Russian Users MikroTik | Форум пользователей MikroTik

Статья про распространенные ошибки при настройке файервола: http://mikrotik.vetriks.ru/wiki/Межсете ... е_файрвола

Статья ни о чем. Простая реклама сайта

Не надо так строго. Вполне разумно написано.
Это хорошо, когда знаешь, а для новичков очень полезно.

gmx писал(а):Не надо так строго. Вполне разумно написано.
Это хорошо, когда знаешь, а для новичков очень полезно.

Если бы был статья была написана на этом форуме и в конце дан пример нормального конфига, то другое дело.
И мы бы смогли обсудить, а возможно что-то и подсказать, и новичками полезно.
А так... ни о чем! Просто реклама.

Может и реклама, но тут на форуме за несколько минут можно найти с десяток тем типа "... скажите, что еще я могу добавить в фаервол..." и дальше простыня копипаста из нескольких ресурсов. Так что для начинающих, как первая попытка образумить самое оно.

Я в статье описал реальные ошибки, которые очень часто делают при настройке файервола. Каждый сам для себя решает будет ли ему полезен этот материал.

kursy_po_it_ru писал(а):Я в статье описал реальные ошибки, которые очень часто делают при настройке файервола. Каждый сам для себя решает будет ли ему полезен этот материал.

Нельзя все грести под одну гребенку.
Тот же богон - если у вас сеть /30 от провайдера то да, смысла в этом нет.
Если же у вас сеть /23 от провайдера, то богон прописывать и дропать не такая уж плохая идея ....

И да, про богон - люди берут инфу с офф вики микротика.... И у меня например, доверия больше к офф ресурсу :)

Вы пытаетесь сделать универсальный рецепт - не получится. Каждый прочитавший вашу статью, скорее всего это новички будут, даже не подумает о том, что не всегда применимы те или иные принципы ....

enzain писал(а):

kursy_po_it_ru писал(а):Я в статье описал реальные ошибки, которые очень часто делают при настройке файервола. Каждый сам для себя решает будет ли ему полезен этот материал.

Нельзя все грести под одну гребенку.
Тот же богон - если у вас сеть /30 от провайдера то да, смысла в этом нет.
Если же у вас сеть /23 от провайдера, то богон прописывать и дропать не такая уж плохая идея ....

И да, про богон - люди берут инфу с офф вики микротика.... И у меня например, доверия больше к офф ресурсу :)

Вы пытаетесь сделать универсальный рецепт - не получится. Каждый прочитавший вашу статью, скорее всего это новички будут, даже не подумает о том, что не всегда применимы те или иные принципы ....

По поводу BOGON:
1. Если у Вас вторым правилом стоит action=drop connection-state=invalid как у Вас пройдут пакеты с которыми не было начато соединение?
2. BOGON список периодически изменяется а все используют статический. Поэтому сети, которые сегодня "плохие" завтра могут оказаться хорошими, а они будут заблокированы. Об это можно прочесть здесь: https://en.wikipedia.org/wiki/Bogon_filtering . Цитата: "IP addresses that are currently in the bogon space may not be bogons at a later date because IANA and other registries frequently assign new address space to ISPs."
3. Если Вы решили заблокировать 192.0.2.0/24, то почему не блокируют 192.0.3.0/24 или 192.0.4.0/24 или 192.0.5.0/24?

По поводу достоверности информации:
Полностью согласен, что первоисточник всегда является более доверенным. Я сам по спорным вопросам обращаюсь к вендору за получением разъяснений. Но, к сожалению, на официальной WiKi регулярно встречаются ошибки. Можете посмотреть здесь: http://mikrotik.vetriks.ru/wiki/О_Проекте в самом низу есть скриншот с удаленной страницы, которая долго была открытой. Там признано, что была ошибочная статья. При этом в статье была не опечатка, а именно идеологическая ошибка в настройке. И это далеко не единственная ошибка, которая мне известна.

Про универсальный рецепт
В статье ничего не написано про то как делать. В основном написано, как не делать. На 99% эти правила применимы всегда:
1. Правило FastTrack без использования дополнительных условий превращает МикроТик в коробочку уровня "домашний D-Link, т. к. игнорируется приоритезация трафика и др.
2. Только разрешающие правила в нормально открытом файерволе не имеют смысла никогда и не делают ничего кроме потребления ресурсов ЦП.
3. Если использовать неверный порядок правил, то какие-то правила могут оказаться не рабочими, т. к. пакет до них не дойдет.

Предлагаю дальше не разводить холивар. Если Вы считаете, что надо блокировать статический список адресов BOGON, использовать правило FastTrack без дополнительных ограничений и делать нормально открытый файервол без запрещающих правил, то Вам виднее, что Вы будете настраивать у Вас в сети. Я поделился своей точкой зрения и дал обоснование почему я так считаю.

kursy_po_it_ru писал(а):Я поделился своей точкой зрения и дал обоснование почему я так считаю.

Привет, не обращай на него внимания, он не более чем теоретик любитель нахватавшийся кусков из Интернетов )) Таких тут куча было

kursy_po_it_ru писал(а):.......

Холивар не стоит разводить действительно.
Я и пытаюсь понять чем вы руководствуетесь. Не везде нужен нормально закрытый ФВ, где то - достаточно нормально открытого., с уточнением что именно нужно не пускать.
На вкус и цвет, потому и говорю что универсального лекарства не бывает подходящего под все варианты.