Страница 1 из 1
Косметический(?) вопрос про: connection-state=established,related...
Добавлено: 07 фев 2018, 07:29
Zillah
Во всех примерах приводится подобное:
Код: Выделить всё
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
Но ведь можно указать и проще:
Код: Выделить всё
/ip firewall filter
add action=accept chain=input connection-state=!invalid,established,related
Вопрос насколько эти правила идентичны или это чисто для визуального восприятия?
Re: Косметический(?) вопрос про: connection-state=established,related...
Добавлено: 07 фев 2018, 07:46
vqd
Они обсалютно разные
add action=accept chain=input connection-state=established,related - разрешает established,related
add action=drop chain=input connection-state=invalid - дропает invalid
add action=accept chain=input connection-state=!invalid,established,related - разрешает все кроме invalid,established,related
Re: Косметический(?) вопрос про: connection-state=established,related...
Добавлено: 07 фев 2018, 08:21
Zillah
vqd писал(а):add action=accept chain=input connection-state=!invalid,established,related - разрешает все кроме invalid,established,related
Хм, действительно, не очевидно для меня это было GUI...
PS Теперь осталось разобраться почему при этом у меня все работало...
Re: Косметический(?) вопрос про: connection-state=established,related...
Добавлено: 07 фев 2018, 08:25
vqd
Смотрите остальные правила, возможно перед ним или после еще что то есть
Re: Косметический(?) вопрос про: connection-state=established,related...
Добавлено: 07 фев 2018, 08:48
poppy
Zillah писал(а):Теперь осталось разобраться почему при этом у меня все работало...
так и будет работать, invalid даже иногда будет проходить))
Re: Косметический(?) вопрос про: connection-state=established,related...
Добавлено: 07 фев 2018, 09:00
Zillah
vqd писал(а):Смотрите остальные правила, возможно перед ним или после еще что то есть
А вот дальше, вроде ничего интересного:
Код: Выделить всё
add action=accept chain=input comment="Accept icmp packets" protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input comment="Accept ssh connections" dst-port=65322 protocol=tcp
add action=accept chain=input comment="GRE over IPSec tunnel" protocol=gre
add action=accept chain=input port=500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="Accept localnet to router connections" src-address-list=hqtnets
add action=accept chain=forward comment="Accept localnet to internet connections" src-address-list=hqtnets
add action=accept chain=input comment="Accept fabnet to router connections" src-address-list=fabnets
add action=accept chain=forward comment="Accept fabnet to localnet connections" src-address-list=fabnets
add action=accept chain=forward comment="Accept between externalnets and zmtnets connections" dst-address-list=zmtnets src-address-list=externalnets
add action=accept chain=forward dst-address-list=externalnets src-address-list=zmtnets
add action=accept chain=input comment="TEST Rule for src-nat & dst-nat" connection-nat-state=srcnat,dstnat disabled=yes
add action=accept chain=forward connection-nat-state=srcnat,dstnat log-prefix=FWD-ALLOW
add action=drop chain=input comment="All other Drop!"
add action=drop chain=forward log-prefix=FWD-DROP
"TEST Rule (forward)" тут я думал над вариантами:
1) как везде пишут: drop forward !=dst-nated
2) просто разрешить forward =dst-nated, а в конце всеобщий drop
мне показалось так удобнее/нагляднее
poppy писал(а):так и будет работать, invalid даже иногда будет проходить))
При условии что established и related "дропаются"?
Re: Косметический(?) вопрос про: connection-state=established,related...
Добавлено: 07 фев 2018, 09:27
vqd
Ну при настройке фаервола надо стримится к минимальному кол-ву правил, а не к удобству. Если допустим вы вильтруете различные сегменты то есть смысл для каждого сегмента делать свой набор (jump) что бы микротик не лопатил всю таблицу
Re: Косметический(?) вопрос про: connection-state=established,related...
Добавлено: 07 фев 2018, 11:15
poppy
poppy писал(а):так и будет работать, invalid даже иногда будет проходить))
При условии что established и related "дропаются"?[/quote]
речь про первый пост, там про дроп для established и related нет)
Re: Косметический(?) вопрос про: connection-state=established,related...
Добавлено: 07 фев 2018, 11:24
kursy_po_it_ru
Zillah писал(а): PS Теперь осталось разобраться почему при этом у меня все работало...
Re: Косметический(?) вопрос про: connection-state=established,related...
Добавлено: 07 фев 2018, 11:26
kursy_po_it_ru
Zillah писал(а): PS Теперь осталось разобраться почему при этом у меня все работало...
vqd писал(а):Они обсалютно разные
add action=accept chain=input connection-state=!invalid,established,related - разрешает все кроме invalid,established,related
Что бы создавшему тему было понятнее дополню информацию, которую дал Вячеслав. Разрешение всего кроме invalid,established,related не значит, что эти виды соединений запрещаются.
Для большей понятности:
1. все кроме invalid,established,related разрешено.
2. invalid,established,related не запрещено.