Страница 1 из 1

Re: Настройка firewall Mikrotik, оптимизация правил файрволла.

Добавлено: 27 фев 2019, 20:53
r136a8
Chupaka писал(а): 27 фев 2019, 16:02 Очень простым: запретить внешние запросы.
На всякий слуйчай, а как запредить внешние запросы?
Chupaka писал(а): 27 фев 2019, 16:02 В остальных случаях надо искать допустимый баланс между открытостью и защищённостью. Поэтому надо формулировать требования: от чего защищаемся?
Думаю я Вас Понял!
Тяжело формулировать требования: от чего защищаемся так не знаю что и кто может постучатся. Вы как специалист/профессионал в своей области как считаете, что у меня именно та самая «золотая середина» где firewall сбалансирован?

Спасибо.

Re: Настройка firewall Mikrotik, оптимизация правил файрволла.

Добавлено: 27 фев 2019, 21:10
Chupaka
Чтобы запретить внешние запросы, выключите правила DST-NAT.

Я вообще для домашних роутеров не вижу особого смысла превентивно что-то защищать, если что-то прокинуто. Если есть проблема — надо её решать, а навешивать правила заранее — это расходовать ценные ресурсы процессора, с большего :)

Re: Настройка firewall Mikrotik, оптимизация правил файрволла.

Добавлено: 28 июн 2019, 02:13
r136a8
Добрый день. Нашел вот такую статью о лженастройках и ошибках при настройке файрвола и как я понял я также вхожу в этот круг конечно. Как я понял поя настройка относительно BOGON сетей не правильная?
http://mikrotik.vetriks.ru/wiki/%D0%9C% ... 0%BB%D0%B0
Помогите пожалуста правильно настроить свой firewall, порты как я понимаю у меня закрыты. Нужен запрет доступ к локальной чети из интернета.
Можно ли вовсе запретить сканирование портов для всех и нужно ли?


Вот что я имею сейчас:

Код: Выделить всё

/ip firewall filter
add action=reject chain=forward comment=\
    "No packet walking between the bridges" disabled=yes in-interface=\
    bridge1-NET-V out-interface=bridge2-NET-E reject-with=\
    icmp-network-unreachable
add action=reject chain=forward disabled=yes in-interface=bridge2-NET-E \
    out-interface=bridge1-NET-V reject-with=icmp-network-unreachable
add action=drop chain=forward comment=Huawei connection-mark="" src-address=\
    192.168.6.23
add action=drop chain=input comment="Drop access to DNS from WAN" dst-port=53 \
    in-interface-list=WANs protocol=tcp
add action=drop chain=input dst-port=53 in-interface-list=WANs protocol=udp
add action=accept chain=forward comment=\
    "Forward and Input Established and Related connections" connection-state=\
    established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment="Procet LAN Network" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WANs \
    log=yes
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=add-src-to-address-list address-list=ddos-blacklist \
    address-list-timeout=1d chain=input comment=\
    "DDoS Protect - Connection Limit" connection-limit=100,32 \
    in-interface-list=WANs protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp \
    src-address-list=ddos-blacklist
add action=jump chain=forward comment="DDoS Protect - SYN Flood" \
    connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=WANs \
    jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet \
    protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
    tcp-flags=syn
add action=drop chain=input comment="Protected - Ports Scanners" \
    src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" \
    address-list-timeout=none-dynamic chain=input in-interface-list=WANs log=\
    yes protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="1.5. Protected - WinBox Access" \
    src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List Winbox" \
    address-list-timeout=none-dynamic chain=input connection-state=new \
    dst-port=38391 in-interface-list=WANs log=yes log-prefix="BLACK WINBOX" \
    protocol=tcp src-address-list="Winbox Stage 3"
add action=add-src-to-address-list address-list="Winbox Stage 3" \
    address-list-timeout=1m chain=input connection-state=new dst-port=38391 \
    in-interface-list=WANs protocol=tcp src-address-list="Winbox Stage 2"
add action=add-src-to-address-list address-list="Winbox Stage 2" \
    address-list-timeout=1m chain=input connection-state=new dst-port=38391 \
    in-interface-list=WANs protocol=tcp src-address-list="Winbox Stage 1"
add action=add-src-to-address-list address-list="Winbox Stage 1" \
    address-list-timeout=1m chain=input connection-state=new dst-port=38391 \
    in-interface-list=WANs protocol=tcp
add action=accept chain=input dst-port=38391 in-interface-list=WANs protocol=\
    tcp
add action=accept chain=input comment="Access Normal Ping" in-interface-list=\
    WANs limit=50/5s,2:packet protocol=icmp
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WANs
add action=drop chain=input comment=Bogon_Wan_Drop in-interface-list=WANs \
    src-address-list=BOGONS
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface-list=WANs
http://www.fotolink.su/v.php?id=69d8f00 ... df8a81d0f9

Re: Настройка firewall Mikrotik, оптимизация правил файрволла.

Добавлено: 28 июн 2019, 12:14
Chupaka
Добрый.

Ну, статья неплохая, прочитал пока верхушку - вроде посылы толковые. Единственное, аргументация местами ошибочная (например, в блоке про BOGON правило с connection-state=invalid не будет и не должно ловить ICMP-трафик с echo-ответами, invalid - это про пакеты, которых Connection Tracking не понимает; он не лезет настолько глубоко внутрь ICMP, например).
r136a8 писал(а): 28 июн 2019, 02:13 Помогите пожалуста правильно настроить свой firewall
Если сами не можете разобрать свой конфиг - хорошей рекомендацией будет взять дефолтные правила (после сброса конфига) и добавить в них то, что вам нужно. А то у вас вон даже два правила про "chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=WANs action=drop" в разных местах конфига - видимо, собирали не из одной инструкции :)
r136a8 писал(а): 28 июн 2019, 02:13 Можно ли вовсе запретить сканирование портов для всех и нужно ли?
Слегка философский вопрос... А от чего защищаемся? :)