Настрока FireWall, первые шаги...

[kreotodr]

Добрый день всем!

Первые шаги в сторону Микротика..
Настроил Фаер в основном по консультациям из инета..
1. Подскажите все ли корректно?
2. При такой схеме все закрыто из вне?
3. Нужно ли, то что закомментировал?

Код: Выделить всё

        ############################################################################
        ################    ip firewall filter rules 31/03/2018     ################
        ############################################################################

        
        
/ip firewall filter

### add chain=input protocol=icmp action=accert                                         comment="Allow Ping"
### add chain=forward protocol=icmp action=accept                                       comment="Allow Ping"

add action=accept chain=forward                                                         comment="Accept all established and related connections, forward chain" connection-state=established,related
add action=accept chain=input                                                           comment="Accept all established and related connections, input chain" connection-state=established,related
add action=drop chain=input                                                             comment="Drop invalid connections, input chain" connection-state=invalid in-interface=Wan_Port1
add action=drop chain=forward                                                           comment="Drop invalid connections, forward chain" connection-state=invalid in-interface=Wan_Port1


### Тут разрешаем другие входящие. Цепочка input пропускает/запрещает доступ к службам самого mikrotik
add chain=input src-address=192.168.0.0/24 action=accept                                comment="Access to Mikrotik from my local network"
add chain=input src-address=95.67.86.14 action=accept                                   comment="Access to Mikrotik from my WAN network"
add chain=input src-address=93.183.211.66 action=accept                                 comment="Access to Mikrotik from work network"

### add chain=forward src-address=192.168.0.0/24 in-interface=Wan_Port1 action=accept   comment="Access to Internet from local network"
### add chain=input protocol=udp action=accept                                          comment="Allow UDP"
### add chain=forward protocol=udp action=accept                                        comment="Allow UDP"

### Тут разрешаем другие форварды. Цепочка forward - доступ к серверам внутри сети. цепочка output так же открыта по умолчанию, ее трогать не следует
add chain=forward action=accept protocol=tcp in-interface=Wan_Port1 dst-port=8099       comment="Access to qBitTirent Port:8099"
add chain=forward action=accept protocol=tcp in-interface=Wan_Port1 dst-port=21         comment="Access to FTP Port:21"

add action=drop chain=input                                                             comment="Drop All ports and protocols in input chain by default" in-interface=Wan_Port1
add action=drop chain=forward                                                           comment="Drop All ports and protocols in forward chain by default" in-interface=Wan_Port1

[Chupaka]

Добрый.

Drop invalid можно все подряд инвалидные, не только из WAN.

Адреса в "Access to Mikrotik from" лучше положить в Firewall Address List - тогда останется лишь одно правило, и список сетей будет легко меняться при необходимости.

"Allow Ping" и "Allow UDP" - по сути, при такой структуре правил разрешают инициировать входящие из Интернета подключения по указанным протоколам. Если для WAN используется NAT Masquerade, то для forward, чтобы пакет хотя бы попытался просочиться во внутреннюю сеть, должны быть правила DST-NAT, поэтому лучше/понятнее использовать правило из стандартного дефолтного конфига роутера:

Код: Выделить всё

add action=accept chain=forward connection-nat-state=dstnat in-interface=WAN

Не совсем понятно, почему в Drop All указан in-interface - какую схему правил вы пытались реализовать? Обычно в подобных случаях разрешают то, что надо, а потом дропают всё, а не только из WAN-порта

[kreotodr]

Добрый день спасибо!
Подскажите если дропаем все, то в поле in-interface нужно что то указывать?

На сегодня правила выглядят следующим образом..
Можете подсказать они корректны???

Код: Выделить всё

/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward comment="Accept all established and related connections, forward chain" connection-state=established,related
add action=accept chain=input comment= "Drop invalid connections, input chain 04/04/18 ALL INT!" connection-state=established,related
add action=drop chain=input comment="Drop invalid connections, input chain 04/04/18 ALL INT!" connection-state=invalid log-prefix=DEF_DROP
add action=drop chain=forward comment="Drop invalid connections, forward chain" connection-state=invalid log-prefix=DEF_DROP
add chain=input comment="Access to Winbox from my WAN network Port:57572"  dst-port=57572 in-interface=WAN protocol=tcp src-address=93.183.211.0/24
add chain=input comment="Access to Winbox from my Work network Port:57572" dst-port=57572 in-interface=WAN protocol=tcp src-address=95.67.86.0/24
add action=drop chain=input comment="Drop All ports and protocols in input chain by default 04/04/18 ALL INT!!!" log-prefix=DEF_DROP

/ip firewall nat
add action=dst-nat chain=dstnat comment="Access to Router Asus Port:8443" dst-port=8443 in-interface=WAN log=yes log-prefix=NAT_Router_Asus_WAN protocol=tcp to-addresses=192.168.1.49 to-ports=8443
add action=dst-nat chain=dstnat comment="Access to Router Asus Port:8443" dst-port=8443 in-interface=LAN_Bridge log=yes log-prefix=NAT_Router_Asus_LAN protocol=tcp to-addresses=192.168.1.49 to-ports=8443
add action=dst-nat chain=dstnat comment="**** FTP to 192.168.1.1 ****" dst-port=21 in-interface=WAN log=yes log-prefix=NAT_FTP_WAN protocol=tcp to-addresses=192.168.1.1 to-ports=21
add action=dst-nat chain=dstnat comment="**** FTP to 192.168.1.1 ****" dst-port=21 in-interface=LAN_Bridge log=yes log-prefix=NAT_FTP_LAN protocol=tcp to-addresses=192.168.1.1 to-ports=21
add action=dst-nat chain=dstnat comment="**** qBitTorent to  192.168.1.1 ****" dst-port=8099 in-interface=WAN log=yes log-prefix=NAT_qBitTorent_WAN protocol=tcp to-addresses=192.168.1.1 to-ports=8099
add action=dst-nat chain=dstnat comment="**** qBitTorent to  192.168.1.1 ****" dst-port=8099 in-interface=LAN_Bridge log=yes log-prefix=NAT_qBitTorent_WAN protocol=tcp to-addresses=192.168.1.1 to-ports=8099
add action=masquerade chain=srcnat comment="**** MAIN NAT ****" src-address=192.168.1.0/24

[Chupaka]

Чтобы проверять корректность, надо сначала поставить цель. Сейчас у вас в forward, по сути, ничего не блокируется, всё разрешено (ну, кроме invalid). То ли это, чего вы хотите - вопрос уже к вам...

На будущее, советую разделить настройку input и forward, не мешать всё в кучу, чтобы понятнее было. input - это то, что касается доступа к роутеру (управление и DNS, если он используется). А forward уже - это как пользователи ходят в Интернет и обратно.

[kreotodr]

Цель одна:
Работает интернет, все закрыто на предмет уязвимостей, проникновения, вторжения и тд...
Скажите, можете за денежку все настроить как надо?

[Chupaka]

Увы, не могу, но вопрос ребром к вам: чем дефолтные правила не устраивают? Может, начать с них, а потом уже при необходимости что-то своё добавлять, вроде доступа по WinBox извне?

[kreotodr]

Буду пробовать....