+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Мой файрвол настроен нормально?

Мой файрвол настроен нормально?, RouterOS

MT7

Guest

15.12.2013 13:07:00

FILTER 0 ;;; IPTV igmp chain=input action=accept protocol=igmp src-address=10.0.0.0/8 dst-address=224.0.0.0/4 in-interface=ether2 1 ;;; IPTV udp chain=input action=accept protocol=udp src-address=10.0.0.0/8 dst-address=224.0.0.0/4 in-interface=ether2 2 ;;; LAN и защита роутера от WAN chain=input action=drop in-interface=!ether7 NAT 0 chain=srcnat action=masquerade src-address=192.168.1.0/29 dst-address=0.0.0.0/0

Я настроил статический WAN-адрес на интерфейсе ether2 и NAT с DHCP-сервером на интерфейсе ether7. Вроде бы все работает нормально, но, может, что-то забыл добавить?

MT7 Guest	#2 0 16.12.2013 14:38:00 Можете, пожалуйста, прокомментировать конфиг выше? Главная цель — просто обеспечить интернет и IPTV на компьютере в локальной сети.

bingo220

Guest

16.12.2013 17:35:00

Думаю, минимальная защита должна выглядеть так: /ip firewall filter
add chain=input protocol=icmp action=accept comment=”Allow Ping”
add chain=forward protocol=icmp action=accept
add chain=input connection-state=established action=accept comment=”Accept established connections”
add chain=forward connection-state=established action=accept
add chain=input connection-state=related action=accept comment=”Accept related connections”
add chain=forward connection-state=related action=accept
add chain=input connection-state=invalid action=drop comment=”Drop invalid connections”
add chain=forward connection-state=invalid action=drop
add chain=input protocol=udp action=accept comment=”Allow UDP”
add chain=forward protocol=udp action=accept
add chain=forward src-address=192.168.1.0/29 in-interface=ether7 action=accept comment=”Access to Internet from local network”
add chain=input src-address=192.168.1.0/29 action=accept comment=”Access to Mikrotik only from our local network”
add chain=input action=drop comment=”All other drop”
add chain=forward action=drop

MT7

Guest

16.12.2013 19:18:00

Добавил цепочку chain=input, протокол=icmp, действие=accept, комментарий="Разрешить Ping".
Добавил цепочку chain=forward, протокол=icmp, действие=accept. Мне не нужен icmp, инициированный из WAN.
Добавил цепочку chain=input, состояние соединения=established, действие=accept, комментарий="Разрешить установленные соединения".
Добавил цепочку chain=forward, состояние соединения=established, действие=accept.
Добавил цепочку chain=input, состояние соединения=related, действие=accept, комментарий="Разрешить связанные соединения".
Добавил цепочку chain=forward, состояние соединения=related, действие=accept. Как я понимаю, в моей конфигурации соединения, инициированные из WAN, не разрешены, так что нет смысла разрешать и эти.
Добавил цепочку chain=input, состояние соединения=invalid, действие=drop, комментарий="Отбрасывать недействительные соединения".
Добавил цепочку chain=forward, состояние соединения=invalid, действие=drop. В моем случае все соединения, инициированные из WAN, отбрасываются, а не только недействительные.
Добавил цепочку chain=input, протокол=udp, действие=accept, комментарий="Разрешить UDP".
Добавил цепочку chain=forward, протокол=udp, действие=accept. Мне не нужно всё UDP из WAN.
Добавил цепочку chain=forward, исходный адрес=192.168.1.0/29, интерфейс входящий=ether7, действие=accept, комментарий="Доступ в Интернет из локальной сети". Я предпочитаю NAT masquerade вместо перенаправления чего-то куда-то.
Добавил цепочку chain=input, исходный адрес=192.168.1.0/29, действие=accept, комментарий="Доступ к Mikrotik только из нашей локальной сети". Мой доступ к маршрутизатору основан на портах.
Добавил цепочку chain=input, действие=drop, комментарий="Остальное отбрасывать".
Добавил цепочку chain=forward, действие=drop.
actually, я не понимаю, в чем цель цепочки forward.

efaden Guest	#5 0 16.12.2013 20:21:00 Вообще, я не понимаю, в чем смысл цепочки "forward". Ваша исходная конфигурация минимальная, но должна работать.

MT7 Guest	#6 0 16.12.2013 21:10:00 Действительно, работает, но достаточно ли это безопасно? Еще с этой конфигурацией роутер не может выйти в WAN/LAN, пинг и прочее не работает.

efaden Guest	#7 0 16.12.2013 23:16:00 Насколько это безопасно? Сложно сказать, не зная, чем ты это делаешь. Отправлено с моего SCH-I545 через Tapatalk.

MT7 Guest	#8 0 17.12.2013 08:43:00 Как я и писал раньше, "Главная цель — просто иметь интернет и IPTV на компьютере в локальной сети."

CelticComms

Guest

17.12.2013 13:33:00

Оригинальные правила, которые были опубликованы, не содержат ни записей цепочки пересылки, ни записей состояния соединения, поэтому, возможно, это и "работает", но уж точно небезопасно и технически не является реализацией брандмауэра с проверкой состояния пакетов.

MT7

Guest

#10

17.12.2013 13:48:00

Этот простой конфиг проходит все сетевые тесты с pcflank.com. С помощью этого конфига сканер сети nmap с WAN не может найти ни один открытый порт или сервис на внешнем интерфейсе устройства, не может определить ОС и т.д. Если мы исходим из того, что все соединения, инициированные из LAN, легитимны, почему этот конфиг небезопасен? Я не настаиваю на своей версии, но попробуйте понять. Не стесняйтесь опубликовать свою версию возможной конфигурации и объяснить её.

CelticComms Guest	#11 0 17.12.2013 13:54:00 Если кто-то в сети твоего провайдера направит трафик на твой роутер для адреса RFC1918 в твоей локальной сети, твой роутер этот трафик пропустит.

MT7 Guest	#12 0 17.12.2013 13:58:00 Как это возможно, если весь входящий трафик настраивается на отбрасывание на WAN-порту?

CelticComms Guest	#13 0 17.12.2013 14:00:00 Входящая цепочка влияет только на трафик, направляющийся непосредственно к роутеру, а не на трафик, который маршрутизируется через него.

MT7

Guest

#14

17.12.2013 14:02:00

Ну вот скажи тогда, почему мой IPTV не работает без добавления двух правил, как я описал выше? Чтобы IPTV заработал, я добавил эти два правила и IGMP-Proxy. Кстати, я использую NAT, как трафик, инициированный извне, проходит через него?

CelticComms Guest	#15 0 17.12.2013 14:08:00 Если трафик используется непосредственно на роутере (например, IGMP Proxy), то он должен проходить через цепочку входных правил. Посмотрите информацию о фильтрах здесь: http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

MT7

Guest

#16

17.12.2013 14:24:00

Я посмотрел эту страницу, но там примеры объяснены как-то не очень. Если мне нужно заблокировать любые подключения, инициированные извне, к роутеру и LAN, как мне изменить конфиг? И почему вообще ничего не сказано про NAT?

CelticComms

Guest

#17

17.12.2013 15:00:00

Минимальный набор примеров правил пересылки пакетов, которые стоит добавить: LAN > WAN - Разрешать новые подключения, разрешать связанные подключения, разрешать установленные соединения, отбрасывать остальной трафик. Также стоит посмотреть: http://wiki.mikrotik.com/wiki/Securing_New_RouterOs_Router

MT7 Guest	#18 0 17.01.2014 21:30:00 ether2 - статический WAN, ether7 - DHCP сервер. Включены NTP клиент и IGMP прокси. Сейчас выглядит так: FILTER 0 ;;; отбрасывать недействительные соединения chain=input action=drop connection-state=invalid 1 ;;; отбрасывать недействительные соединения chain=forward action=drop connection-state=invalid 2 ;;; отбрасывать по списку bogons chain=forward action=drop dst-address-list=bogons in-interface=ether2 3 ;;; обнаруживать DoS атаку chain=input action=add-src-to-address-list protocol=tcp address-list=black_list address-list-timeout=1d connection-limit=10,32 4 ;;; подавлять DoS атаку chain=input action=tarpit protocol=tcp src-address-list=black_list connection-limit=3,32 5 ;;; сканеры портов в список chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1 address-list=Port_scanners address-list-timeout=1w in-interface=ether2 6 ;;; NMAP FIN stealth scan chain=input action=add-src-to-address-list tcp-flags=fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=Port_scanners address-list-timeout=1w 7 ;;; SYN/FIN scan chain=input action=add-src-to-address-list tcp-flags=fin,syn protocol=tcp address-list=Port_scanners address-list-timeout=1w 8 ;;; SYN/RST scan chain=input action=add-src-to-address-list tcp-flags=syn,rst protocol=tcp address-list=Port_scanners address-list-timeout=1w 9 ;;; FIN/PSH/URG scan chain=input action=add-src-to-address-list tcp-flags=fin,psh,urg,!syn,!rst,!ack protocol=tcp address-list=Port_scanners address-list-timeout=1w 10 ;;; ALL/ALL scan chain=input action=add-src-to-address-list tcp-flags=fin,syn,rst,psh,ack,urg protocol=tcp address-list=Port_scanners address-list-timeout=1w 11 ;;; NMAP NULL scan chain=input action=add-src-to-address-list tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg protocol=tcp address-list=Port_scanners address-list-timeout=1w 12 ;;; отбрасывать по списку сканирования портов chain=input action=drop src-address-list=Port_scanners 13 ;;; добавлять IP-адрес SYN Flood в список chain=input action=add-src-to-address-list tcp-flags=syn protocol=tcp address-list=Syn_Flooder address-list-timeout=30m connection-limit=30,32 14 ;;; отбрасывать по списку SYN flood chain=input action=drop src-address-list=Syn_Flooder 15 ;;; разрешать IPTV трафик в роутер, IGMP прокси chain=input action=accept protocol=igmp src-address=10.0.0.0/8 dst-address=224.0.0.0/4 in-interface=ether2 16 ;;; разрешать IPTV трафик в роутер, IGMP прокси chain=input action=accept protocol=udp src-address=10.0.0.0/8 dst-address=224.0.0.0/4 in-interface=ether2 17 ;;; разрешать всё с LAN chain=input action=accept src-address=192.168.1.0/29 in-interface=ether7 18 ;;; разрешать уже установленные соединения chain=input action=accept connection-state=established 19 ;;; отбрасывать всё chain=input action=drop 20 ;;; разрешать новые соединения из LAN chain=forward action=accept connection-state=new src-address=192.168.1.0/29 21 ;;; разрешать уже установленные соединения из LAN chain=forward action=accept connection-state=established 22 ;;; разрешать связанные соединения из LAN chain=forward action=accept connection-state=related 23 ;;; IPTV chain=forward action=accept protocol=udp src-address=10.0.0.0/8 dst-address=224.0.0.0/4 24 ;;; отбрасывать всё chain=forward action=drop NAT 0 chain=srcnat action=masquerade src-address=192.168.1.0/29 out-interface=ether2 LIST ADDRESS TIMEOUT 0 ;;; Self-Identification [RFC 3330] bogons 0.0.0.0/8 1 X ;;; Private[RFC 1918] - CLASS A # Проверьте, нужна ли эта подсеть перед включением ее bogons 10.0.0.0/8 2 ;;; Loopback [RFC 3330] bogons 127.0.0.0/16 3 ;;; Link Local [RFC 3330] bogons 169.254.0.0/16 4 ;;; Private[RFC 1918] - CLASS B # Проверьте, нужна ли эта подсеть перед включением ее bogons 172.16.0.0/12 5 X ;;; Private[RFC 1918] - CLASS C # Проверьте, нужна ли эта подсеть перед включением ее bogons 192.168.0.0/16 6 ;;; Reserved - IANA - TestNet1 bogons 192.0.2.0/24 7 ;;; 6to4 Relay Anycast [RFC 3068] bogons 192.88.99.0/24 8 ;;; NIDB Testing bogons 198.18.0.0/15 9 ;;; Reserved - IANA - TestNet2 bogons 198.51.100.0/24 10 ;;; Reserved - IANA - TestNet3 bogons 203.0.113.0/24 11 X ;;; MC, Class D, IANA # Проверьте, нужна ли эта подсеть перед включением ее bogons 224.0.0.0/4 Это всё верно? Может, правила в неправильном порядке или я что-то забыл? Нужно ли добавить это правило? И в чём практическое назначение этого правила? add chain=input src-address=127.0.0.1 dst-address=127.0.0.1 action=accept comment=“accept localhost” disabled=no Почему счетчик NAT показывает неверные значения?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры