принцип работы фаервола

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Аватара пользователя
podarok66
Модератор
Сообщения: 4359
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

gmx писал(а):Ку думаете, сколько пакетов Invalid может прийти на ваш порт??? За последние 50 дней непрерывной работы RB2011 в это правило у меня упало 2 (два) пакета. Они сильно нагрузили проц?

А у меня за 14 дней 42,5 к пакетов, интересно, это может стать поводом для каких-то выводов и решений?
По поводу настроек фаервола, если не представляете, что делаете, то лучше ничего не делать. Тут без преувеличений и ёрничества. Вопросы ограничения трафика требуют прежде всего понимания работы, принципов, терминов и составленного плана. Опытные админы составляют подобные планы в голове, основываясь на опыте и предыдущих настройках. Неопытным лучше прописать порядок на бумаге, нумеруя порядок в таблице.
"Самых лучших настроек" не может быть в принципе, это как самая красивая прическа - на вкус и цвет ...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Вернуться к началу
gmx
Модератор
Сообщения: 3296
Зарегистрирован: 01 окт 2012, 14:48

Наверное, если исключить проблемы физики (битые пакеты сыпались бы безудержно), то это скорее всего связно с общей нагрузкой. Чем выше нагрузка, тем больше пакетов проходит через микротик, тем больше проблемных пакетов может ему встретится. У меня нагрузка не очень большая.


Вернуться к началу
Аватара пользователя
Maman
Сообщения: 0
Зарегистрирован: 14 апр 2016, 22:01

Друзья, а как еще, если не интересоваться у правильных людей, подтвердить или опровергнуть догадки, если прямых ответов у гугла нет? Это, в большей степени, риторический вопрос...
И вопрос по существу: подскажите пожалуйста, стоит ли добавлять правила для защиты от сканирования типа

Код: Выделить всё

add chain=input in-interface=Internet protocol=tcp tcp-flags=fin,syn,ack action=reject reject-with=icmp-network-unreachable

в firewall или правило

Код: Выделить всё

add action=drop chain=input in-interface=!bridge

уже включает в себя первое?

Заранее спасибо!


951Ui-2nD
Вернуться к началу
Аватара пользователя
podarok66
Модератор
Сообщения: 4359
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Maman писал(а): Это, в большей степени, риторический вопрос...

Каков вопрос, таков и ответ, чисто риторический...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Вернуться к началу
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:
Контактная информация пользователя vqd

оно включает в себя все в цепочке input акромя трафика с бриджа

Могу дать совет не ради укора. Научитесь читать правила и тогда все станет очевидно. Так же стоит разобраться с цепочками со всеми


Есть интересная задача и бюджет? http://mikrotik.site
Вернуться к началу
Аватара пользователя
Stelth
Сообщения: 8
Зарегистрирован: 09 июн 2016, 00:24
Откуда: Пятигорск

Доброго времени суток, уважаемые гуру.
Недавно столкнулся с дефолтной конфигурацией МТ в которой уже было настроено правило Fasttrack. Изучая это правило обнаружил, что в разделе "Connection state" отмечено сразу две галочки "Established" и "Related". Стало интересно два момента:
1. При такой настройке правило действует на пакет, отвечающий сразу двум условиям? Или оно работает и с пакетами Established и с пакетами Related.
Отсюда возникает второй вопрос:
2. Во многих мануалах по настройке базовой защиты МТ рекомендуют добавлять два отдельных разрешающих правила для "Established" и "Related". Можно ли вместо двух отдельных правил создать одно разрешающее правило с двумя галочками в разделе "Connection state"?
К сожалению гугл не помог.


Вернуться к началу
gmx
Модератор
Сообщения: 3296
Зарегистрирован: 01 окт 2012, 14:48

Критерии в фаерволле объединяются логическим условием "и".


Вернуться к началу
wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

Думаю не чего страшного в этом нет.
Т.к Во многих мануалах по настройке базовой защиты МТ рекомендуют добавлять два отдельных разрешающих правила для "Established" и "Related - это было в старой версии прошивок, можно было выбрать только один Вариант


Вернуться к началу
Аватара пользователя
Stelth
Сообщения: 8
Зарегистрирован: 09 июн 2016, 00:24
Откуда: Пятигорск

Так всё таки кто прав? Будут ещё мнения?
Насколько я понял ответы gmx и wolf_ktl противоречат друг другу.
Если логика "и", то пакет должен одновременно быть и тем и другим. Или "и" имеется ввиду и то и другое?
К сожалению я не настолько хорошо разбираюсь в теории сетей, но мне кажется пакет не может иметь одновременно статус "Established" и "Related". Поправьте если я не прав - пакет "Related" после первого соединения уже превращается в "Established". Или это не так?
Может кто-то сможет провести эксперимент, чтобы точно узнать эту тонкость? К сожалению я пока не настолько хорошо разобрался с RouterOS.


Вернуться к началу
gmx
Модератор
Сообщения: 3296
Зарегистрирован: 01 окт 2012, 14:48

Не могу точно сказать про "Established" и "Related', но например,


в фаерволле установлены два критерия: Scr. address и Out. Interface. При этом в правило попадут пакеты, которые принадлежат сети из Scr. address и, которые, отправляются в Out. Interface. При этом, если не указать Scr. address, то в правило попадут все пакеты, которые уходят в Out. Interface.


Но возможно есть исключения...


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»