маленький вопрос о Фаерволе

[kreotodr]

Добрый день форумчане!
Просьба не пинать, если мой вопрос покажется кому-то крайне глупым, и тем более не считать мой пост попыткой какого либо троллинга...

Итак, еще раз о Фаерволе

Блок всех правил INPUT у меня заканчивается тремя правилами:

Код: Выделить всё

(1) add action=drop chain=input  			in-interface=WAN	connection-state=invalid 
(2) add action=drop chain=input  dst-port=1-65535	in-interface=WAN	protocol=tcp
(3) add action=drop chain=input  dst-port=1-65535	in-interface=WAN	protocol=udp

Которые, по своей сути, должны закрыть все входящие.
Интереса ради добавил четвертое правило

Код: Выделить всё

(4) add action=drop chain=input  			in-interface=WAN 

И что самое интересное, сегодня утром увидел, что в него тоже попадаю пакеты: в моем случае:
PROTO2 95.67.86.1-->224.0.0.1 Понятно откуда, но не понятно куда идут эти пакеты???

Отсюда Вопрос, корректно ли в самом конце ставить запрещающее правило на все входящие в WAN, без указания портов и протоколов?

[Chupaka]

Доброго.

Что значит - непонятно куда? На 224.0.0.1, мультикастовый адрес "все узлы в сегменте"

Да, блокировать лишь избранные протоколы с избранным диапазоном портов - так себе идея, если хочется и есть возможность заблокировать всё

[wan]

Хорошего дня.
Как и сказали выше по протоколам отдельно блокировать лишнее, еще не стоит забывать о пакетах на порт=0.
Уберите правила 2 и 3, полагаю они лишние, если я не прав прошу Chupaka поправить меня

[kreotodr]

Несколько дней наблюдения...
Полет нормальный.
Все таки остановился на блокировке всего по INPUT, и OUTPUT. Потребовалось прописать правда четыре правила, для доверенных.

В целом, по теме. услышал два мнения:
Первое - это за штампованный хай на тему, "...вы что умнее разработчиков"
Второе - что это единственно правильное решение. Кроме того на ряде форумов, нашел советы (в свете, выявленных, мартовских уязвимостей), что это наиболее корректный вариант реализации закрытого Фаервола..

[wan]

Несколько дней наблюдения...
Полет нормальный.
Все таки остановился на блокировке всего по INPUT, и OUTPUT. Потребовалось прописать правда четыре правила, для доверенных.

В целом, по теме. услышал два мнения:
Первое - это за штампованный хай на тему, "...вы что умнее разработчиков"
Второе - что это единственно правильное решение. Кроме того на ряде форумов, нашел советы (в свете, выявленных, мартовских уязвимостей), что это наиболее корректный вариант реализации закрытого Фаервола..

Добрый день.
Могу предложить еще посмотреть настройки, которые устраивают меня для домашнего использования. Бралось на официальном форуме, немного модифицировалось и подстраивалось под себя.

Код: Выделить всё

# jun/21/2018 11:00:47 by RouterOS 6.42.4

/ip firewall filter

add action=log chain=input disabled=yes
add action=log chain=input disabled=yes
add action=jump chain=input comment="Check for bad stuff in \"Attack\" chain" \
    jump-target=Attacks
add action=drop chain=input comment="Drop DNS request FROM WAN" dst-port=53 \
    in-interface=ether1-WAN protocol=udp
add action=accept chain=input comment="defconf: accept ICMP" icmp-options=8:0 \
    protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="defconf: IGMP ip-TV" dst-port=1234 \
    protocol=udp
add action=accept chain=input comment="defconf: allow all from LAN" \
    connection-state=new in-interface-list=!WAN
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface=\
    ether1-WAN
add action=log chain=forward disabled=yes
add action=log chain=forward disabled=yes
add action=jump chain=forward comment=\
    "Check for bad stuff in \"Attack\" chain" jump-target=Attacks
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward comment="defconf: IGMP ip-TV" dst-port=1234 \
    protocol=udp
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface=\
    ether1-WAN
add action=log chain=Attacks disabled=yes
add action=log chain=Attacks disabled=yes
add action=drop chain=Attacks comment="Drop invalid connection" \
    connection-state=invalid
add action=add-dst-to-address-list address-list=connection-limit \
    address-list-timeout=1d chain=Attacks comment=Connection_limit \
    connection-limit=300,32 in-interface=ether1-WAN protocol=tcp
add action=drop chain=Attacks comment=Adr_list_connection-limit_drop log=yes \
    log-prefix="connection-limit::: " src-address-list=connection-limit
add action=drop chain=Attacks comment="Drop connections FROM BOGON network" \
    in-interface=ether1-WAN src-address-list=BOGON
add action=drop chain=Attacks comment=\
    "Drop connections FROM Hackers spam site" src-address-list=Hackers
add action=drop chain=Attacks comment="Drop connections TO Hackers spam site" \
    dst-address-list=Hackers
add action=drop chain=Attacks comment=Port_scanner_drop log=yes log-prefix=\
    NMAP::: src-address-list="port scanners"
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface-list=WAN protocol=tcp \
    psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface-list=WAN protocol=tcp \
    tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface-list=WAN protocol=tcp \
    tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface-list=WAN protocol=tcp \
    tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface-list=WAN protocol=tcp \
    tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface-list=WAN protocol=tcp \
    tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface-list=WAN protocol=tcp \
    tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=!fin,!syn,!rst,!ack
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=fin,syn
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=fin,rst
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=fin,!ack
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=fin,urg
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=syn,rst
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=rst,urg
add action=drop chain=Attacks comment="Invalid TCP source port (0)" protocol=\
    tcp src-port=0
add action=drop chain=Attacks comment="Invalid TCP destination port (0)" \
    dst-port=0 protocol=tcp
add action=drop chain=Attacks comment="Invalid UDP source port (0)" protocol=\
    udp src-port=0
add action=drop chain=Attacks comment="Invalid UDP destination port (0)" \
    dst-port=0 protocol=udp
add action=return chain=Attacks comment="Return to the chain that jumped"

/ip firewall address-list
add address=172.16.0.0/12 list=PrivateIPs
add address=192.168.0.0/16 list=PrivateIPs
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
add address=216.218.128.0/17 list=Hackers
add address=111.0.0.0/10 list=Hackers
add address=172.16.0.0/12 disabled=yes list=BOGON
add address=10.0.0.0/8 list=PrivateIPs
add address=204.93.128.0/17 list=Hackers
add address=123.184.0.0/14 list=Hackers
add address=223.96.0.0/12 list=Hackers
add address=60.0.0.0/8 list=Hackers
add address=113.96.0.0/12 list=Hackers
add address=104.152.52.0/22 list=Hackers

add address=172.16.0.0/12 disabled=yes list=BOGON -- это отключено для прохождения IPTV

[kreotodr]

Несколько дней наблюдения...
Полет нормальный.
Все таки остановился на блокировке всего по INPUT, и OUTPUT. Потребовалось прописать правда четыре правила, для доверенных.

В целом, по теме. услышал два мнения:
Первое - это за штампованный хай на тему, "...вы что умнее разработчиков"
Второе - что это единственно правильное решение. Кроме того на ряде форумов, нашел советы (в свете, выявленных, мартовских уязвимостей), что это наиболее корректный вариант реализации закрытого Фаервола..

Добрый день.
Могу предложить еще посмотреть настройки, которые устраивают меня для домашнего использования. Бралось на официальном форуме, немного модифицировалось и подстраивалось под себя.

Код: Выделить всё

# jun/21/2018 11:00:47 by RouterOS 6.42.4

/ip firewall filter

add action=log chain=input disabled=yes
add action=log chain=input disabled=yes
add action=jump chain=input comment="Check for bad stuff in \"Attack\" chain" \
    jump-target=Attacks
add action=drop chain=input comment="Drop DNS request FROM WAN" dst-port=53 \
    in-interface=ether1-WAN protocol=udp
add action=accept chain=input comment="defconf: accept ICMP" icmp-options=8:0 \
    protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="defconf: IGMP ip-TV" dst-port=1234 \
    protocol=udp
add action=accept chain=input comment="defconf: allow all from LAN" \
    connection-state=new in-interface-list=!WAN
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface=\
    ether1-WAN
add action=log chain=forward disabled=yes
add action=log chain=forward disabled=yes
add action=jump chain=forward comment=\
    "Check for bad stuff in \"Attack\" chain" jump-target=Attacks
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=accept chain=forward comment="defconf: IGMP ip-TV" dst-port=1234 \
    protocol=udp
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface=\
    ether1-WAN
add action=log chain=Attacks disabled=yes
add action=log chain=Attacks disabled=yes
add action=drop chain=Attacks comment="Drop invalid connection" \
    connection-state=invalid
add action=add-dst-to-address-list address-list=connection-limit \
    address-list-timeout=1d chain=Attacks comment=Connection_limit \
    connection-limit=300,32 in-interface=ether1-WAN protocol=tcp
add action=drop chain=Attacks comment=Adr_list_connection-limit_drop log=yes \
    log-prefix="connection-limit::: " src-address-list=connection-limit
add action=drop chain=Attacks comment="Drop connections FROM BOGON network" \
    in-interface=ether1-WAN src-address-list=BOGON
add action=drop chain=Attacks comment=\
    "Drop connections FROM Hackers spam site" src-address-list=Hackers
add action=drop chain=Attacks comment="Drop connections TO Hackers spam site" \
    dst-address-list=Hackers
add action=drop chain=Attacks comment=Port_scanner_drop log=yes log-prefix=\
    NMAP::: src-address-list="port scanners"
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface-list=WAN protocol=tcp \
    psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface-list=WAN protocol=tcp \
    tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface-list=WAN protocol=tcp \
    tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface-list=WAN protocol=tcp \
    tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface-list=WAN protocol=tcp \
    tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface-list=WAN protocol=tcp \
    tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=Attacks in-interface-list=WAN protocol=tcp \
    tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=!fin,!syn,!rst,!ack
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=fin,syn
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=fin,rst
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=fin,!ack
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=fin,urg
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=syn,rst
add action=drop chain=Attacks comment="Invalid TCP flag combo" protocol=tcp \
    tcp-flags=rst,urg
add action=drop chain=Attacks comment="Invalid TCP source port (0)" protocol=\
    tcp src-port=0
add action=drop chain=Attacks comment="Invalid TCP destination port (0)" \
    dst-port=0 protocol=tcp
add action=drop chain=Attacks comment="Invalid UDP source port (0)" protocol=\
    udp src-port=0
add action=drop chain=Attacks comment="Invalid UDP destination port (0)" \
    dst-port=0 protocol=udp
add action=return chain=Attacks comment="Return to the chain that jumped"

/ip firewall address-list
add address=172.16.0.0/12 list=PrivateIPs
add address=192.168.0.0/16 list=PrivateIPs
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
add address=216.218.128.0/17 list=Hackers
add address=111.0.0.0/10 list=Hackers
add address=172.16.0.0/12 disabled=yes list=BOGON
add address=10.0.0.0/8 list=PrivateIPs
add address=204.93.128.0/17 list=Hackers
add address=123.184.0.0/14 list=Hackers
add address=223.96.0.0/12 list=Hackers
add address=60.0.0.0/8 list=Hackers
add address=113.96.0.0/12 list=Hackers
add address=104.152.52.0/22 list=Hackers

add address=172.16.0.0/12 disabled=yes list=BOGON -- это отключено для прохождения IPTV

Добрый день!
Подскажите откуда DROP LIST Hackers?

[wan]

Это персональные листы, сам добавляю.
Частенько пытаются сканировать порты сразу с большого диапазона одной подсети, китайцы в основном. Просто добавляю такую сеть в Hackers и забываю на будущее о них.

[kreotodr]

Спасибо за инфу..
У меня +- тоже...
Только блокирую весь китайский регион...

Код: Выделить всё

http://www.iwik.org/ipcountry/mikrotik/HK
https://www.artlebedev.ru/country-list/

На вход и транзитный в обе стороны...
Самое банальное что на Китайский ДРОП, приходится примерно 50% всего дропа)))

Блокирую также всех "любителей" портов 23,53,80,123,443,445,1723,3389,4500,5060,7547,8080,8291. За несколько месяцев более 1700 адресов попало в ловушку, из них 80% на 23, 5060, 3389, 7547, 8291

Кстати Вы у себя пинги разрешаете? Слышал два мнения. Большинство склоняется, что не велика беда если будут запрещены..
Последние прошивки ASUSов, рекомендую в целях безопасности отключать ПИНГИ....

[wan]

это домашняя железка, да и разрешен только Echo request
это не страшно

по поводу ваших портов выше - у меня тоже так было раньше, это все решается проверкой на скан портов(в принципе тоже самое)

[Chupaka]

Кстати Вы у себя пинги разрешаете? Слышал два мнения. Большинство склоняется, что не велика беда если будут запрещены..
Последние прошивки ASUSов, рекомендую в целях безопасности отключать ПИНГИ....

Не велика беда, если пинги будут запрещены. Но как правило после таких теоретических рассуждений фантазия человеческая начинает бурлить, и вместо запрета пингов блокирует вообще весь icmp целиком - а вот из-за этого могут вылезти неожиданности всякие

https://blog.securityevaluators.com/icm ... 0413e56030

[kreotodr]

Коллеги всем спасибо за помощь...
Все вопросы сняты...