Russian Users MikroTik | Форум пользователей MikroTik

Здравствуйте.
В разных гайдах по настройке нормально закрытого фаервола фигурируют три правила (цепочка forward): 1. Что именно делает последнее правило? Я понимаю, что оно дропает весь не разрешенный ранее трафик, который пришел от провайдера и который не является пробросом портов (!dstnat). А зачем здесь !dstnat? Почему нельзя просто дропать весь не разрешенный ранее трафик с внешнего интерфеса? Ведь если есть проброс портов (dstnat), то он должен быть разрешен отдельным правилом до этого, а если его нет, то просто дропать весь внешний трафик, который не был инициирован изнутри. Или я заблуждаюсь?
2. Что делать с unracked трафиком? Учитывая тот факт, что еще пока не знаю что это и с чем его едят - могу я его просто пока дропать? Или не стоит?
Спасибо

1. Вот чтобы не создавать отдельного правила, разрешающего то, что прошло dstnat.
Грубо говоря, вместо того, чтобы разрешать, мы его просто не сбрасываем.
Можете выделить в отдельное правило, разницы никакой.

2. Ничего не делать, у вас такого трафика нет.
Появится, только если вы сами его пометите, как untracked в raw.

Спасибо за разбор

Апну свою старую тему
Как указано в начале темы, имеем в цепочке forward 3 правила А они вообще правильно прописаны? Спустя год начинаю глубже вникать в то, что делал год назад :)
Теоретически вроде все понятно:
- снижаем нагрузку на маршрутизатор - сразу пропускаем пакеты в состоянии establisged и related
- убиваем пакеты в состоянии invalid
- убиваем пакеты, входящие через wan-интерфейсы, которые не попали под первые два правила (т.е. они не были были инициированы изнутри и не имеют состояние invalid)
А каким образом пакет может дойти до 3го правила в цепочке? Как можно инициировать входящее соединение снаружи внутрь? Это же у источника снаружи должны быть маршруты прописаны на мою сеть и на мой маршрутизатор?

qwerty123123 писал(а): ↑15 дек 2023, 15:26 Апну свою старую тему
Как указано в начале темы, имеем в цепочке forward 3 правила

Код: Выделить всё

add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=WAN_List

А каким образом пакет может дойти до 3го правила в цепочке? Как можно инициировать входящее соединение снаружи внутрь? Это же у источника снаружи должны быть маршруты прописаны на мою сеть и на мой маршрутизатор?

А с чего Вы взяли что в чцепочку форвард попадает трафик только снаружи во внутрь??? сюда также попадает трафик который ходит между подсетями в которых присутствует Ваш микротик... так сказать между внутренними подсетями...

qwerty123123 писал(а): ↑15 дек 2023, 15:26 А каким образом пакет может дойти до 3го правила в цепочке? Как можно инициировать входящее соединение снаружи внутрь? Это же у источника снаружи должны быть маршруты прописаны на мою сеть и на мой маршрутизатор?

Фаервол - это механизм информационной безопасности.
Он должен защищать и от тех, кто знает топологию и прописал маршруты.
В чем вопрос то?

bst-botsman писал(а): ↑15 дек 2023, 16:43 А с чего Вы взяли что в чцепочку форвард попадает трафик только снаружи во внутрь??? сюда также попадает трафик который ходит между подсетями в которых присутствует Ваш микротик... так сказать между внутренними подсетями...

Просто я исхожу из того, что в правиле прописано in-interface-list=WAN_List, поэтому это входящий трафик из интернета. Виноват - явно это не озвучил.
Т.е. в итоге я правильно понял - это правило будет отсекать трафик, инициированный из прочих сетей, в которых прописана маршрутизация на мою сеть.
Спасибо