Страница 1 из 1

forward - так ли он нужен?

Добавлено: 23 ноя 2013, 17:03
Zormax
Помогите чайнику понять смысл форварда.
ну вот вычитал, что
"Все пакеты с адресом назначения маршрутизатора попадают во входную цепочку файервола INPUT. Заметьте, что попавшие в цепочку INPUT пакеты не будут проходить через маршрутизатор."

также вычитал, что форвард - это транзитный траф, т.е. траф, проходящий через микротик (например между двумя компами внутри одной сети) и не выходящий дальше него, т.е. в инет, из этого сделал вывод, что форвард не нужен, если мы слушаем инпут провайдера и кроме инпута все остальное имеет доверие.
в данном случае, форвард может быть полезен для блокировки например двух устройств внутри одной сети, т.с. исключить между ними бридж.

Тем самым считаю, что форвард вообще не нужен в фаере, если всё внутри сети доверенное и инпут слушает провайдерский интерфейс.

Одни мне показали смайл "рука-лицо", другие сказали, что:
Если кто-то из локалки провайдера будет хакать вашу сеть то он может указать ваш роутер как шлюз для всех локальных адресов и пробовать долбиться.

=========
Сейчас у меня для pppoe и защиты из вне, это:

/ip firewall filter
add action=drop chain=input protocol=tcp psd=21,3s,3,1
add action=drop chain=input protocol=udp psd=21,3s,3,1
add chain=input protocol=icmp
add chain=input dst-port=8728 protocol=tcp
add chain=input connection-state=established in-interface=pppoe-out1
add chain=input connection-state=related in-interface=pppoe-out1
add action=drop chain=input in-interface=pppoe-out1

зы. первое и второе правило блокирует скан портов, четвертое разрешает доступ через API (прогой на андроиде)
напомню, что мы говорим о домашней сети с доверенными устройствами

=======
разве недостаточно этого?
Так что скажут маститые спецы?

Re: forward - так ли он нужен?

Добавлено: 23 ноя 2013, 17:30
vqd

Re: forward - так ли он нужен?

Добавлено: 23 ноя 2013, 17:36
Zormax
Т.е я прав? :-): или со мною всё плохо? :hi_hi_hi:

Re: forward - так ли он нужен?

Добавлено: 23 ноя 2013, 17:48
vqd
Из ссылки раз вам лень читать

Входящий пакет начинает обрабатываться брандмауэром с цепочки PREROUTING в таблице mangle. Затем он обрабатывается правилами цепочки PREROUTING таблицы nat. На этом этапе проверяется, не требуется ли модификация назначения пакета (DNAT). Важно сменить назначение сейчас, потому что маршрут пакета определяется сразу после того, как он покинет цепочку PREROUTING. После этого он будет отправлен на цепочку INPUT (если целью пакета является этот компьютер) или FORWARD (если его целью является другой компьютер в сети). Если целью пакета является другой компьютер, то пакет фильтруется правилами цепочки FORWARD таблиц mangle и filter, а затем к нему применяются правила цепочки POSTROUTING. На данном этапе можно использовать SNAT/MASQUARADE (подмена источника/маскировка). После этих действий пакет (если выжил) будет отправлен в сеть Если назначением пакета является сам компьютер с брандмауэром, то, после маршрутизации, он обрабатывается правилами цепочек INPUT таблиц mangle и filter. В случае прохождения цепочек пакет передается приложению. Когда приложение, на машине с брандмауэром, отвечает на запрос или отправляет собственный пакет, то он обрабатывается цепочкой OUTPUT таблицы filter. Затем к нему применяются правила цепочки OUTPUT таблицы nat, для определения, требуется-ли использовать DNAT (модификация назначения), пакет фильтруется цепочкой OUTPUT таблицы filter и выпускается в цепочку POSTROUTING которая может использовать SNAT и QoS. В случае успешного прохождения POSTROUTING пакет выходит в сеть.

Re: forward - так ли он нужен?

Добавлено: 23 ноя 2013, 17:58
Zormax
Значит не прав.
Я просто думал, что:
После этого он будет отправлен на цепочку INPUT (если целью пакета является этот компьютер) или FORWARD (если его целью является другой компьютер в сети).

мой компьютер - (если целью пакета является этот компьютер)
если у меня типа какой нить VLAN,VPN и еще чего нить такое, тунели всякие, то - (если его целью является другой компьютер в сети).

Получается, что (если целью пакета является этот компьютер) - это сам роутер, а мой комп с браузером это комп в сети.

и тем самым я прописав только инпут, защищаю из вне сам роутер, но не защищаю комп, наверное так. но так запутано, что появлется мысль, но вот же, защищен роутер из вне. чего еще надо-то? :smu:sche_nie:

Re: forward - так ли он нужен?

Добавлено: 23 ноя 2013, 20:57
podarok66
Zormax писал(а):но вот же, защищен роутер из вне. чего еще надо-то?

Да ничего не надо. Во внутреннюю сеть будет лететь ВСЁ!
Большинство пользователей вообще не использует роутеры и имеет только провод вставленный с сетевую карту компьютера. А защита проводится либо силами каких-то антивирусов и брандмауэров. Если я завзятый геймер, а комп у меня не топовый, естественно, я отключу эти тормоза, отдав побольше ресурсов на игру. Если у меня слабый компьютер, неттоп, нетбук, которые и со своими-то задачами справляются с тормозами, понятное дело, я остальные тормоза отключу. Некоторых раздражает большое количество запущенных программ и они тоже стараются избавится от большинства из них.
Функции антивируса маршрутизатором не выполнить, а вот брандмауэр можно использовать именно на маршрутизаторе, не используя его на компьютерах. Получим немного свободных ресурсов на компьютере, более внятный контроль за тем, что, куда и откуда в сети бегает, ну и настраивать надо один брандмауэр, а не несколько (например, у меня дома 4 постоянно используемых компа, NAS, и мобильной техники еще штук 5-7 девайсов). А правила висят на одном роутере, на устройствах все брандмауэры отключены (Windows брандмауэр вызывает у меня приступы человеконенавистничества).
Вы выделите время, сядьте и почитайте про брандмауэр вдумчиво, с остановками и возвратами назад. Я еще и пометки могу делать для осмысления. Потом станет на душе спокойнее, не будет ненужных метаний. И правила станут понятны. Как и их необходимость.

Re: forward - так ли он нужен?

Добавлено: 23 ноя 2013, 22:23
Zormax
Посидел немного, и прошу помощи, написал конечно подглядывая у других, но вот все коментарии сейчас интерактивно вставлю и буду писать прямо как я их понял, скажите, я все верно понял:
===========
;;; Правила из вне
;;; Блокируем скан портов из вне, изнутри не нужно:
add action=drop chain=input in-interface=pppoe-out1 protocol=udp psd=21,3s,3,1
add action=drop chain=input in-interface=pppoe-out1 protocol=tcp psd=21,3s,3,1
;;; Разрешаем пинговать как из вне так и изнутри:
add chain=input limit=50/5s,5 protocol=icmp
;;; Разрешаем заход как изнутри так и из вне через API:
add chain=input dst-port=8728 protocol=tcp
;;; Разрешаем нормальные входящие пакеты из вне:
add chain=input connection-state=established in-interface=pppoe-out1
add chain=input connection-state=related in-interface=pppoe-out1
;;; Блокируем из вне всё остальное (new, invalid, здесь будет блокироваться непрокинутый UDP трафик?):
add action=drop chain=input in-interface=pppoe-out1

;;; Правила для транзитного трафика
;;; Блокируем сломаные пакеты со всех сторон (для всех компов внутри сети, входящие и исходящие на всех интерфейсах):
add action=drop chain=forward connection-state=invalid
;;; Разрешаем всем выходить в инет, ничего не ограничиваем:
add chain=forward out-interface=pppoe-out1
;;; Разрешаем гулять внутри сети нормальным пакетам:
add chain=forward connection-state=established
add chain=forward connection-state=related
;;; Блкируем все остальное (new, invalid, здесь будет блокироваться непрокинутый UDP трафик?):
add action=drop chain=forward
=============

Re: forward - так ли он нужен?

Добавлено: 24 ноя 2013, 06:42
vqd
У меня как правило только контролируется колво подключений. Перекрыты все сервисы из вне (ssh, ftp и т.п) В общем из вне есть доступ только к тому что необходимо для работы. Как правило в фаерволе пусто практически