Извиняюсь, если тут ну что-то не так намутил, я еще нуб в микротике :) помогите новичку, все ли тут правильно?
Добавлено: 01 май 2017, 22:53
Ребят где что не так, прошу помощи, подскажите, возможно что-то избыточно или наоброт чего-то не хватает.
Взял CrowdInspect и комодо, посмотрел какие приложения какие порты требуют, все остальное запретил, порты соответсвенно для браузера, торент по требованию, проброс трафика что бы исключить фильтрацию на sip, world of tanks и csgo. На входящих, проверка на валидность всего трафика так же на проброшенный трафик и на исходящий. На входящие в ван разрешено только 1701 и только udp и только от провайдера, т.е. с любых других ip вход запрещен и протоколы все запрещены кроме udp. Отдельно фильтруется входящий по wan и по l2tp трафик на входящие на 53 порт, т.е. на dns. Дропаются все левые порты, которыми не пользуются мои проги, из прог тут понятно браузер, вайбер под винду и скайп. Далее в блоклист заносятся все кто приходит к нам не с сервера провайдера и далее режем все что не является разрешенным на ване и на l2tp. ДНС от комодо. Было вычислено, что использование DNS от гугл ведет к 1700 не связанным подключениям на комп в течении уже первых 30 минут, непонятно от кого, т.е. это просто прилетает в л2тп трафик непонятно от кого соединения при использовании днс от гугла. На комодовских днс такое замечено не было. Т.е. это спецслужбы, прости Господи) и те кто как-то слушает трафик на днс серверах гугла, т.е. хакеры, траяны ну и естественно гугловские какие-то мутки)
Ну и дальше уже немного паранои, если заражен телефон - троян не сможет атаковать комп, запрещеные подключения с беспроводных к сетке, тоже самое из сетки к телефону, что бы исключить не прямой уход трафика, т.е. если например троян не может выбраться с компа из-за файера, он ломает по сетке тел и через него уходит. Так же комп не может подрубится к микротику по лану(добавлен в блоклист), конект только по маку, беспровадная сетка не может подключится к микротику - отключен в neigbors > discovery interfaces. Что бы исключить взлом с компа микротика, на случай если на компе троян.
Более подробно в консольном варианте:
------------
кто подскажет, где что не так? все ли оптимально?)
Взял CrowdInspect и комодо, посмотрел какие приложения какие порты требуют, все остальное запретил, порты соответсвенно для браузера, торент по требованию, проброс трафика что бы исключить фильтрацию на sip, world of tanks и csgo. На входящих, проверка на валидность всего трафика так же на проброшенный трафик и на исходящий. На входящие в ван разрешено только 1701 и только udp и только от провайдера, т.е. с любых других ip вход запрещен и протоколы все запрещены кроме udp. Отдельно фильтруется входящий по wan и по l2tp трафик на входящие на 53 порт, т.е. на dns. Дропаются все левые порты, которыми не пользуются мои проги, из прог тут понятно браузер, вайбер под винду и скайп. Далее в блоклист заносятся все кто приходит к нам не с сервера провайдера и далее режем все что не является разрешенным на ване и на l2tp. ДНС от комодо. Было вычислено, что использование DNS от гугл ведет к 1700 не связанным подключениям на комп в течении уже первых 30 минут, непонятно от кого, т.е. это просто прилетает в л2тп трафик непонятно от кого соединения при использовании днс от гугла. На комодовских днс такое замечено не было. Т.е. это спецслужбы, прости Господи) и те кто как-то слушает трафик на днс серверах гугла, т.е. хакеры, траяны ну и естественно гугловские какие-то мутки)
Ну и дальше уже немного паранои, если заражен телефон - троян не сможет атаковать комп, запрещеные подключения с беспроводных к сетке, тоже самое из сетки к телефону, что бы исключить не прямой уход трафика, т.е. если например троян не может выбраться с компа из-за файера, он ломает по сетке тел и через него уходит. Так же комп не может подрубится к микротику по лану(добавлен в блоклист), конект только по маку, беспровадная сетка не может подключится к микротику - отключен в neigbors > discovery interfaces. Что бы исключить взлом с компа микротика, на случай если на компе троян.
Более подробно в консольном варианте:
------------
кто подскажет, где что не так? все ли оптимально?)