forward - так ли он нужен?

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Zormax
Сообщения: 0
Зарегистрирован: 31 окт 2013, 15:46

Помогите чайнику понять смысл форварда.
ну вот вычитал, что
"Все пакеты с адресом назначения маршрутизатора попадают во входную цепочку файервола INPUT. Заметьте, что попавшие в цепочку INPUT пакеты не будут проходить через маршрутизатор."

также вычитал, что форвард - это транзитный траф, т.е. траф, проходящий через микротик (например между двумя компами внутри одной сети) и не выходящий дальше него, т.е. в инет, из этого сделал вывод, что форвард не нужен, если мы слушаем инпут провайдера и кроме инпута все остальное имеет доверие.
в данном случае, форвард может быть полезен для блокировки например двух устройств внутри одной сети, т.с. исключить между ними бридж.

Тем самым считаю, что форвард вообще не нужен в фаере, если всё внутри сети доверенное и инпут слушает провайдерский интерфейс.

Одни мне показали смайл "рука-лицо", другие сказали, что:
Если кто-то из локалки провайдера будет хакать вашу сеть то он может указать ваш роутер как шлюз для всех локальных адресов и пробовать долбиться.

=========
Сейчас у меня для pppoe и защиты из вне, это:

/ip firewall filter
add action=drop chain=input protocol=tcp psd=21,3s,3,1
add action=drop chain=input protocol=udp psd=21,3s,3,1
add chain=input protocol=icmp
add chain=input dst-port=8728 protocol=tcp
add chain=input connection-state=established in-interface=pppoe-out1
add chain=input connection-state=related in-interface=pppoe-out1
add action=drop chain=input in-interface=pppoe-out1

зы. первое и второе правило блокирует скан портов, четвертое разрешает доступ через API (прогой на андроиде)
напомню, что мы говорим о домашней сети с доверенными устройствами

=======
разве недостаточно этого?
Так что скажут маститые спецы?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:



Есть интересная задача и бюджет? http://mikrotik.site
Zormax
Сообщения: 0
Зарегистрирован: 31 окт 2013, 15:46

Т.е я прав? :-): или со мною всё плохо? :hi_hi_hi:


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Из ссылки раз вам лень читать

Входящий пакет начинает обрабатываться брандмауэром с цепочки PREROUTING в таблице mangle. Затем он обрабатывается правилами цепочки PREROUTING таблицы nat. На этом этапе проверяется, не требуется ли модификация назначения пакета (DNAT). Важно сменить назначение сейчас, потому что маршрут пакета определяется сразу после того, как он покинет цепочку PREROUTING. После этого он будет отправлен на цепочку INPUT (если целью пакета является этот компьютер) или FORWARD (если его целью является другой компьютер в сети). Если целью пакета является другой компьютер, то пакет фильтруется правилами цепочки FORWARD таблиц mangle и filter, а затем к нему применяются правила цепочки POSTROUTING. На данном этапе можно использовать SNAT/MASQUARADE (подмена источника/маскировка). После этих действий пакет (если выжил) будет отправлен в сеть Если назначением пакета является сам компьютер с брандмауэром, то, после маршрутизации, он обрабатывается правилами цепочек INPUT таблиц mangle и filter. В случае прохождения цепочек пакет передается приложению. Когда приложение, на машине с брандмауэром, отвечает на запрос или отправляет собственный пакет, то он обрабатывается цепочкой OUTPUT таблицы filter. Затем к нему применяются правила цепочки OUTPUT таблицы nat, для определения, требуется-ли использовать DNAT (модификация назначения), пакет фильтруется цепочкой OUTPUT таблицы filter и выпускается в цепочку POSTROUTING которая может использовать SNAT и QoS. В случае успешного прохождения POSTROUTING пакет выходит в сеть.


Есть интересная задача и бюджет? http://mikrotik.site
Zormax
Сообщения: 0
Зарегистрирован: 31 окт 2013, 15:46

Значит не прав.
Я просто думал, что:
После этого он будет отправлен на цепочку INPUT (если целью пакета является этот компьютер) или FORWARD (если его целью является другой компьютер в сети).

мой компьютер - (если целью пакета является этот компьютер)
если у меня типа какой нить VLAN,VPN и еще чего нить такое, тунели всякие, то - (если его целью является другой компьютер в сети).

Получается, что (если целью пакета является этот компьютер) - это сам роутер, а мой комп с браузером это комп в сети.

и тем самым я прописав только инпут, защищаю из вне сам роутер, но не защищаю комп, наверное так. но так запутано, что появлется мысль, но вот же, защищен роутер из вне. чего еще надо-то? :smu:sche_nie:


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Zormax писал(а):но вот же, защищен роутер из вне. чего еще надо-то?

Да ничего не надо. Во внутреннюю сеть будет лететь ВСЁ!
Большинство пользователей вообще не использует роутеры и имеет только провод вставленный с сетевую карту компьютера. А защита проводится либо силами каких-то антивирусов и брандмауэров. Если я завзятый геймер, а комп у меня не топовый, естественно, я отключу эти тормоза, отдав побольше ресурсов на игру. Если у меня слабый компьютер, неттоп, нетбук, которые и со своими-то задачами справляются с тормозами, понятное дело, я остальные тормоза отключу. Некоторых раздражает большое количество запущенных программ и они тоже стараются избавится от большинства из них.
Функции антивируса маршрутизатором не выполнить, а вот брандмауэр можно использовать именно на маршрутизаторе, не используя его на компьютерах. Получим немного свободных ресурсов на компьютере, более внятный контроль за тем, что, куда и откуда в сети бегает, ну и настраивать надо один брандмауэр, а не несколько (например, у меня дома 4 постоянно используемых компа, NAS, и мобильной техники еще штук 5-7 девайсов). А правила висят на одном роутере, на устройствах все брандмауэры отключены (Windows брандмауэр вызывает у меня приступы человеконенавистничества).
Вы выделите время, сядьте и почитайте про брандмауэр вдумчиво, с остановками и возвратами назад. Я еще и пометки могу делать для осмысления. Потом станет на душе спокойнее, не будет ненужных метаний. И правила станут понятны. Как и их необходимость.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Zormax
Сообщения: 0
Зарегистрирован: 31 окт 2013, 15:46

Посидел немного, и прошу помощи, написал конечно подглядывая у других, но вот все коментарии сейчас интерактивно вставлю и буду писать прямо как я их понял, скажите, я все верно понял:
===========
;;; Правила из вне
;;; Блокируем скан портов из вне, изнутри не нужно:
add action=drop chain=input in-interface=pppoe-out1 protocol=udp psd=21,3s,3,1
add action=drop chain=input in-interface=pppoe-out1 protocol=tcp psd=21,3s,3,1
;;; Разрешаем пинговать как из вне так и изнутри:
add chain=input limit=50/5s,5 protocol=icmp
;;; Разрешаем заход как изнутри так и из вне через API:
add chain=input dst-port=8728 protocol=tcp
;;; Разрешаем нормальные входящие пакеты из вне:
add chain=input connection-state=established in-interface=pppoe-out1
add chain=input connection-state=related in-interface=pppoe-out1
;;; Блокируем из вне всё остальное (new, invalid, здесь будет блокироваться непрокинутый UDP трафик?):
add action=drop chain=input in-interface=pppoe-out1

;;; Правила для транзитного трафика
;;; Блокируем сломаные пакеты со всех сторон (для всех компов внутри сети, входящие и исходящие на всех интерфейсах):
add action=drop chain=forward connection-state=invalid
;;; Разрешаем всем выходить в инет, ничего не ограничиваем:
add chain=forward out-interface=pppoe-out1
;;; Разрешаем гулять внутри сети нормальным пакетам:
add chain=forward connection-state=established
add chain=forward connection-state=related
;;; Блкируем все остальное (new, invalid, здесь будет блокироваться непрокинутый UDP трафик?):
add action=drop chain=forward
=============


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

У меня как правило только контролируется колво подключений. Перекрыты все сервисы из вне (ssh, ftp и т.п) В общем из вне есть доступ только к тому что необходимо для работы. Как правило в фаерволе пусто практически


Есть интересная задача и бюджет? http://mikrotik.site
Ответить