оптимизация firewall

Обсуждение оборудования и его настройки
Ответить
mr_dz
Сообщения: 1
Зарегистрирован: 12 дек 2019, 14:31

Добрый день, имеется рабочий фаервол на удаленных микротиках, хочется его оптимизировать, разобрать что к чему, зачем то или иное правило и поубирать "пустые" правила.

Дано: Удаленные точки с белым статическим адресом. Связь с офисом по vpn ipsec (site to site). На микротиках блокируется выход в интернет правилами фаервола, за исключением некоторых адресов (прописаны или в списке фильтров или скриптом по имени добавляются в адрес лист) или прописывается локальный ip которому разрешен полный выход в интернет.
локальная сеть 192.168.1.0/24
сеть офиса 192.168.0.0/24



правила фаеровла с комментариями:
/ip firewall filter
add action=accept chain=input comment=Ping protocol=icmp
add action=accept chain=forward protocol=icmp

тут вроде бы понятно, правила для ipsec
add action=accept chain=input comment="Allow IPsec" dst-port=500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input protocol=ipsec-ah
add action=accept chain=input protocol=udp src-port=4500

add action=accept chain=forward comment="Local to net" dst-address-list=test \
in-interface=!ether1-gateway out-interface=ether1-gateway
add action=accept chain=input comment="Accept connection" connection-state=\
established,related
add action=accept chain=forward connection-state=established,related

вот эти два правила я удалю, адреса внесу в адрес лист
add action=accept chain=forward comment="Online kass" dst-address=\
91.213.144.29
add action=accept chain=forward dst-address=46.17.204.250

add action=accept chain=input comment="Local network" in-interface=\
!ether1-gateway src-address=192.168.1.0/24

тут, я так понимаю, если не пользуемся l2tp, pptp или sstp можно удалить
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp

адреса внешних разрешенных ip, например viber
add action=accept chain=forward comment=access_list_global_ip \
dst-address-list=access_list_global_ip dst-port=\
80,443,8801,8802,5242,4244,5243,7985 protocol=tcp
add action=accept chain=forward comment=access_list_global_ip \
dst-address-list=access_list_global_ip dst-port=\
3478,3479,8801-8810,5242,4244,5243,7985 protocol=udp

доступ к микротику из вне
add action=accept chain=input src-address=внешний ip офиса
add action=accept chain=input src-address=192.168.0.0/24

список локальных адресов, которым надо полный выход в интернет
add action=accept chain=forward comment=access_list_ip_local \
src-address-list=access_list_ip_local
add action=accept chain=forward dst-address-list=access_list_ip_local

add action=accept chain=forward comment="IP Cam" src-address=192.168.1.200
add action=accept chain=forward dst-address=192.168.1.200
add action=accept chain=forward comment="LED Panel" disabled=yes src-address=\
192.168.1.199
add action=accept chain=forward disabled=yes dst-address=192.168.1.199
add action=drop chain=input comment="Drop incoming" in-interface=\
ether1-gateway
add action=accept chain=forward comment="VPN traffic" src-address=\
192.168.0.0/24
add action=accept chain=forward dst-address=192.168.0.0/25
add action=reject chain=forward comment="Drop all" protocol=tcp reject-with=\
tcp-reset

правила nat
/ip firewall nat
add action=accept chain=srcnat comment=IPsec dst-address=192.168.0.0/24 \
src-address= 192.168.1.0/24
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
192.168.1.0/24
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=ether1-gateway


Ответить