Помогите правильно настроить firewall

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:
Контактная информация пользователя Dragon_Knight

01 апр 2012, 21:51

Да, ловушка заработала, очень полезная вещь. Атакующий страдает, а MT почти не замечает этого.
Вот правила, может кому пригодиться.

Код: Выделить всё

10   ;;; Tarpit FTP for HTTP server (SlimFTPd)
     chain=forward action=tarpit protocol=tcp dst-address=192.168.0.100 src-address-list=blocked-addr dst-port=21 connection-limit=1,32 

11   ;;; Allow FTP for HTTP server (SlimFTPd)
     chain=forward action=accept protocol=tcp dst-address=192.168.0.100 dst-port=21 

12   ;;; Tarpit HTTP for HTTP server (Apache)
     chain=forward action=tarpit protocol=tcp dst-address=192.168.0.100 src-address-list=blocked-addr dst-port=80 connection-limit=25,32 

13   ;;; Allow HTTP for HTTP server (Apache)
     chain=forward action=accept protocol=tcp dst-address=192.168.0.100 dst-port=80

и в адрес лист: blocked-addr = 0.0.0.0/0

У меня возник такой вопрос:
Вот правила, в таблице отмечается трафик правила и у всех трафик смешной, и тока у Allow established connections 115гб. Если я правильно понял, то сначала срабатывает конкретное правило, И если всё ок, то соединение устанавливается и остальной трафик считается уже как established connections. (сори за туфталогию, не знаю как объяснить :( )
Думаю скрин скажет больше чем я)


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Вернуться к началу
iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

02 апр 2012, 18:27

правила отрабатывают сверху вниз

соответственно глобальные правила надо вниз смещать а локальные (на подсети, отдельные порты и т.д.) - вверх


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Вернуться к началу
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:
Контактная информация пользователя Dragon_Knight

02 апр 2012, 19:50

Значит нужно расположить так:
(пронумеровал розовыми цифрами)


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Вернуться к началу
iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

02 апр 2012, 20:04

Перетащите их вверх вниз в выбранном порядке

правила отлично таскаются


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Вернуться к началу
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:
Контактная информация пользователя Dragon_Knight

02 апр 2012, 21:08

iSupport, :D
Способ перетаскивания не вызывает вопросов. Вопрос вызывает куда какое правило, Я выше на против каждой строчки написал номер (розовым цветом), этими номера я расставил правила (визуально) по порядку от 0 и 22. Вопрос в том, правильно-ли я расставил правил. Дело в том, что в данный момент сервера активно используются и я не могу рисковать, экспериментируя с правилами...


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Вернуться к началу
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:
Контактная информация пользователя Dragon_Knight

04 апр 2012, 17:53

Пришёл вот к такому варианту:


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Вернуться к началу
iSupport
Сообщения: 2360
Зарегистрирован: 06 фев 2011, 20:44

05 апр 2012, 00:27

вполне хороший вариант


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Вернуться к началу
Ответить

Вернуться в «MikroTik RouterOS»