Firewall

Обсуждение ПО и его настройки
Ответить
pomaskin
Сообщения: 15
Зарегистрирован: 14 янв 2011, 16:02

Добрый день.
Хотелось бы увидеть базовые настройки для firewall.
На данный момент у меня следующие настройки:

Код: Выделить всё

[admin@hostname] > ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic
 0   ;;; Drop invalid connection packets
     chain=input action=drop connection-state=invalid

 1   ;;; Drop invalid connection packets
     chain=forward action=drop connection-state=invalid

 2   ;;; Allow established connections
     chain=forward action=accept connection-state=established

 3 X ;;; Allow related connections
     chain=forward action=accept connection-state=related

 4   ;;; Drop ICMP from WAN
     chain=input action=drop protocol=icmp in-interface=WAN

 5   ;;; Drop ICMP from Beeline
     chain=input action=drop protocol=icmp in-interface=CITY

Что еще можно добавить, чтобы обезопасить себя?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Еще ограничите доступ по сервисным портам из вне

порт 21 (ftp) закрыть из вне - рано или поздно поймаете брутфорсера, который месяцами будет подбирать пароль на фтп

сделать 2 правила:
открыть
порт 80 (http)
порт 22 (ssh)
порт 8291 (winbox)
порт 23 (telnet) [- по желанию]

для ИП адреса *работы*, *девушки*, *тещи* и т.д.

а для прочих адресов - закрыть.

Кстати в фвайерволе есть веселое действие (action) tarpit - оно *подвешивает* соединение а не дропает его, в результате сессия на брутфорсере подвисает до таймаута , и он захлебывается

-----
И еще - сменить на микротике логин с admin, root, support на что-то уникальное
ну и пароль сделать на порядок сложнее, чем 12345
Это - для шаловливых ручек из внутренней подсети

---------
PS закончу цитатой моего друга-линуксоида *Ковыряться с файрволлом на удаленной машине - К Дальней дороге...*

поэтому сначала делаем Разрешить для своих, а потом Запретить для всех.


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
rusmur
Сообщения: 7
Зарегистрирован: 02 ноя 2011, 11:23

Подскажите пожалуйста.

1 ;;; Drop invalid connection packets
chain=forward action=drop connection-state=invalid

2 ;;; Allow established connections
chain=forward action=accept connection-state=established

3 X ;;; Allow related connections
chain=forward action=accept connection-state=related

В инете видел вариант базовой настройки в котором эти три правила указывались и для цепочки input.
Как правильно или указывать эти правила и для цепочки input тоже?


Еще один вопрос:
Если я настроил нат на маппинг для проброса порта на комп в локальной сети, нужно ли в фаерволе открывать этот порт???
И по поводу последних дропов, какие и для каких цепочек нужно указать?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Начну с конца.

Уфайрволла есть 2 политики
1) все что не запрещено -разрешено (более слабая, с точки зрения безопасности)

2) все что не разрешено - запрещено (более стойкая)


посмотрите документацию по файрволлуи НАТу
viewtopic.php?f=8&t=6


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Ответить