dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list=\
    "WinBox Stage 2"
add action=add-src-to-address-list address-list="WinBox Stage 2" \
    address-list-timeout=1m chain=input comment=\
    "6.4 ---------  ---------   WinBox Protection" connection-state=new \
    dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list=\
    "WinBox Stage 1"
add action=add-src-to-address-list address-list="WinBox Stage 1" \
    address-list-timeout=1m chain=input comment=\
    "6.5 ---------  ---------   WinBox Protection" connection-state=new \
    dst-port=8291 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
    "6.6 ---------  end of WinBox Protection" dst-port=8291 \
    in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="7.1 OpenVPN Port Connections protection" \
    src-address-list="Black List OpenVPN"
add action=add-src-to-address-list address-list="Black List OpenVPN" \
    address-list-timeout=none-dynamic chain=input comment=\
    "7.2 ---------  ---------   OpenVPN Protection" connection-state=new \
    dst-port=1194 in-interface-list=WAN log=yes log-prefix="BLACK OVPN" \
    protocol=tcp src-address-list="OpenVPN Stage 3"
add action=add-src-to-address-list address-list="OpenVPN Stage 3" \
    address-list-timeout=1m chain=input comment=\
    "7.3 ---------  ---------   OpenVPN Protection" connection-state=new \
    dst-port=1194 in-interface-list=WAN protocol=tcp src-address-list=\
    "OpenVPN Stage 2"
add action=add-src-to-address-list address-list="OpenVPN Stage 2" \
    address-list-timeout=1m chain=input comment=\
    "7.4 ---------  ---------   OpenVPN Protection" connection-state=new \
    dst-port=1194 in-interface-list=WAN protocol=tcp src-address-list=\
    "OpenVPN Stage 1"
add action=add-src-to-address-list address-list="OpenVPN Stage 1" \
    address-list-timeout=1m chain=input comment=\
    "7.5 ---------  ---------   OpenVPN Protection" connection-state=new \
    dst-port=1194 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
    "7.6 ---------  end of OpenVPN Protection" dst-port=1194 \
    in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
    "Accept ICMP ------------------------------ (defconf)" disabled=yes \
    protocol=icmp
add action=accept chain=input comment="Accept ICMP --- With correct ping" \
    in-interface-list=WAN limit=50/5s,2:packet protocol=icmp
add action=drop chain=input comment=\
    "Drop all not coming from LAN ---- (defconf)" in-interface-list=!LAN
add action=accept chain=forward comment=\
    "Accept in ipsec policy -------------- (defconf)" ipsec-policy=in,ipsec
add action=accept chain=forward comment=\
    "Accept out ipsec policy ------------ (defconf)" ipsec-policy=out,ipsec
все, что отмечено как (defconf) - это цепочки "из коробки", но некоторые были перемещены вверх.

Если кто из вас посмотрит на это создание и даст мне свои замечания, то я буду ему очень благодарен.


... И полюбил я CAPsMAN .... Инженер - наладчик систем управления ГТУ. Максим.
Аватара пользователя
podarok66
Модератор
Сообщения: 3751
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

22 май 2019, 21:47

Да были тут темы по сходным темам. Если интересно, поищите.
А читать ваши простыни явно мало кто станет. Ибо нет хорошего набора правил. Есть админ, понимающий чего он хочет и что и как ему делать. Ситуации бывают очень разные, задачи в разных случаях тоже разнообразны. Подход к решению у разных админов тоже более чем разный. Да и оценки рисков у разных админов могут быть диаметрально противоположными. А ещё есть параноики. Которые всего боятся, от всего пытаются закрыться. Как правило эту публику вообще можно в отдельную ̶ ̶п̶а̶л̶а̶т̶у̶ ̶ когорту выделить. Что-то типа непримиримых. :-)


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
MaxoDroid
Сообщения: 278
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

22 май 2019, 23:39

Спасибо Вам за ответ.
Вот только еще один вопрос (на данный момент времени) мне не дает покоя.
Как правильнее пробрасывать порты? Через "IP" --> "Firewall" --> "NAT" или через "Bridge" --> "NAT" ?
Вроде бы по результатам одно и тоже делается.


... И полюбил я CAPsMAN .... Инженер - наладчик систем управления ГТУ. Максим.
Аватара пользователя
podarok66
Модератор
Сообщения: 3751
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

24 май 2019, 21:56

Первый вариант точно работает. А вот насчёт второго... я не пробовал, имею сомнения, что вообще отработает.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
MaxoDroid
Сообщения: 278
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

23 июн 2019, 13:16

Изучаю Я этот форум вдоль и поперек.
Раньше я когда-то зарекся, что в IT - вопросы я лазить никогда не буду. Но не тут - то вышло. Купил себе MikroTik. Теперь изучаю.
Многие вопросы, которые хотел ранее задать, уже отпали сами собой.

На данный момент есть вопрос по IPSec политике. Как я понял, что IPSec нужен в случае, когда мы создаем в общедоступном пространстве, как например - Интернет, свой безопасный туннель для разных подсетей, находящихся в разных местах.
В дефолтном конфиге файервола "из коробки" есть вот такие правила:
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
а правило в NAT выглядит так:
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

Как я понимаю, два правила нужны для того, что бы при конфигурировании IPSec пользователь их не забыл. А иначе туннель не заработает. Потому как при включении технологии
add action=fasttrack-connection chain=forward connection-state=established,related теряется часть функционала Router OS, такие, как очереди, IPsec и др
Но тогда какой смысл в правиле NAT имеет режим "ipsec-policy=out,none"? Правило соответствия политике верно для POSTROUTING, цепочках OUTPUT и FORWARD и при этом "стыкует" пакет, не принадлежащий процессу IPSec (например, пакет транспортировки).

Тогда следует вопрос. Если туннель не предполагается, то не правильнее ли было бы использовать тривиальное правило трансляции NAT:
add action=masquerade chain=srcnat comment=Masquerade ipsec-policy=out,none out-interface-list=WAN src-address=192.168.88.0/24 ?

И еще просьба. Укажите мне путь, где я мог бы поподробнее почитать про режим "ipsec-policy=out,none" в правиле NAT ?


... И полюбил я CAPsMAN .... Инженер - наладчик систем управления ГТУ. Максим.
Аватара пользователя
MaxoDroid
Сообщения: 278
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

09 июл 2019, 12:12

Долго-долго изучал (насколько мой мозг воспринимает IT - технологии) свои же вопросы. На англоязычном форуме forum.mikrotik.com мне объяснили назначение правил

Код: Выделить всё

add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
- форвардирование цепочек с IPSec, подлежащие инкапсуляции/декапсуляции (прероутинг/построутинг). Облегчают жизнь при использовании VPN.
По правилу "ipsec-policy=out,none"

Код: Выделить всё

add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
- это исключает траффик из NAT.
Поскольку весь трафик, попадающий под политику IPSec, не поддерживается FastTrack, то и смысла NATить его нет. Нужно разделить обработку потоков общего плана и шифрованных соединений:
https://wiki.mikrotik.com/wiki/Manual:I ... ack_Bypass
Если найду ссылку на соответствующую презентацию, то поделюсь.


... И полюбил я CAPsMAN .... Инженер - наладчик систем управления ГТУ. Максим.
Ответить