Есть сервеная машина. Работает у меня дома. Хочу обезопасить её от угроз из вне (хотя бы от умников которые видят мой сервер по локалке и пытаются что то сделать).
Подключен интернет через кабель и авторизация у провайдера через PPPoE.
Надо бы сделать так чтоб из под-сети провайдера(по локалке) не было видно мой серв, ни открытые порты ни вообще что подключен сервер. Но при этом чтоб через PPPoE соединение на которое Я получаю внешний выделенный IP можно было спокойно подключиться, в кратце на сервере уже 2 сайта и почтовый сервер. Вот нужен роутер который не нарушит работу ни почтового сервера, ни веб, ни чего того что Я туда ещё могу установить. Также желательно чтоб роутер имел защиты от какого либо вида атак.
Роутер хочу купить с нормальным запасом мощности и функционала (интересует функция фаервола).
Бюджет около в раене 200$ +- 50$ (но это не критично)
Помогите с выбором роутера для защиты домашнего сервера
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
- podarok66
- Модератор
- Сообщения: 4362
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Можно взять http://mikrotik.ru/katalog/katalog/besprovodnye-marshrutizatory/routerboard-450g, хороша железка. Только нужно учитывать, что это лишь материнская плата, необходимо будет докупить корпус и блок питания...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
У меня похожая ситуация, но оборудования побольше, 4 сервера и гигабитный линк.
В данный момент стоит 450G, но простой DoS http запросами, и роутер падает (20-30кп\с, 30-60Мб\с).
От 951G-2HnD тоже никакого толку не будет, ибо железо почти такое-же...
Честно говоря у Микротика нету оборудования под данные нужды, т.к. после хороших моделей для дома за 4-5к сразу идут модели за 40к, а в промежутке цен ничего нету...
Хотелось-бы увидеть модельку, уровня 1100AHx2 (или два 1100AHx2) + SFP + 5-10 GLan
В данный момент стоит 450G, но простой DoS http запросами, и роутер падает (20-30кп\с, 30-60Мб\с).
От 951G-2HnD тоже никакого толку не будет, ибо железо почти такое-же...
Честно говоря у Микротика нету оборудования под данные нужды, т.к. после хороших моделей для дома за 4-5к сразу идут модели за 40к, а в промежутке цен ничего нету...
Хотелось-бы увидеть модельку, уровня 1100AHx2 (или два 1100AHx2) + SFP + 5-10 GLan
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
vqd, Я? никак. Только от DoS и SYN. Как-бы было неприятно это признавать, но даже самый простой DDoS положит мои сервера...
Конечно имея Cloud Core Router 1036-12G-4S-EM, можно написать сотни правил, десятки скриптов и реализовать более мене защиту от всего, но извините 40к у меня нету
Конечно имея Cloud Core Router 1036-12G-4S-EM, можно написать сотни правил, десятки скриптов и реализовать более мене защиту от всего, но извините 40к у меня нету
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
не, я имею в виду правила ваши.
А вообще мне как то площадку ддосили упорно, чего только не делал, потом банально icmp снаружи закрыл и все ддоса больше просто нет
конкретно боролся с ддос по 53 порту,.
А вообще мне как то площадку ддосили упорно, чего только не делал, потом банально icmp снаружи закрыл и все ддоса больше просто нет
конкретно боролся с ддос по 53 порту,.
Есть интересная задача и бюджет? http://mikrotik.site
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
ну тут суть наверное в том, что ВСЁ что не должно светить наружу - не должно светить наружу. закрываем все сервисы лишние.
Но встает вопрос о том, что должны быть какие то сервисы, для внешнего использования - например веб сервер. и тут уже так не закроешь. и ... над правилами тут можно сидеть долго и упорно - НО, все равно у микротика будет задача думать над каждым прилетающим пакетом и ресурсы его процессора не безграничны. И если не откажет сам веб-сервер, не загнется ваш аплинк, то есть вероятность, что микротик задумается сильно. мне кажется, что в таких ситуациях железкой за 30к не обойтись. хотя у тех же dlink начиная от ветки des заявлена какая то борьба с ddos и прочие фильтры.
Но встает вопрос о том, что должны быть какие то сервисы, для внешнего использования - например веб сервер. и тут уже так не закроешь. и ... над правилами тут можно сидеть долго и упорно - НО, все равно у микротика будет задача думать над каждым прилетающим пакетом и ресурсы его процессора не безграничны. И если не откажет сам веб-сервер, не загнется ваш аплинк, то есть вероятность, что микротик задумается сильно. мне кажется, что в таких ситуациях железкой за 30к не обойтись. хотя у тех же dlink начиная от ветки des заявлена какая то борьба с ddos и прочие фильтры.
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Я просто встречал народ которые подобные правила вешают и они применяются ко всему трафику который через фильтры проходит и естественно железка начинает упираться.
Описываешь правило что бы оно к конкретному трафику применялось и железке уже по проще. Например указать входящий интерфейс, порт и т.п.
Описываешь правило что бы оно к конкретному трафику применялось и железке уже по проще. Например указать входящий интерфейс, порт и т.п.
Есть интересная задача и бюджет? http://mikrotik.site
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
vqd, 53 порт это уже старая тема, нада блочить этот порт на вход.
Сейчас правила простые:
Если на WAN порт, на 80 порт открыто больше 5 конектов на 1 удалённый IP и есть этот IP в адресс листе, то дропаем.
Если на WAN порт, на 80 порт открыто больше 25 конектов на 1 удалённый IP, то создаём адресс-лист;
Защита от SYN точно такая-же как в wiki, только 'включатель' немного под себя переделал.
simpl3x, Я считаю что железки с 36 ядрами на платформе PPC хватит что-бы защититься от всего, в разумных пределах конечно.
Сейчас правила простые:
Если на WAN порт, на 80 порт открыто больше 5 конектов на 1 удалённый IP и есть этот IP в адресс листе, то дропаем.
Если на WAN порт, на 80 порт открыто больше 25 конектов на 1 удалённый IP, то создаём адресс-лист;
Защита от SYN точно такая-же как в wiki, только 'включатель' немного под себя переделал.
simpl3x, Я считаю что железки с 36 ядрами на платформе PPC хватит что-бы защититься от всего, в разумных пределах конечно.
Последний раз редактировалось Dragon_Knight 07 фев 2014, 12:05, всего редактировалось 1 раз.
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.