firewall

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
valentin13421
Сообщения: 6
Зарегистрирован: 01 дек 2020, 22:02

Всем привет. Ребят кто может объяснить что означает строка в фаерволе:
add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN.
Это стандартное правило в заводской настройке.
Многие рекомендуют его оставлять.
Я просто не понимаю почему оно нужно, если оно открывает доступ в нашу локалку.
Здесь предлагает дропать все новые соединения из WAN-порта, которые не являются dstnat. То есть будут дропнуты все соединения из LAN, а не из WAN. Где же здесь защита от проникновения из-вне?
Спасибо за ответ.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Это правило сбрасывает все приходящие из WAN, для чего вы руками не "пробросите порты" (dst-nat), то есть именно что защищает вашу локалку от всего, что вы "не заказывали".


Telegram: @thexvo
valentin13421
Сообщения: 6
Зарегистрирован: 01 дек 2020, 22:02

Не понимаю как оно дропает все приходящее из WAN, если по правилу написано:
дропнуть все новые соединения кроме dstnat (т.е. из WAN), т.е. по факту все LAN соединения дропнутся, а WAN соединения останутся.
Не понимаю как это защищает локалку?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

in-interface-list=WAN

И dst-nat - не обратное действие для src-nat/masquerade.


Telegram: @thexvo
valentin13421
Сообщения: 6
Зарегистрирован: 01 дек 2020, 22:02

да, но dstnat это доступ из внешки в локалку. А мы блокируем все кроме dstnat, т.е. будет заблокирован srcnat. Так получается?


valentin13421
Сообщения: 6
Зарегистрирован: 01 дек 2020, 22:02

а что тогда такое dstnat?


valentin13421
Сообщения: 6
Зарегистрирован: 01 дек 2020, 22:02

Я так понимаю что это правило будет работать если из него убрать восклицательный знак. И тогда останется просто: дропнуть все новые соединения из внешки которые являются dstnat.
Тогда это имеет смысл. Или я не прав?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Нет, вы не правы.
Тогда вы будете сбрасывать только то, что сами же разрешите руками в цепочке dstnat (если там пусто - то ничего не будете сбрасывать).

NAT (Network Address Translation) не имеет отношения ни к направлению движения трафика, ни (непосредственно) к доступу.
dst-nat - подмена адреса назначения.
src-nat - подмена адреса источника.

Условие connection-nat-state=!dst-nat означает, что этот пакет не проходил обработку в цепочке dstnat (то есть данный конкретный маршрутизатор перед прохождением цепочки forward firewall'а не подменял у этого пакета источник).
В дефолтном конфиге цепочка dstnat - пустая, и, как я уже сказал, обратное для дефолтного src-nat (masquerade) преобразование, не считается dst-nat'ом. Так что пока вы руками не добавите какие-либо правила в цепочку dstnat (например проброс 80 порта до вебсервера в локалке), то правило о котором идет речь (в его изначальном виде), будет сбрасывать вообще все, что идет через маршрутизатор в локалку с WAN-интерфейса.


Telegram: @thexvo
valentin13421
Сообщения: 6
Зарегистрирован: 01 дек 2020, 22:02

Немного разобрался. Большое спасибо!!!


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Рад помочь :)


Telegram: @thexvo
Ответить