Страница 1 из 1
Помогите разобратся в ip firewall filter
Добавлено: 14 дек 2018, 10:59
sonic2006
По умолчания в mikrotik 951Ui-2HnD под RouterOS 6.43.7 такие правила :
/ip firewall filter
1 add action=accept chain=input connection-state=established,related,untracked
2 add action=drop chain=input connection-state=invalid
3 add action=accept chain=input protocol=icmp
4 add action=drop chain=input in-interface-list=!LAN
5 add action=accept chain=forward ipsec-policy=in,ipsec
6 add action=accept chain=forward ipsec-policy=out,ipsec
7 add action=fasttrack-connection chain=forward connection-state=\ established,related
8 add action=accept chain=forward connection-state=\ established,related,untracked
9 add action=drop chain=forward connection-state=invalid
10 add action=drop chain=forward connection-nat-state=!dstnat connection-state=\ new in-interface-list=WAN
#
/ip firewall nat
11 add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=\ WAN
Можете объяснить что какой пункт значит ?
Re: Помогите разобратся в ip firewall filter
Добавлено: 14 дек 2018, 11:10
vqd
1 add action=accept chain=input connection-state=established,related,untracked -разрешает в цепочке input весь трафик established,related,untracked
2 add action=drop chain=input connection-state=invalid - запрещает в цепочку инпут весь инвалид трафик
3 add action=accept chain=input protocol=icmp - разрешает в цепочке инпут весь ИЦМП трафик
4 add action=drop chain=input in-interface-list=!LAN - запрещает весь трафик в цепочке инпут кроме трафика с интерфейсов в группе LAN
5 add action=accept chain=forward ipsec-policy=in,ipsec - разрешать в цепочке форварт трафик in,ipsec
6 add action=accept chain=forward ipsec-policy=out,ipsec - разрешать в цепочке форварт трафик out,ipsec
7 add action=fasttrack-connection chain=forward connection-state=\ established,related - пускает в цепочке форвард весь трафик established,related сразу на интерфейс назначения
8 add action=accept chain=forward connection-state=\ established,related,untracked - разрешает трафик established,related,untracked в форварде
9 add action=drop chain=forward connection-state=invalid - запрешает в форварде трафик инвалид
10 add action=drop chain=forward connection-nat-state=!dstnat connection-state=\ new in-interface-list=WAN - запрещает весь новый трафик с группы интерфейсов WAN кроме dstnat
Re: Помогите разобратся в ip firewall filter
Добавлено: 14 дек 2018, 22:40
sonic2006
Спасибо.
Можете посоветовать хороший вариант защиты роутера ?
Небольшой офис, белый ip, переадресация портов 80,22 из одного ПК в локальной сети на внешний wan. Нужна защита из вне.
Re: Помогите разобратся в ip firewall filter
Добавлено: 14 дек 2018, 22:59
Dragon_Knight
Защита из вне это сам NAT по сути...
Защита роутера заключается в отключении ненужных служб и разрешение их работы только из локальный сети + поменять стандартную учётную запись удалив и добавив свою.
Re: Помогите разобратся в ip firewall filter
Добавлено: 15 дек 2018, 04:00
Vlad-2
sonic2006 писал(а): ↑14 дек 2018, 22:40
Спасибо.
Можете посоветовать хороший вариант защиты роутера ?
Небольшой офис, белый ip, переадресация портов 80,22 из одного ПК в локальной сети на внешний wan. Нужна защита из вне.
1) Роутер защищает Вашу сеть.
2) Его по идеи защищать не нужно (глобально)
3) Если роутер тоже надо защищать = это плохой роутер
4) В Микротике всё сделано в виде
кирпичиков, поэтому результат
может быть каким угодным, это лишь от "мастера" зависит в итоге,
проще говоря - как Вы сами сделаете защиту, такая она и будет.
Не готовы: значит или пользоваться только пре-заводскими настройками,
либо как бы это не звучало грубо - найти другой роутер.
5) Ну и опять же: тут на форуме было много примеров файрвола, поищите темы,
почитайте, соберите эти знания вместе (с учётом Ваших нужд) и примените их.