Помогите понять суть правила

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
qwerty123123
Сообщения: 20
Зарегистрирован: 17 май 2022, 08:27

Здравствуйте.
В разных гайдах по настройке нормально закрытого фаервола фигурируют три правила (цепочка forward):

Код: Выделить всё

add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=WAN_List
1. Что именно делает последнее правило? Я понимаю, что оно дропает весь не разрешенный ранее трафик, который пришел от провайдера и который не является пробросом портов (!dstnat). А зачем здесь !dstnat? Почему нельзя просто дропать весь не разрешенный ранее трафик с внешнего интерфеса? Ведь если есть проброс портов (dstnat), то он должен быть разрешен отдельным правилом до этого, а если его нет, то просто дропать весь внешний трафик, который не был инициирован изнутри. Или я заблуждаюсь?
2. Что делать с unracked трафиком? Учитывая тот факт, что еще пока не знаю что это и с чем его едят - могу я его просто пока дропать? Или не стоит?
Спасибо


Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

1. Вот чтобы не создавать отдельного правила, разрешающего то, что прошло dstnat.
Грубо говоря, вместо того, чтобы разрешать, мы его просто не сбрасываем.
Можете выделить в отдельное правило, разницы никакой.

2. Ничего не делать, у вас такого трафика нет.
Появится, только если вы сами его пометите, как untracked в raw.


Telegram: @thexvo
Вернуться к началу
qwerty123123
Сообщения: 20
Зарегистрирован: 17 май 2022, 08:27

Спасибо за разбор


Вернуться к началу
qwerty123123
Сообщения: 20
Зарегистрирован: 17 май 2022, 08:27

Апну свою старую тему
Как указано в начале темы, имеем в цепочке forward 3 правила

Код: Выделить всё

add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=WAN_List
А они вообще правильно прописаны? Спустя год начинаю глубже вникать в то, что делал год назад :)
Теоретически вроде все понятно:
- снижаем нагрузку на маршрутизатор - сразу пропускаем пакеты в состоянии establisged и related
- убиваем пакеты в состоянии invalid
- убиваем пакеты, входящие через wan-интерфейсы, которые не попали под первые два правила (т.е. они не были были инициированы изнутри и не имеют состояние invalid)
А каким образом пакет может дойти до 3го правила в цепочке? Как можно инициировать входящее соединение снаружи внутрь? Это же у источника снаружи должны быть маршруты прописаны на мою сеть и на мой маршрутизатор?


Вернуться к началу
bst-botsman
Сообщения: 188
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

qwerty123123 писал(а): 15 дек 2023, 15:26 Апну свою старую тему
Как указано в начале темы, имеем в цепочке forward 3 правила

Код: Выделить всё

add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=WAN_List
А каким образом пакет может дойти до 3го правила в цепочке? Как можно инициировать входящее соединение снаружи внутрь? Это же у источника снаружи должны быть маршруты прописаны на мою сеть и на мой маршрутизатор?
А с чего Вы взяли что в чцепочку форвард попадает трафик только снаружи во внутрь??? сюда также попадает трафик который ходит между подсетями в которых присутствует Ваш микротик... так сказать между внутренними подсетями...


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
Вернуться к началу
Erik_U
Сообщения: 1768
Зарегистрирован: 09 июл 2014, 12:33

qwerty123123 писал(а): 15 дек 2023, 15:26 А каким образом пакет может дойти до 3го правила в цепочке? Как можно инициировать входящее соединение снаружи внутрь? Это же у источника снаружи должны быть маршруты прописаны на мою сеть и на мой маршрутизатор?
Фаервол - это механизм информационной безопасности.
Он должен защищать и от тех, кто знает топологию и прописал маршруты.
В чем вопрос то?


Вернуться к началу
qwerty123123
Сообщения: 20
Зарегистрирован: 17 май 2022, 08:27

bst-botsman писал(а): 15 дек 2023, 16:43 А с чего Вы взяли что в чцепочку форвард попадает трафик только снаружи во внутрь??? сюда также попадает трафик который ходит между подсетями в которых присутствует Ваш микротик... так сказать между внутренними подсетями...
Просто я исхожу из того, что в правиле прописано in-interface-list=WAN_List, поэтому это входящий трафик из интернета. Виноват - явно это не озвучил.
Т.е. в итоге я правильно понял - это правило будет отсекать трафик, инициированный из прочих сетей, в которых прописана маршрутизация на мою сеть.
Спасибо


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»