Всем привет. Ребят кто может объяснить что означает строка в фаерволе:
add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN.
Это стандартное правило в заводской настройке.
Многие рекомендуют его оставлять.
Я просто не понимаю почему оно нужно, если оно открывает доступ в нашу локалку.
Здесь предлагает дропать все новые соединения из WAN-порта, которые не являются dstnat. То есть будут дропнуты все соединения из LAN, а не из WAN. Где же здесь защита от проникновения из-вне?
Спасибо за ответ.
firewall
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Это правило сбрасывает все приходящие из WAN, для чего вы руками не "пробросите порты" (dst-nat), то есть именно что защищает вашу локалку от всего, что вы "не заказывали".
Telegram: @thexvo
-
- Сообщения: 6
- Зарегистрирован: 01 дек 2020, 22:02
Не понимаю как оно дропает все приходящее из WAN, если по правилу написано:
дропнуть все новые соединения кроме dstnat (т.е. из WAN), т.е. по факту все LAN соединения дропнутся, а WAN соединения останутся.
Не понимаю как это защищает локалку?
дропнуть все новые соединения кроме dstnat (т.е. из WAN), т.е. по факту все LAN соединения дропнутся, а WAN соединения останутся.
Не понимаю как это защищает локалку?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
in-interface-list=WAN
И dst-nat - не обратное действие для src-nat/masquerade.
И dst-nat - не обратное действие для src-nat/masquerade.
Telegram: @thexvo
-
- Сообщения: 6
- Зарегистрирован: 01 дек 2020, 22:02
да, но dstnat это доступ из внешки в локалку. А мы блокируем все кроме dstnat, т.е. будет заблокирован srcnat. Так получается?
-
- Сообщения: 6
- Зарегистрирован: 01 дек 2020, 22:02
а что тогда такое dstnat?
-
- Сообщения: 6
- Зарегистрирован: 01 дек 2020, 22:02
Я так понимаю что это правило будет работать если из него убрать восклицательный знак. И тогда останется просто: дропнуть все новые соединения из внешки которые являются dstnat.
Тогда это имеет смысл. Или я не прав?
Тогда это имеет смысл. Или я не прав?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Нет, вы не правы.
Тогда вы будете сбрасывать только то, что сами же разрешите руками в цепочке dstnat (если там пусто - то ничего не будете сбрасывать).
NAT (Network Address Translation) не имеет отношения ни к направлению движения трафика, ни (непосредственно) к доступу.
dst-nat - подмена адреса назначения.
src-nat - подмена адреса источника.
Условие connection-nat-state=!dst-nat означает, что этот пакет не проходил обработку в цепочке dstnat (то есть данный конкретный маршрутизатор перед прохождением цепочки forward firewall'а не подменял у этого пакета источник).
В дефолтном конфиге цепочка dstnat - пустая, и, как я уже сказал, обратное для дефолтного src-nat (masquerade) преобразование, не считается dst-nat'ом. Так что пока вы руками не добавите какие-либо правила в цепочку dstnat (например проброс 80 порта до вебсервера в локалке), то правило о котором идет речь (в его изначальном виде), будет сбрасывать вообще все, что идет через маршрутизатор в локалку с WAN-интерфейса.
Тогда вы будете сбрасывать только то, что сами же разрешите руками в цепочке dstnat (если там пусто - то ничего не будете сбрасывать).
NAT (Network Address Translation) не имеет отношения ни к направлению движения трафика, ни (непосредственно) к доступу.
dst-nat - подмена адреса назначения.
src-nat - подмена адреса источника.
Условие connection-nat-state=!dst-nat означает, что этот пакет не проходил обработку в цепочке dstnat (то есть данный конкретный маршрутизатор перед прохождением цепочки forward firewall'а не подменял у этого пакета источник).
В дефолтном конфиге цепочка dstnat - пустая, и, как я уже сказал, обратное для дефолтного src-nat (masquerade) преобразование, не считается dst-nat'ом. Так что пока вы руками не добавите какие-либо правила в цепочку dstnat (например проброс 80 порта до вебсервера в локалке), то правило о котором идет речь (в его изначальном виде), будет сбрасывать вообще все, что идет через маршрутизатор в локалку с WAN-интерфейса.
Telegram: @thexvo
-
- Сообщения: 6
- Зарегистрирован: 01 дек 2020, 22:02
Немного разобрался. Большое спасибо!!!
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Рад помочь :)
Telegram: @thexvo