+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Хорошие правила брандмауэра для домашнего маршрутизатора с точкой доступа

Хорошие правила брандмауэра для домашнего маршрутизатора с точкой доступа, RouterOS

ezrollin

Guest

28.07.2014 10:05:00

Я сошел с ума, потому что хотел увидеть примеры того, как настроить нормальную безопасность. Мой конфиг работает нормально, и всё вроде бы в порядке, но я не уверен, что всё работает так, как должно — может быть, Access Control Lists (ACL, то есть правила фаервола) идут в неправильном порядке или что-то в этом роде? Всё просто перемешано (скорее всего, есть дублирующиеся правила). Наверное, я бы хотел, чтобы у всего были отдельные VLANы. Ресурсы моего роутера еще не загружены по максимуму, но у меня хороший роутер для моей ситуации. Пожалуйста, помогите мне исправить и упорядочить этот конфиг, опираясь на ваш опыт, спасибо! Мой MikroTik — 192.168.88.1 (шлюз), он подключается к роутеру провайдера (шлюз) 192.168.254.254. Мой ПК — 192.168.88.254.

Rudios Guest	#2 0 20.08.2014 16:58:00 Первая строка отбрасывает только недопустимые пакеты.

Etz Guest	#3 0 20.08.2014 17:44:00 Он, наверное, имел в виду: добавить action=drop, chain=input не может быть первым, у тебя правильная реализация… Также я говорил о «правиле окончательной блокировки», а не только о сбросе некорректных пакетов.

ezrollin Guest	#4 0 21.08.2014 20:51:00 Я в итоге выбрал вот этот вариант: http://wiki.mikrotik.com/wiki/Basic_universal_firewall_script. На самом деле, я уже начал разбираться, как можно редактировать и подправлять всё так, как мне нужно!

ezrollin

Guest

15.08.2014 09:19:00

Вижу в стандартной конфигурации несколько дубликатов. Эти правила применяются сверху вниз, как в ACL от Cisco? Если да, то есть ли в конце неявное правило "запретить всё"? Например, в вашем посте в середине настроек стоит “drop everything else”... как процессор понимает, когда именно применять “drop everything else”, если время выполнения не указано?

janisk

Guest

15.08.2014 09:43:00

Очень важно понять, что и где вы делаете, прежде чем погружаться глубоко в настройки фаервола. Вот руководство по разделу фильтров, с которого стоит начать: http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter. Вот ссылка на схему прохождения пакетов в RouterOS: http://wiki.mikrotik.com/wiki/Packet_Flow.

Крайне важно разобраться с цепочками (chains), знать протоколы TCP и UDP, а также иметь представление об ICMP. И не забудьте про IPv6.

Здесь можно посмотреть, как должна выглядеть конфигурация по умолчанию: http://wiki.mikrotik.com/wiki/Manual:Default_Configurations

P.S. Стандартная конфигурация роутера для дома/SOHO по умолчанию закрыта максимально. Всё, что вы туда добавляете, скорее всего, снижает уровень безопасности, ведь ничто не сравнится с chain=input action=drop interface=.

Rudios

Guest

20.08.2014 05:13:00

Будет записываться то, что будет заблокировано. Всё зависит от пакетов, которые приходят на роутер, и правил того, что разрешено. Если на роутер снаружи приходит много пакетов без запроса внутреннего устройства, скорее всего, это нежелательный трафик, и его заблокируют. Но правила логирования не всегда нужны. Скорее, они нужны для отладки, если фаервол ведёт себя не так, как задумано.

ezrollin

Guest

15.08.2014 10:08:00

Я сократил это до того, чем, на мой взгляд, должно было быть — «базовая» версия без повторов:
/ip firewall filter add chain=input comment=“default configuration” protocol=icmp
add chain=input comment=“default configuration” connection-state=established
add chain=input comment=“default configuration” connection-state=related
add action=drop chain=input comment=“default configuration” in-interface=ether1-gateway
add chain=forward comment=“default configuration” connection-state=established
add chain=forward comment=“default configuration” connection-state=related
add action=drop chain=forward comment=“default configuration” connection-state=invalid
add chain=forward comment=“default configuration” connection-state=established

janisk Guest	#9 0 15.08.2014 12:09:00 Кстати, действие по умолчанию — принять, так что если нет правил, которые сбрасывают пакет, он будет принят после прохождения всех правил.

ezrollin Guest	#10 0 16.08.2014 05:10:00 Итак, ты хочешь сказать, что это правило типа «tcp established»? Или это правило должно быть в самом конце (после разрешающих правил)? Если нет, объясни, пожалуйста, подробнее. Спасибо!

Etz

Guest

#11

16.08.2014 05:19:00

Правило Final Drop должно быть последним… Вот мой пример «простого файервола»:

/ip firewall filter
add action=drop chain=input comment=“Drop invalid connections” connection-state=invalid
add chain=input comment=“Permit established connections” connection-state=established
add chain=input comment=“Permit related connections” connection-state=related
add action=log chain=input comment=“Log everything else, except LAN” in-interface=!ether01 log-prefix=“ip filter input:”
add action=drop chain=input comment=“Drop everything else not specified, except LAN” in-interface=!ether01
add action=drop chain=forward comment=“Drop invalid connections” connection-state=invalid
add chain=forward comment=“Permit established connections” connection-state=established
add chain=forward comment=“Permit related connections” connection-state=related
add action=log chain=forward comment=“Log everything else, except LAN” in-interface=!ether01 log-prefix=“ip filter forward:”
add action=drop chain=forward comment=“Drop everything else not specified, except LAN” in-interface=!ether01

Если правило Final Drop поставить первым, всё сразу же отбрасывается и ничего не проходит. Маршрутизаторы обрабатывают списки доступа и правила файервола построчно, начиная сверху, до тех пор, пока не найдут первое совпадение. Если совпадение найдено, последующие правила для этого пакета не проверяются.

Rudios

Guest

#12

16.08.2014 12:30:00

Я предпочитаю устанавливать правило пропуска с интерфейса, которому доверяю (master-port или bridge), а затем блокировать весь остальной трафик.

/ip firewall filter
add action=drop chain=input comment="Отбрасывать недопустимые соединения" connection-state=invalid
add chain=input comment="Разрешать установленные соединения" connection-state=established
add chain=input comment="Разрешать связанные соединения" connection-state=related
add chain=input in-interface=bridge-local src-address=
add action=log chain=input comment="Логировать всё остальное" log-prefix="ip filter input:"
add action=drop chain=input comment="Отбрасывать всё остальное"
add action=drop chain=forward comment="Отбрасывать недопустимые соединения" connection-state=invalid
add chain=forward comment="Разрешать установленные соединения" connection-state=established
add chain=forward comment="Разрешать связанные соединения" connection-state=related
add chain=forward in-interface=bridge-local src-address=
add action=log chain=forward comment="Логировать всё остальное" log-prefix="ip filter forward:"
add action=drop chain=forward comment="Отбрасывать всё остальное"

Etz

Guest

#13

16.08.2014 14:09:00

Ну, всё зависит от обстоятельств… Сколько у тебя интерфейсов, сколько из них «доверенных», а сколько — «недоверенных». Существуют разные подходы. Например, у меня несколько «недоверенных» uplink-интерфейсов, поэтому логичнее заблокировать все остальные, кроме одного «доверенного», одной строкой.

ezrollin Guest	#14 0 19.08.2014 22:02:00 Rudios, эти «логировать всё подряд» команды, кажется, вызывают сбой моего роутера КАЖДЫЙ РАЗ, когда я их включаю… он записывает абсолютно всё.

janisk Guest	#15 0 20.08.2014 09:44:00 Используйте логирование только если действительно хотите видеть, что сбрасываете. В противном случае это просто бесполезная трата ресурсов.

ezrollin Guest	#16 0 20.08.2014 11:41:00 Ещё одна проблема, как говорил Этц... самое главное правило — нельзя делать DROP INPUT, иначе всё будет отклонено!

ezrollin Guest	#17 0 22.08.2014 20:06:00 Что означает восклицательный знак в «!ether1»? Используя этот список для файервола: http://wiki.mikrotik.com/wiki/Basic_universal_firewall_script add action=add-src-to-address-list address-list=Port_Scanner address-list-timeout=1w chain=input comment=“Port Scanner Detect” disabled=no protocol=tcp psd=21,3s,3,1 add action=drop chain=input comment=“Drop to port scan list” disabled=no src-address-list=Port_Scanner Почему теперь меня постоянно считают портсканером? Я вижу, что у меня куча TCP 6 соединений, но я не знаю, что это за порт. Раньше такого не было, и я не понимаю, что изменилось. Я в списке пользователей поддержки. Спасибо!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры