Default firewall config

Не собираюсь отвечать прямо. Пакет сопоставляется с правилами в межсетевом экране (фильтр, raw, nat и т.д.) в порядке сверху (номер 0) вниз. Когда речь идет о фильтре межсетевого экрана, пакет сначала проверяется, чтобы определить правильную цепочку (inout, output или forward). Порядок правил имеет несколько целей: правильное фильтрование... если пакет должен быть отброшен, то правило об отклонении должно быть перед правилом, которое разрешает пакет. Это означает, что более специфичное правило должно находиться выше более общего правила, если их действие не одинаково. производительность... идея состоит в том, чтобы либо принять, либо отклонить пакет как можно скорее. И поэтому выше в списке правил должны быть фильтры, которые применимы к большему числу пакетов. И мы всегда полагаемся на состояние отслеживания соединений. Поэтому правило, о котором вы спрашивали: давайте предположим, что мы отслеживаем все соединения. Состояние пакета может быть новым, установленным, связанным или недействительным. Соединение не может достичь состояния установленного/связанного, не будучи сначала новым, и если мы разрешили соединение, когда оно было новым, мы должны разрешить его, когда оно в состоянии установленного/связанного. И помните, подавляющее большинство пакетов соединения передается, когда оно установлено (TCP-соединение новое только во время начального трехстороннего рукопожатия, которое включает всего 3 пакета, 2 из которых без полезных данных, последний также может быть таким). Так что если мы разместим цитируемое правило наверху, подавляющее большинство пакетов будет сопоставлено лишь с одним правилом. Если бы им пришлось проходить через множество правил, отклоняющих определенные пакеты, процессору маршрутизатора пришлось бы работать намного больше.

в модифицированной последней строке вы блокируете устройство, и не можете настроить его снова без полного сброса, но оно отвечает на пинг

По умолчанию есть правила, и затем о том, как получить более адаптированное правило, которое гарантирует, что только АДМИН имеет полный доступ к маршрутизатору в цепи ввода, и только трафик, разрешенный админом, обслуживается в цепи пересылки. DEFAULT /ip firewall filter add action=accept chain=input connection-state=established,related,untracked add action=drop chain=forward comment=“defconf: drop invalid” connection-state=invalid add action=accept chain=input protocol=icmp add action=drop chain=input in-interface-list=!LAN ++++++++++++++++++++++++++++++++++++++++++++++++++++ add action=accept chain=forward comment=“defconf: accept in ipsec policy” ipsec-policy=in,ipsec add action=accept chain=forward comment=“defconf: accept out ipsec policy” ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment=“defconf: fasttrack” connection-state=established,related add action=accept chain=forward comment=“defconf: accept established,related, untracked” connection-state=established,related,untracked add action=drop chain=forward comment=“defconf: drop invalid” connection-state=invalid add action=drop chain=forward comment=“defconf: drop all from WAN not DSTNATed” connection-nat-state=!dstnat connection-state=new in-interface-list=WAN Посмотрите на это, чтобы понять, что вы хотите сделать. Правила INPUT касаются трафика к маршрутизатору и от него. Правила FORWARD относятся к трафику через маршрутизатор (WAN к LAN, LAN к WAN, LAN к LAN). Правила OUTPUT редко используются. Правила NAT обычно применяются для перенаправления портов (dst nat) и назначения публичных IP на частные IP перед выходом (src nat), однако в языке MT их можно использовать в различных ситуациях. IP маршруты используются для определения исходящего пути пакетов. Вот моя минималистичная, но безопасная настройка. (1) Идея заключается в том, чтобы перейти от стандартной настройки (которая безопасна, но не целевая) и имеет концепцию разрешения всего и блокировки того, что вам не нужно, к тому, что предыдущий автор и большинство тех, кто предпочитает изменить параметры, чтобы БЛОКИРОВАТЬ ВСЕ по умолчанию, а затем указать, что разрешено. (2) Правильно, что цель в цепи ввода, для безопасности, состоит в том, чтобы только администратору был предоставлен доступ к маршрутизатору, но пользователи/устройства могут нуждаться в некоторых услугах, обычно DNS. (3) Для защиты VLAN от VLAN и любого трафика к и от LAN правила брандмауэра в цепи пересылки вступают в силу. Тот же принцип, что и выше, применяется, модифицируя стандартные правила в концепцию блокировки всего, кроме того, что вы хотите разрешить. Все правила выше линии +++++ это стандартные, которые мы хотим сохранить, а ниже — это те, которые добавляет администратор. ПРИМЕЧАНИЕ: В цепи ввода не следует добавлять ПОСЛЕДНЕЕ ПРАВИЛО — правило DROP, пока не будет установлено правило разрешения доступа для администратора, иначе можно заблокироваться! ИЗМЕНЕНИЕ ip firewall filter {цепь ввода} add action=accept chain=input comment= “defconf: accept established,related,untracked” connection-state=established,related,untracked add action=drop chain=input comment=“defconf: drop invalid” connection-state=invalid add action=accept chain=input comment=“defconf: accept ICMP” protocol=icmp +++++++++++++++++++++++++++++++++++++++++++++++++++++++++ add action=accept chain=input comment=“Разрешить АДМИНИСТРАТОРУ доступ к маршрутизатору” = in-interface-list=MGMT src-address-list=adminaccess add action=accept chain=input comment=“Разрешить запросы DNS от LAN - TCP” connection-state=new dst-port=53 in-interface-list=LAN protocol=tcp add action=accept chain=input comment=“Разрешить запросы DNS от LAN - UDP” connection-state=new dst-port=53 in-interface-list=LAN protocol=udp add action=drop chain=input comment=“Блокировать все остальное” … {цепь пересылки} add action=accept chain=forward comment=“defconf: accept in ipsec policy” ipsec-policy=in,ipsec add action=accept chain=forward comment=“defconf: accept out ipsec policy” ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment=“defconf: fasttrack” connection-state=established,related add action=accept chain=forward comment=“defconf: accept established,related, untracked” connection-state=established,related,untracked add action=drop chain=forward comment=“defconf: drop invalid” connection-state=invalid +++++++++++++++++++++++++++++++++++++++++++++++++++++++++ add action=accept chain=forward comment=“разрешить трафик LAN к WAN” in-interface-list=LAN out-interface-list=WAN add action=accept chain=forward comment=“Разрешить перенаправление портов” \ {отключите, когда не нужно} connection-nat-state=dstnat add action=drop chain=forward comment=“блокировать все остальное” (4) Правило цепи ввода, требующее списка адресов брандмауэра для доступа администратора, обеспечивает доступ только для IP-адресов LAN, которые идентифицированы к маршрутизатору (через winbox, например). Обычно вы устанавливаете свои IP-адреса через аренду DHCP на маршрутизаторе как статические, фиксированные IP. /ip firewall address-list add address=ip_admin-desktop list=adminaccess add address=ip_admin-laptop list=adminaccess add address=ip_admin-smartphone list=adminaccess (5) Другая часть этого правила, как вы могли заметить, является interface-list=MGMT. Обычно это сценарий. /interface list add comment=defconf name=WAN add comment=defconf name=LAN add name=MGMT (по желанию) add name=VlansWith-Internet (по желанию, но если вы не позволяете всем VLAN выходить в интернет, это обеспечивает простой способ настройки) /interface list member add comment=defconf interface=Ether1 list=WAN add interface=bridge list=LAN add interface=vlan10 list=MGMT (это определяет управляемую LAN, обычно это домашняя LAN, на которой находится администратор) +++++++++++++++++++++++++++++++++++++ add interface=ether5 list=LAN (если у вас есть аварийный порт доступа на маршрутизаторе, чтобы получить к нему доступ для настройки на случай, если мост или основная LAN выйдет из строя) add interface=ether5 list=MGMT (чтобы можно было получить доступ к маршрутизатору из аварийного доступа для настройки) (6) Можете угадать, где еще мы используем MGMT? Правильно. Посмотрите на TOOLS MACSERVER. Установите WINBOX- MAC сервер interface=MGMT. (7) Перейдите в IP Services и отключите все службы, кроме WINBOX и, возможно, SSH в качестве резервного варианта a. измените порт по умолчанию на что-то другое, но запишите это! b. в Available from укажите подсети выше, которые применимы (подсеть vlan10 и подсеть ether5) (8) Перейдите в SYSTEM USERS и для логинов, разрешенных для доступа к winbox, укажите те же подсети, что и в пункте b. Таким образом, в итоге вы ограничите доступ к маршрутизатору (для целей настройки) правилами входа (имя пользователя и пароль и подсети) через доступ winbox (номер порта и подсети) через правила брандмауэра, которые ограничивают доступ к серверу winbox через правила брандмауэра, которые ограничивают доступ по подсетям и IP-адресам. Я бы предпочел управлять крысами, чем программным обеспечением. Следуйте моему совету на свой страх и риск! (Sob & mkx заставили меня это написать!)

Кевин, твои правила файрвола ужасные и совершенно не безопасные. Очевидно, что ты пока недостаточно разбираешься в конфигурациях MT, чтобы вникать в сложные моменты… Тебе было бы гораздо лучше и безопаснее придерживаться стандартных правил и задуматься, нужно ли тебе что-то ещё. Просто потому что YouTube или любой другой источник говорит, что тебе нужно всё это дополнительное, для домашнего использования это просто не требуется.

Хорошо, я вижу в другой теме, что ты на самом деле предоставляешь PPPOE ISP-аккаунты на всех своих etherports, так что это больше, чем просто простое вторжение в дом. Я перейду в другую тему для дальнейшего обсуждения. http://forum.mikrotik.com/t/after-applied-filter-rule-internet-connect-not-stable/149412/1

Здравствуйте, извините, что поднимаю этот вопрос, но почему разрешать untracked? По умолчанию фаервол ROS из скрипта установки без untracked! Почему вы поставили галочку “untracked”? Я использую это: /ip firewall filter add action=accept chain=input comment="default: accept established,related" connection-state=established,related add action=accept chain=forward comment="default: accept established,related" connection-state=established,related С наилучшими пожеланиями, Борис.

Да!