Ещё раз про порядок правил Firewall Filter

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Доброго времени суток, Форумчане =)

Может обратился не по адресу, но всё же, суть вопроса такова:
В мануалах по настройке фильтров фаервола написано:
1) Первыми ВСЕГДА идут разрешающие правила
2) Затем идут ЗАПРЕЩАЮЩИЕ
===
Если одним из первых правил мы разрешаем все установленные и родственные соединения, как же мы в дальнейшем сможем их дропнуть, если они скомпрометировали себя?
Или если мы фильтруем соцСети, торренты и тд, то правила фильтрации в обязательном порядке должны находится ДО разрещающих... или нет?
===
Можете объяснить как и в каком порядке добавлены правила в ваши фаерволы?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Зачем дропать уже установленные связи? Вы как-то нелогичны... Либо связь установлена, то есть пакет прошел через фаервол, либо неустановлена, то есть пакет через фаервол не прошел.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Не знаю что написано в мануалах, я делаю как считаю более рационально:
Сначала дропаем всё подозрительное, ненормальное, и противоестественное, такое как invalid connection, запросы на мой DNS, листы DROP и так далее.
Далее защиты от сканера портов, от DDoS и Syn атак и т.д.
Следом правила по разграничиванию доступа, запрет ненормалых подключений по VPN....
Потом разрешающие и запрещающие правила для конкретных сетей и пользователей
Последнее правило для запрета всего остального, что не попало под правила выше.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Dragon_Knight, вот это я и хотел услышать))) Пасибки))
Просто, как показывает опыт - если сначала разрешать установленные и родственные соединения, то фаервол перестаёт ловить портСканеры, флудПинги и флуд на dns портююю


siroc-co
Сообщения: 3
Зарегистрирован: 17 сен 2014, 10:32
Откуда: Moscow

Настроил проброс порта, выяснилось что работает только одно соединение в один момент. Тоесть вхожу только с одного устройства, а в тоже время со второго войти не удаётся, нет коннекта. Что в настройках поменять нужно?


MikroTik CRS109-8G-1S-2HnD-IN
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Что пробрасываете???
RDP???
Куда???
Вы помните, что только у сервернных ОС от Майкрософт есть MultiRDP???

Итого: Микротик ни причем. Проброс или есть или его нет.


siroc-co
Сообщения: 3
Зарегистрирован: 17 сен 2014, 10:32
Откуда: Moscow

Пробрасываю tcp порт, для коннекта к некой службе. И почемуто коннектится только тот, кто первый пришёл, все остальные отсекаются. Тоже самое с портами для почтового сервера, пока один приконнекчен, остальные не могут достучаться.


MikroTik CRS109-8G-1S-2HnD-IN
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

siroc-co писал(а):Пробрасываю tcp порт, для коннекта к некой службе.

Что за загадочность? Служба на какой оси базируется?
Вы понимаете, о чем спрашивают?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
siroc-co
Сообщения: 3
Зарегистрирован: 17 сен 2014, 10:32
Откуда: Moscow

Ок. Есть NAS Synology с дофига-дофига служб - почта, файловое облако, днс и веб серверы... и т.д. Всё проброшено наружу через микротик. В работе веб сервера проблем не обнаружено, но с другой стороны тремя клиентами доступность особо и не проверишь. А вот почта, например, и облако, в один момент могут работать только с одним клиентом, второй просто в постоянном ожидании соединения, и либо отваливается по таймауту, либо так и весит в ожидании коннекта.
И сразу предвижу вопрос, поэтому сразу ответ: да, через простую точку доступа всё работает, клиенты все разом подключаются. Тоесть не в Synology дело.


MikroTik CRS109-8G-1S-2HnD-IN
Аватара пользователя
EIKA
Сообщения: 41
Зарегистрирован: 30 дек 2017, 21:59

Товарищи, ламерский вопрос.

Имеем микротик в режиме роутера, одним портом смотрит в инет, другими в LAN. Правила фаера накиданы так (очередность соблюдена!):

allow established input
allow established forward
allow related input
allow related forward
allow TCP:21 input (вход на FTP-сервер)
drop HACKERS
drop invalid
drop all input
drop all forward

Все работает как надо, FTP работает.

Но со списком HACKERS есть прикол. Внесенный в него IP спокойно гуляет по FTP. И счетчик пакетов в drop-правиле на этого юзера не тикает.

Правило drop HACKERS создано верно, счетчик пакетов не нулевой. Правило очень простое:

Цепочка forward (FTP-сервер стоит за роутером)
Входной интерфейс - указан верно
src address list - HACKERS
Action - drop

IP-адрес хулигана внесер в список HACKERS, и внесен верно - как единичный IP. Единственное, не указана маска, а только IP-адрес.

Подозреваю, что все же очередность правил. Прошу помочь.


Ответить