Помогите правильно настроить firewall

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
Dragon_Knight
Сообщения: 1721
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:
Контактная информация пользователя Dragon_Knight

Всем привет.
Как Вы уже все поняли с MT я знаком чуть чуть, да и опыта в настройке WF нету :(

Вообще задача такова:
1) Настроить по правилу: "всем всё можно".
2) Настроить защиту от флуда (про DDoS я не говорю, но если подскажите, - буду благодарен).
3) Защитить сам MT.
3) При всём это не перегружать железку.

Что и как реализовано:

Код: Выделить всё

 /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic 
 0 X chain=input action=tarpit protocol=tcp src-address-list=blocked-addr connection-limit=1,32 

 1   ;;; Drop invalid connection packets
     chain=forward action=drop connection-state=invalid 

 2   ;;; Allow established connections
     chain=forward action=accept connection-state=established 

 3   ;;; Allow related connections
     chain=forward action=accept connection-state=related 

 4   ;;; Allow UDP
     chain=forward action=accept protocol=udp 

 5   ;;; Allow ICMP Ping
     chain=forward action=accept protocol=icmp 

 6   ;;; Allow all for all (in)
     chain=forward action=accept dst-address=192.168.0.0/24 

 7   ;;; Allow all for all (out)
     chain=forward action=accept src-address=192.168.0.0/24 

 8   ;;; Drop all
     chain=forward action=drop

Код: Выделить всё

 /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic 
 0   chain=srcnat action=masquerade out-interface=WAN-main-PPPoE 

 1   chain=srcnat action=masquerade src-address=192.168.0.10-192.168.0.254 out-interface=LAN-1 

 2   ;;; NAT for HTTP
     chain=dstnat action=dst-nat to-addresses=192.168.0.100 to-ports=80 protocol=tcp dst-address=4*.15*.16*.10* dst-port=80 

 3   ;;; NAT for FTP
     chain=dstnat action=dst-nat to-addresses=192.168.0.100 to-ports=21 protocol=tcp dst-address=4*.15*.16*.10* dst-port=21 

 4   ;;; NAT for Minecraft HTTP
     chain=dstnat action=dst-nat to-addresses=192.168.0.101 to-ports=80 protocol=tcp dst-address=4*.15*.16*.10* dst-port=8080 

 5   ;;; NAT for Minecraft
     chain=dstnat action=dst-nat to-addresses=192.168.0.101 to-ports=25565 protocol=tcp dst-address=4*.15*.16*.10* dst-port=25565 

 6   ;;; NAT for Minecraft
     chain=dstnat action=dst-nat to-addresses=192.168.0.101 to-ports=25565 protocol=udp dst-address=4*.15*.16*.10*6 dst-port=25565 

 7   ;;; NAT for Icecast2
     chain=dstnat action=dst-nat to-addresses=192.168.0.101 to-ports=8000 protocol=tcp dst-address=4*.15*.16*.10* dst-port=8000 

 8   ;;; NAT for uTorrent
     chain=dstnat action=dst-nat to-addresses=192.168.0.20 to-ports=24699 protocol=tcp dst-address=4*.15*.16*.10* dst-port=24699 

 9   ;;; NAT for uTorrent
     chain=dstnat action=dst-nat to-addresses=192.168.0.20 to-ports=24699 protocol=udp dst-address=4*.15*.16*.10* dst-port=24699


action=tarpit - Отключен, потому-что не понял как он работает, но думаю очень полезная вещь.
Последний раз редактировалось Dragon_Knight 01 апр 2012, 14:24, всего редактировалось 1 раз.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Вернуться к началу
Аватара пользователя
podarok66
Модератор
Сообщения: 4402
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Прости, ты открыл все порта, разрешил все, и после этого вести речь о какой-то защите...
Может при таком раскладе не стоит плодить правила и оставить лишь маскарадинг?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Вернуться к началу
Аватара пользователя
Dragon_Knight
Сообщения: 1721
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:
Контактная информация пользователя Dragon_Knight

podarok66, если я-бы НЕ открыл всё, я-бы не смог написать на этом форуме, логично? а значит отсюда вывод что это временно.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Вернуться к началу
iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Я бы закрыл порты сетевой папки виндовс

то есть Netbios

Любят их всякие червяки и полувирусы

сможете защитить хотя бы разные подсети


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Вернуться к началу
Аватара пользователя
Dragon_Knight
Сообщения: 1721
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:
Контактная информация пользователя Dragon_Knight

Как я понимаю нужно прописать для каждого сервера тока то, что он использует (всё остальное запретить общим правилом в конце списка), для компьютеров(обычных пользователей) разрешить всё, и в конце запретить всё. Здесь более менее понятно, а вот остальные 3 пункта пока не очень понятны для меня :(


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Вернуться к началу
iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Тарпит - отличная вещь протов брутфорсеров

сервер не отвечает ничего на запрос и соединение *подвисает* и брутфорсер ждет ответа, теряя впустую время


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Вернуться к началу
Аватара пользователя
Dragon_Knight
Сообщения: 1721
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:
Контактная информация пользователя Dragon_Knight

Это понятно, а вот как составить само правило...
Допустим:
на http сервер нужно поставить лимит в 25 подключений с 1 IP.
на ftp сервер нужно поставить лимит в 1 подключений с 1 IP.

Значит правила будут такие?
chain=input action=tarpit protocol=tcp src-address-list=blocked-addr connection-limit=25,32 dst-port=80
chain=input action=tarpit protocol=tcp src-address-list=blocked-addr connection-limit=1,32 dst-port=21


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Вернуться к началу
iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Похоже на правду

попробуйте обкатать практикой


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Вернуться к началу
Аватара пользователя
Dragon_Knight
Сообщения: 1721
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:
Контактная информация пользователя Dragon_Knight

iSupport, спасибо что уделяете время админу-самоучке. В сетях более менее а вот фаерволы обошёл стороной как-то, вот пытаюсь хоть как-то их изучить, к тому-же появилось на чём изучать)


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Вернуться к началу
iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Все админы - самоучки.

Так как задачи, которые ингода приходится решать не проходят ни на одних курсах подготовки :)


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
Вернуться к началу
Ответить

Вернуться в «MikroTik RouterOS»