Распространенные ошибки при настройке файервола

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Аватара пользователя
kursy_po_it_ru
Сообщения: 37
Зарегистрирован: 24 ноя 2016, 11:52
Контактная информация:

Статья про распространенные ошибки при настройке файервола: http://mikrotik.vetriks.ru/wiki/Межсете ... е_файрвола


===
Скоромнов Дмитрий
Официальный тренер MikroTik
Автор видеокурса "Настройка оборудования MikroTik" (аналог MTCNA)
Отзывы на курс во ВКонтакте: https://vk.com/topic-130020919_34950142
100 дней поддержки по курсу вместо 30 по промокоду forummikrotik
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Статья ни о чем. Простая реклама сайта


Александр
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Не надо так строго. Вполне разумно написано.
Это хорошо, когда знаешь, а для новичков очень полезно.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

gmx писал(а):Не надо так строго. Вполне разумно написано.
Это хорошо, когда знаешь, а для новичков очень полезно.


Если бы был статья была написана на этом форуме и в конце дан пример нормального конфига, то другое дело.
И мы бы смогли обсудить, а возможно что-то и подсказать, и новичками полезно.
А так... ни о чем! Просто реклама.


Александр
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Может и реклама, но тут на форуме за несколько минут можно найти с десяток тем типа "... скажите, что еще я могу добавить в фаервол..." и дальше простыня копипаста из нескольких ресурсов. Так что для начинающих, как первая попытка образумить самое оно.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
kursy_po_it_ru
Сообщения: 37
Зарегистрирован: 24 ноя 2016, 11:52
Контактная информация:

Я в статье описал реальные ошибки, которые очень часто делают при настройке файервола. Каждый сам для себя решает будет ли ему полезен этот материал.


===
Скоромнов Дмитрий
Официальный тренер MikroTik
Автор видеокурса "Настройка оборудования MikroTik" (аналог MTCNA)
Отзывы на курс во ВКонтакте: https://vk.com/topic-130020919_34950142
100 дней поддержки по курсу вместо 30 по промокоду forummikrotik
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

kursy_po_it_ru писал(а):Я в статье описал реальные ошибки, которые очень часто делают при настройке файервола. Каждый сам для себя решает будет ли ему полезен этот материал.


Нельзя все грести под одну гребенку.
Тот же богон - если у вас сеть /30 от провайдера то да, смысла в этом нет.
Если же у вас сеть /23 от провайдера, то богон прописывать и дропать не такая уж плохая идея ....

И да, про богон - люди берут инфу с офф вики микротика.... И у меня например, доверия больше к офф ресурсу :)

Вы пытаетесь сделать универсальный рецепт - не получится. Каждый прочитавший вашу статью, скорее всего это новички будут, даже не подумает о том, что не всегда применимы те или иные принципы ....


Аватара пользователя
kursy_po_it_ru
Сообщения: 37
Зарегистрирован: 24 ноя 2016, 11:52
Контактная информация:

enzain писал(а):
kursy_po_it_ru писал(а):Я в статье описал реальные ошибки, которые очень часто делают при настройке файервола. Каждый сам для себя решает будет ли ему полезен этот материал.


Нельзя все грести под одну гребенку.
Тот же богон - если у вас сеть /30 от провайдера то да, смысла в этом нет.
Если же у вас сеть /23 от провайдера, то богон прописывать и дропать не такая уж плохая идея ....

И да, про богон - люди берут инфу с офф вики микротика.... И у меня например, доверия больше к офф ресурсу :)

Вы пытаетесь сделать универсальный рецепт - не получится. Каждый прочитавший вашу статью, скорее всего это новички будут, даже не подумает о том, что не всегда применимы те или иные принципы ....


По поводу BOGON:
1. Если у Вас вторым правилом стоит action=drop connection-state=invalid как у Вас пройдут пакеты с которыми не было начато соединение?
2. BOGON список периодически изменяется а все используют статический. Поэтому сети, которые сегодня "плохие" завтра могут оказаться хорошими, а они будут заблокированы. Об это можно прочесть здесь: https://en.wikipedia.org/wiki/Bogon_filtering . Цитата: "IP addresses that are currently in the bogon space may not be bogons at a later date because IANA and other registries frequently assign new address space to ISPs."
3. Если Вы решили заблокировать 192.0.2.0/24, то почему не блокируют 192.0.3.0/24 или 192.0.4.0/24 или 192.0.5.0/24?

По поводу достоверности информации:
Полностью согласен, что первоисточник всегда является более доверенным. Я сам по спорным вопросам обращаюсь к вендору за получением разъяснений. Но, к сожалению, на официальной WiKi регулярно встречаются ошибки. Можете посмотреть здесь: http://mikrotik.vetriks.ru/wiki/О_Проекте в самом низу есть скриншот с удаленной страницы, которая долго была открытой. Там признано, что была ошибочная статья. При этом в статье была не опечатка, а именно идеологическая ошибка в настройке. И это далеко не единственная ошибка, которая мне известна.

Про универсальный рецепт
В статье ничего не написано про то как делать. В основном написано, как не делать. На 99% эти правила применимы всегда:
1. Правило FastTrack без использования дополнительных условий превращает МикроТик в коробочку уровня "домашний D-Link, т. к. игнорируется приоритезация трафика и др.
2. Только разрешающие правила в нормально открытом файерволе не имеют смысла никогда и не делают ничего кроме потребления ресурсов ЦП.
3. Если использовать неверный порядок правил, то какие-то правила могут оказаться не рабочими, т. к. пакет до них не дойдет.

Предлагаю дальше не разводить холивар. Если Вы считаете, что надо блокировать статический список адресов BOGON, использовать правило FastTrack без дополнительных ограничений и делать нормально открытый файервол без запрещающих правил, то Вам виднее, что Вы будете настраивать у Вас в сети. Я поделился своей точкой зрения и дал обоснование почему я так считаю.


===
Скоромнов Дмитрий
Официальный тренер MikroTik
Автор видеокурса "Настройка оборудования MikroTik" (аналог MTCNA)
Отзывы на курс во ВКонтакте: https://vk.com/topic-130020919_34950142
100 дней поддержки по курсу вместо 30 по промокоду forummikrotik
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

kursy_po_it_ru писал(а):Я поделился своей точкой зрения и дал обоснование почему я так считаю.

Привет, не обращай на него внимания, он не более чем теоретик любитель нахватавшийся кусков из Интернетов )) Таких тут куча было


Есть интересная задача и бюджет? http://mikrotik.site
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

kursy_po_it_ru писал(а):.......


Холивар не стоит разводить действительно.
Я и пытаюсь понять чем вы руководствуетесь. Не везде нужен нормально закрытый ФВ, где то - достаточно нормально открытого., с уточнением что именно нужно не пускать.
На вкус и цвет, потому и говорю что универсального лекарства не бывает подходящего под все варианты.


Ответить