+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

правила файервола...

правила файервола..., RouterOS

mikrotikker

Guest

08.03.2015 21:06:00

Здравствуйте, у меня есть несколько вопросов: В моих роутерах на OpenWrt по умолчанию около 20 правил для защиты портов WAN/LAN. В большинстве туториалов по mikrotik я видел, что нужно всего несколько правил (см. приложенный набор правил). В OpenWrt некорректные пакеты нужно фильтровать отдельно — как это реализовано в наборах правил mikrotik? Что насчёт этих правил?
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
Автоматически ли такие правила добавляются на роутерах mikrotik в фоне? Я хочу настроить роутер, который сможет ограничивать соединения из внутренней сети во внешний мир или DMZ. Где можно найти примеры?
С уважением!

mikrotikker

Guest

26.03.2015 16:41:00

Хорошо, фрагментированные пакеты можно фильтровать — смотри выше. А как насчёт других недопустимых пакетов? Как их можно фильтровать? Как реализовать защиту от SYN-флудов? Как сделать защиту типа «fail2ban» — чтобы блокировать IP на некоторое время, как это делает fail2ban?

ZeroByte

Guest

26.03.2015 20:59:00

Первый комментарий: Просто отбрасывать все фрагменты — плохая практика. Вы скорее сломаете нормальную работу, чем защитите mikrotik от «сплойта». (Представьте себе сайт, который позволяет фрагментацию пакетов и находится за каналом с низким MTU в интернете. Вы просто не сможете им пользоваться.) Второй комментарий: Если хотите заниматься детальной проверкой подписей атак, стоит поднять snort-сервер и связать его с API для добавления злонамеренных источников в черный список, а правила фаервола при этом сделать простыми. Однако, если хотите просто автоматически блокировать хосты, которые сканируют порты... Поведение Fail2ban: Создайте два списка IP-адресов: unbannable и blacklist. Список unbannable — это хосты, которые никогда не должны блокироваться автоматически. Если кто-то поймёт, что у вас есть такая fail2ban-система, он может начать шлёпать поддельные пакеты “от” важных сайтов (скажем, ваших DNS-серверов) на случайные порты, чтобы ваш правило забанило именно эти DNS-серверы. (Ужас!) blacklist — очевидно. Сделайте эти правила первыми в соответствующих фильтрах:

chain=input src-address-list=blacklist action=drop
chain=output dst-address-list=blacklist action=drop
chain=forward dst-address-list=blacklist action=drop
chain=forward src-address-list=blacklist action=drop

Если решите ставить snort-сервер, на этом остановитесь и настройте способ, чтобы snort мог добавлять адреса в blacklist. (unbannable в этом случае ничего не даст, можно удалить) А теперь главное — после правила “accept connection-state=established,related” во входящей цепочке добавьте такие правила:

action=accept in-interface=!wan
action=jump jump-target=allowed-services connection-state=new limit=10,5
action=drop connection-state=invalid limit=5,2
action=drop src-address-list=unbannable
action=add-src-to-address-list address-list=blacklist log=yes log-prefix="blacklisting new host:"
action=drop

Обратите внимание на правило jump — оно переводит в новую цепочку “allowed-services”. Это цепочка правил для портов, на которых хотите открывать сервисы (если таковые есть). Последнее правило в этой цепочке — просто “drop все”. Пример цепочки allowed-services:

action=accept chain=allowed-services protocol=tcp dst-port=80,443,8080,10000-11000
action=accept chain=allowed-services protocol=tcp dst-port=25 src-address-list=spamfilters
action=accept chain=allowed-services protocol=udp dst-port=53 src-address=1.2.3.4
...
action=drop chain=allowed-services

Syn-флуды: Есть опция, которая по умолчанию выключена, называется syncookies — стоит почитать про неё и понять, подходит ли она вам. Честно говоря, я бы не углублялся так сильно в правила обработки пакетов.

mikrotikker Guest	#4 0 07.04.2015 17:08:00 Я снова тут. Как реализовать это правило на Mikrotik webif? iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP

ZeroByte Guest	#5 0 07.04.2015 17:36:00 chain=input in-interface=ether1 protocol=tcp connection-state=new tcp-flags=!syn (в Winbox это в разделе Дополнительно, в TCP flags выберите syn и отметьте галочкой !) action=drop

mark1234

Guest

08.04.2015 07:11:00

Это классная тема для таких новичков, как я! У меня вопрос по перенаправлению портов.

1) WAN (ether5) <==> DMZ (ether7) порт 80 ==> веб-сервер 172.10.1.5 порт 1024:65535 <== назад к запросившему — порт 80 должен быть перенаправлен с ether5 на ether7, валидный HTTP-запрос должен обрабатываться правилом NAT (ether7 обратно к запросившему).

2) LAN (ether4) <==> WAN (ether5) порт 8080 ==> proxy-ip порт 1024:65535 <== proxy-ip — клиентам в LAN разрешено использовать прокси; прокси должен маршрутизировать запрошенные пакеты обратно клиентам (это происходит через правило NAT с LAN).

Какие правила мне нужны?

3) Было бы здорово получить набор правил с базовыми настройками для защиты роутера MikroTik. Стандартные правила от MikroTik (ether1=wan) слишком скудные и небезопасные. Можно ли найти такие базовые наборы правил на этом форуме?

4) В логах видел исходящие UDP-пакеты на порт 5678 (neighbor discovery) — ссылался на эту тему: http://forum.mikrotik.com/t/port-5678-udp/17211/1. Когда я отключил это на портах LAN, заметил, что neighbor discovery по умолчанию отключён на ether1 (стандартный WAN-порт). Я использую ether5 как WAN — есть ли ещё подобные «скрытые» настройки, которые стоит отключать, если используешь другой порт, отличный от ether1, как WAN?

Markus

ZeroByte

Guest

10.04.2015 22:47:00

Когда речь заходит о NAT-переадресации портов, указывать обратный путь не нужно. Любая транслция, которая происходит, будет записана в таблицу в оперативной памяти. Пакеты проверяются именно по этой таблице перед тем, как попасть в цепочку — так быстрее. Поэтому достаточно сделать правило типа: in-interface=ether5 protocol=tcp dst-port=80 action=dst-nat to-addresses={внутренний IP веб-сервера}. Не волнуйтесь насчет интерфейса выхода.

Если прокси явно настроен в браузерах, то NAT-правила не нужны.

Если хотите перенаправлять пользователей на прокси: chain=dstnat in-interface=!ether4 protocol=tcp dst-ports=80 action=dst-nat to-addresses={веб-прокси} to-ports=8080

Обязательно поставьте это правило после правила «прозрачного» доступа к веб-серверу, потому что оба срабатывают на dst-port 80, но правило для прокси говорит «не ether4» — ether5 тоже подходит под !ether4, так что убедитесь, что сначала проверяется нужное правило.

onlineuser

Guest

21.10.2015 07:59:00

В чем разница между вашим предложением и способом настройки правила назначения NAT, как на этом примере? natdst.png

Еще один вопрос: почему невозможно задать входящий интерфейс для NAT? nat.png

Когда я хочу разрешить использовать NAT только для ether1 и ether2, я не могу это настроить. nat2.png

loveman Guest	#9 0 21.10.2015 16:40:00 Dstnat работает без указания интерфейса, а вот srcnat без интерфейса не работает — такова суть NAT.

ZeroByte Guest	#10 0 23.03.2015 21:47:00 Ты точно прав насчёт цепочек правил файрвола. Вот почему хорошо создавать свои цепочки и организовывать правила именно так — к тому же, это повышает производительность. Можно сделать одно правило «in-interface=LAN», которое ссылается на сложную цепочку с названием LANPOLICY. Если пакет не пришёл с LAN, то не нужно бессмысленно проверять 25 правил — ведь это будут 25 безуспешных попыток. Если хочешь отладить пакеты, которые начинаются с LAN, выставь просмотр только на LANPOLICY и пусть начинается отладка! Кстати, у меня есть правило, разрешающее DHCPv6 на интерфейсе WAN в ipv6 файрволе — но срабатывает оно совсем редко. Думаю, это и не совсем обязательно — я сделал к нему комментарий с сегодняшней датой и счётчиками… будет интересно посмотреть, изменится ли что-то, если больше не будет совпадений с этим правилом.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры