Ещё раз про порядок правил Firewall Filter

[EdkiyGluk]

Доброго времени суток, Форумчане =)

Может обратился не по адресу, но всё же, суть вопроса такова:
В мануалах по настройке фильтров фаервола написано:
1) Первыми ВСЕГДА идут разрешающие правила
2) Затем идут ЗАПРЕЩАЮЩИЕ
===
Если одним из первых правил мы разрешаем все установленные и родственные соединения, как же мы в дальнейшем сможем их дропнуть, если они скомпрометировали себя?
Или если мы фильтруем соцСети, торренты и тд, то правила фильтрации в обязательном порядке должны находится ДО разрещающих... или нет?
===
Можете объяснить как и в каком порядке добавлены правила в ваши фаерволы?

[podarok66]

Зачем дропать уже установленные связи? Вы как-то нелогичны... Либо связь установлена, то есть пакет прошел через фаервол, либо неустановлена, то есть пакет через фаервол не прошел.

[Dragon_Knight]

Не знаю что написано в мануалах, я делаю как считаю более рационально:
Сначала дропаем всё подозрительное, ненормальное, и противоестественное, такое как invalid connection, запросы на мой DNS, листы DROP и так далее.
Далее защиты от сканера портов, от DDoS и Syn атак и т.д.
Следом правила по разграничиванию доступа, запрет ненормалых подключений по VPN....
Потом разрешающие и запрещающие правила для конкретных сетей и пользователей
Последнее правило для запрета всего остального, что не попало под правила выше.

[EdkiyGluk]

Dragon_Knight, вот это я и хотел услышать))) Пасибки))
Просто, как показывает опыт - если сначала разрешать установленные и родственные соединения, то фаервол перестаёт ловить портСканеры, флудПинги и флуд на dns портююю

[siroc-co]

Настроил проброс порта, выяснилось что работает только одно соединение в один момент. Тоесть вхожу только с одного устройства, а в тоже время со второго войти не удаётся, нет коннекта. Что в настройках поменять нужно?

[gmx]

Что пробрасываете???
RDP???
Куда???
Вы помните, что только у сервернных ОС от Майкрософт есть MultiRDP???

Итого: Микротик ни причем. Проброс или есть или его нет.

[siroc-co]

Пробрасываю tcp порт, для коннекта к некой службе. И почемуто коннектится только тот, кто первый пришёл, все остальные отсекаются. Тоже самое с портами для почтового сервера, пока один приконнекчен, остальные не могут достучаться.

[podarok66]

Пробрасываю tcp порт, для коннекта к некой службе.

Что за загадочность? Служба на какой оси базируется?
Вы понимаете, о чем спрашивают?

[siroc-co]

Ок. Есть NAS Synology с дофига-дофига служб - почта, файловое облако, днс и веб серверы... и т.д. Всё проброшено наружу через микротик. В работе веб сервера проблем не обнаружено, но с другой стороны тремя клиентами доступность особо и не проверишь. А вот почта, например, и облако, в один момент могут работать только с одним клиентом, второй просто в постоянном ожидании соединения, и либо отваливается по таймауту, либо так и весит в ожидании коннекта.
И сразу предвижу вопрос, поэтому сразу ответ: да, через простую точку доступа всё работает, клиенты все разом подключаются. Тоесть не в Synology дело.

[EIKA]

Товарищи, ламерский вопрос.

Имеем микротик в режиме роутера, одним портом смотрит в инет, другими в LAN. Правила фаера накиданы так (очередность соблюдена!):

allow established input
allow established forward
allow related input
allow related forward
allow TCP:21 input (вход на FTP-сервер)
drop HACKERS
drop invalid
drop all input
drop all forward

Все работает как надо, FTP работает.

Но со списком HACKERS есть прикол. Внесенный в него IP спокойно гуляет по FTP. И счетчик пакетов в drop-правиле на этого юзера не тикает.

Правило drop HACKERS создано верно, счетчик пакетов не нулевой. Правило очень простое:

Цепочка forward (FTP-сервер стоит за роутером)
Входной интерфейс - указан верно
src address list - HACKERS
Action - drop

IP-адрес хулигана внесер в список HACKERS, и внесен верно - как единичный IP. Единственное, не указана маска, а только IP-адрес.

Подозреваю, что все же очередность правил. Прошу помочь.