Здравствуйте все участники форума!
После мучений с DLNA на МТС-овском S1010 решил купить что-т достойное.
Поскольку по дому установлено 8 розеток RG45, плюс еще NAS DS218Play, то вместе с WAN уже 10 получается.
В общем, после тренировок на RB951Ui-2HnD, конфигурацию которого я по не знанию снес, а потом сделал с нуля, я решил и уже купил замечательный RB4011iGS+5HacQ2HnD-IN, который сейчас конфигурирую.
Много вещей мне потихоньку становятся понятными. Но на данный момент времени есть пара вопросов.
1. при создании правил IP - Firewall на вкладке "General" есть параметры статуса соединения "Connectoi State".
Поясните мне, пожалуйста, что означает "Utracked" и как им оперировать. Раньше его не использовали, а теперь "из коробки" галочка на правилах с действиях с "Accept" уже стоит.
2. Что такое "Fasttrack"? И куда надо ставить правило проброса соединений такого типа?
/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related
В настройках "из коробки" это правило идет последним, но есть мнения, что это правило нужно ставить первым.
С благодарностью приму все Ваши советы.
Что такое "Untracked" и прочий глоссарий для новичка
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
MaxoDroid
- Сообщения: 357
- Зарегистрирован: 14 май 2019, 22:55
- Откуда: Краснодар
... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
-
Erik_U
- Сообщения: 1997
- Зарегистрирован: 09 июл 2014, 12:33
-
MaxoDroid
- Сообщения: 357
- Зарегистрирован: 14 май 2019, 22:55
- Откуда: Краснодар
Спасибо большое!
Про родной хелпер я и забыл....
Про родной хелпер я и забыл....
... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
-
MaxoDroid
- Сообщения: 357
- Зарегистрирован: 14 май 2019, 22:55
- Откуда: Краснодар
В общем, для увеличения скорости работы аппарата первыми правилами должны стоять
/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related
/ip firewall filter add chain=forward action=accept connection-state=established,related
Это позволит пропускать непрямую все установленные и связанные цепочки соединений.
А потом уже, после дропа инвалидных входящих и пересланных цепочек, можно принять те входные, которые и есть те, кто по RAW не отслеживается.
/ip firewall filter add chain=input action=accepot connection-state=established,related,untracked
вот только ответьте мне, пожалуйста на вопрос. если я ставлю галочки на поля "established", "related" и "untracked", то как читает правило? Или "established" или "related" или "untracked", то есть выполнение любого из трех или все три условия должны при этом выполняться?
/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related
/ip firewall filter add chain=forward action=accept connection-state=established,related
Это позволит пропускать непрямую все установленные и связанные цепочки соединений.
А потом уже, после дропа инвалидных входящих и пересланных цепочек, можно принять те входные, которые и есть те, кто по RAW не отслеживается.
/ip firewall filter add chain=input action=accepot connection-state=established,related,untracked
вот только ответьте мне, пожалуйста на вопрос. если я ставлю галочки на поля "established", "related" и "untracked", то как читает правило? Или "established" или "related" или "untracked", то есть выполнение любого из трех или все три условия должны при этом выполняться?
... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
-
MaxoDroid
- Сообщения: 357
- Зарегистрирован: 14 май 2019, 22:55
- Откуда: Краснодар
В общем, нарисовал я файрвол себе по соображениям, изложенным в статье https://gregory-gost.ru/sozdanie-domash ... -dostupa/. и в пояснениях мануалов Микротика.
В итоге получилась вот такая стена:
все, что отмечено как (defconf) - это цепочки "из коробки", но некоторые были перемещены вверх.
Если кто из вас посмотрит на это создание и даст мне свои замечания, то я буду ему очень благодарен.
В итоге получилась вот такая стена:
Код: Выделить всё
/ip firewall filter
add action=fasttrack-connection chain=forward comment=\
"0,1 fasttrack --------------------------------------- (defconf)" \
connection-state=established,related
add action=accept chain=forward comment=\
"1.1 Forward and Input Established and Related connections" \
connection-state=established,related
add action=accept chain=forward comment=\
"1.1.1 Accept established,related, untracked ---(defconf)" \
connection-state=established,related,untracked
add action=drop chain=forward comment=\
"1.2 --------- drop invalid ------------------ (defconf)" \
connection-state=invalid
add action=accept chain=input comment=\
"1.3 --------- accept established,related" connection-state=\
established,related
add action=accept chain=input comment=\
"1.4 --------- accept established,related,untracked --- (defconf)" \
connection-state=established,related,untracked
add action=drop chain=input comment=\
"1.5 --------- drop invalid ------------------ (defconf)" \
connection-state=invalid
add action=drop chain=forward comment=\
"2.1 drop all from WAN not DSTNATed ----- (defconf)" \
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=add-src-to-address-list address-list=ddos-blacklist \
address-list-timeout=1d chain=input comment="3.1 DDoS attack filter" \
connection-limit=100,32 in-interface-list=WAN protocol=tcp
add action=tarpit chain=input comment="3.2 --------- end of DDoS" \
connection-limit=3,32 protocol=tcp src-address-list=ddos-blacklist
add action=jump chain=forward comment="4.1 DDoS Protect - SYN Flood" \
connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input comment="4.2 --------- --------- SYN Flood" \
connection-state=new in-interface-list=WAN jump-target=SYN-Protect \
protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect comment=\
"4.3 --------- --------- SYN Flood" connection-state=new limit=\
200,5:packet protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect comment=\
"4.4 --------- end of SYN Flood" connection-state=new protocol=tcp \
tcp-flags=syn
add action=drop chain=input comment="5.1 PSD \96 Port Scan Detection" \
src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" \
address-list-timeout=none-dynamic chain=input comment=\
"5.2 --------- PSD" in-interface-list=WAN protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="6.1 WinBox Port LockOut protection" \
src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List WinBox" \
address-list-timeout=none-dynamic chain=input comment=\
"6.2 --------- --------- WinBox Protection" connection-state=new \
dst-port=8291 in-interface-list=WAN log=yes log-prefix="BLACK WINBOX" \
protocol=tcp src-address-list="WinBox Stage 3"
add action=add-src-to-address-list address-list="WinBox Stage 3" \
address-list-timeout=1m chain=input comment=\
"6.3 --------- --------- WinBox Protection" connection-state=new \
dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list=\
"WinBox Stage 2"
add action=add-src-to-address-list address-list="WinBox Stage 2" \
address-list-timeout=1m chain=input comment=\
"6.4 --------- --------- WinBox Protection" connection-state=new \
dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list=\
"WinBox Stage 1"
add action=add-src-to-address-list address-list="WinBox Stage 1" \
address-list-timeout=1m chain=input comment=\
"6.5 --------- --------- WinBox Protection" connection-state=new \
dst-port=8291 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
"6.6 --------- end of WinBox Protection" dst-port=8291 \
in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="7.1 OpenVPN Port Connections protection" \
src-address-list="Black List OpenVPN"
add action=add-src-to-address-list address-list="Black List OpenVPN" \
address-list-timeout=none-dynamic chain=input comment=\
"7.2 --------- --------- OpenVPN Protection" connection-state=new \
dst-port=1194 in-interface-list=WAN log=yes log-prefix="BLACK OVPN" \
protocol=tcp src-address-list="OpenVPN Stage 3"
add action=add-src-to-address-list address-list="OpenVPN Stage 3" \
address-list-timeout=1m chain=input comment=\
"7.3 --------- --------- OpenVPN Protection" connection-state=new \
dst-port=1194 in-interface-list=WAN protocol=tcp src-address-list=\
"OpenVPN Stage 2"
add action=add-src-to-address-list address-list="OpenVPN Stage 2" \
address-list-timeout=1m chain=input comment=\
"7.4 --------- --------- OpenVPN Protection" connection-state=new \
dst-port=1194 in-interface-list=WAN protocol=tcp src-address-list=\
"OpenVPN Stage 1"
add action=add-src-to-address-list address-list="OpenVPN Stage 1" \
address-list-timeout=1m chain=input comment=\
"7.5 --------- --------- OpenVPN Protection" connection-state=new \
dst-port=1194 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
"7.6 --------- end of OpenVPN Protection" dst-port=1194 \
in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=\
"Accept ICMP ------------------------------ (defconf)" disabled=yes \
protocol=icmp
add action=accept chain=input comment="Accept ICMP --- With correct ping" \
in-interface-list=WAN limit=50/5s,2:packet protocol=icmp
add action=drop chain=input comment=\
"Drop all not coming from LAN ---- (defconf)" in-interface-list=!LAN
add action=accept chain=forward comment=\
"Accept in ipsec policy -------------- (defconf)" ipsec-policy=in,ipsec
add action=accept chain=forward comment=\
"Accept out ipsec policy ------------ (defconf)" ipsec-policy=out,ipsecЕсли кто из вас посмотрит на это создание и даст мне свои замечания, то я буду ему очень благодарен.
... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
-
podarok66
- Модератор
- Сообщения: 4402
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Да были тут темы по сходным темам. Если интересно, поищите.
А читать ваши простыни явно мало кто станет. Ибо нет хорошего набора правил. Есть админ, понимающий чего он хочет и что и как ему делать. Ситуации бывают очень разные, задачи в разных случаях тоже разнообразны. Подход к решению у разных админов тоже более чем разный. Да и оценки рисков у разных админов могут быть диаметрально противоположными. А ещё есть параноики. Которые всего боятся, от всего пытаются закрыться. Как правило эту публику вообще можно в отдельную ̶ ̶п̶а̶л̶а̶т̶у̶ ̶ когорту выделить. Что-то типа непримиримых.
А читать ваши простыни явно мало кто станет. Ибо нет хорошего набора правил. Есть админ, понимающий чего он хочет и что и как ему делать. Ситуации бывают очень разные, задачи в разных случаях тоже разнообразны. Подход к решению у разных админов тоже более чем разный. Да и оценки рисков у разных админов могут быть диаметрально противоположными. А ещё есть параноики. Которые всего боятся, от всего пытаются закрыться. Как правило эту публику вообще можно в отдельную ̶ ̶п̶а̶л̶а̶т̶у̶ ̶ когорту выделить. Что-то типа непримиримых.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
MaxoDroid
- Сообщения: 357
- Зарегистрирован: 14 май 2019, 22:55
- Откуда: Краснодар
Спасибо Вам за ответ.
Вот только еще один вопрос (на данный момент времени) мне не дает покоя.
Как правильнее пробрасывать порты? Через "IP" --> "Firewall" --> "NAT" или через "Bridge" --> "NAT" ?
Вроде бы по результатам одно и тоже делается.
Вот только еще один вопрос (на данный момент времени) мне не дает покоя.
Как правильнее пробрасывать порты? Через "IP" --> "Firewall" --> "NAT" или через "Bridge" --> "NAT" ?
Вроде бы по результатам одно и тоже делается.
... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
-
podarok66
- Модератор
- Сообщения: 4402
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Первый вариант точно работает. А вот насчёт второго... я не пробовал, имею сомнения, что вообще отработает.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
MaxoDroid
- Сообщения: 357
- Зарегистрирован: 14 май 2019, 22:55
- Откуда: Краснодар
Изучаю Я этот форум вдоль и поперек.
Раньше я когда-то зарекся, что в IT - вопросы я лазить никогда не буду. Но не тут - то вышло. Купил себе MikroTik. Теперь изучаю.
Многие вопросы, которые хотел ранее задать, уже отпали сами собой.
На данный момент есть вопрос по IPSec политике. Как я понял, что IPSec нужен в случае, когда мы создаем в общедоступном пространстве, как например - Интернет, свой безопасный туннель для разных подсетей, находящихся в разных местах.
В дефолтном конфиге файервола "из коробки" есть вот такие правила:
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
а правило в NAT выглядит так:
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
Как я понимаю, два правила нужны для того, что бы при конфигурировании IPSec пользователь их не забыл. А иначе туннель не заработает. Потому как при включении технологии
add action=fasttrack-connection chain=forward connection-state=established,related теряется часть функционала Router OS, такие, как очереди, IPsec и др
Но тогда какой смысл в правиле NAT имеет режим "ipsec-policy=out,none"? Правило соответствия политике верно для POSTROUTING, цепочках OUTPUT и FORWARD и при этом "стыкует" пакет, не принадлежащий процессу IPSec (например, пакет транспортировки).
Тогда следует вопрос. Если туннель не предполагается, то не правильнее ли было бы использовать тривиальное правило трансляции NAT:
add action=masquerade chain=srcnat comment=Masquerade ipsec-policy=out,none out-interface-list=WAN src-address=192.168.88.0/24 ?
И еще просьба. Укажите мне путь, где я мог бы поподробнее почитать про режим "ipsec-policy=out,none" в правиле NAT ?
Раньше я когда-то зарекся, что в IT - вопросы я лазить никогда не буду. Но не тут - то вышло. Купил себе MikroTik. Теперь изучаю.
Многие вопросы, которые хотел ранее задать, уже отпали сами собой.
На данный момент есть вопрос по IPSec политике. Как я понял, что IPSec нужен в случае, когда мы создаем в общедоступном пространстве, как например - Интернет, свой безопасный туннель для разных подсетей, находящихся в разных местах.
В дефолтном конфиге файервола "из коробки" есть вот такие правила:
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
а правило в NAT выглядит так:
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
Как я понимаю, два правила нужны для того, что бы при конфигурировании IPSec пользователь их не забыл. А иначе туннель не заработает. Потому как при включении технологии
add action=fasttrack-connection chain=forward connection-state=established,related теряется часть функционала Router OS, такие, как очереди, IPsec и др
Но тогда какой смысл в правиле NAT имеет режим "ipsec-policy=out,none"? Правило соответствия политике верно для POSTROUTING, цепочках OUTPUT и FORWARD и при этом "стыкует" пакет, не принадлежащий процессу IPSec (например, пакет транспортировки).
Тогда следует вопрос. Если туннель не предполагается, то не правильнее ли было бы использовать тривиальное правило трансляции NAT:
add action=masquerade chain=srcnat comment=Masquerade ipsec-policy=out,none out-interface-list=WAN src-address=192.168.88.0/24 ?
И еще просьба. Укажите мне путь, где я мог бы поподробнее почитать про режим "ipsec-policy=out,none" в правиле NAT ?
... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
-
MaxoDroid
- Сообщения: 357
- Зарегистрирован: 14 май 2019, 22:55
- Откуда: Краснодар
Долго-долго изучал (насколько мой мозг воспринимает IT - технологии) свои же вопросы. На англоязычном форуме forum.mikrotik.com мне объяснили назначение правил
- форвардирование цепочек с IPSec, подлежащие инкапсуляции/декапсуляции (прероутинг/построутинг). Облегчают жизнь при использовании VPN.
По правилу "ipsec-policy=out,none" - это исключает траффик из NAT.
Поскольку весь трафик, попадающий под политику IPSec, не поддерживается FastTrack, то и смысла NATить его нет. Нужно разделить обработку потоков общего плана и шифрованных соединений:
https://wiki.mikrotik.com/wiki/Manual:I ... ack_Bypass
Если найду ссылку на соответствующую презентацию, то поделюсь.
Код: Выделить всё
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsecПо правилу "ipsec-policy=out,none"
Код: Выделить всё
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WANПоскольку весь трафик, попадающий под политику IPSec, не поддерживается FastTrack, то и смысла NATить его нет. Нужно разделить обработку потоков общего плана и шифрованных соединений:
https://wiki.mikrotik.com/wiki/Manual:I ... ack_Bypass
Если найду ссылку на соответствующую презентацию, то поделюсь.
... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!