FireWall MikroTik Базовая защита

Тема в разделе "Общий форум", создана пользователем danbankir, 2 мар 2019.

Страница 1 из 2
  1. danbankir

    danbankir Новый участник

    Добрый день. Подскажите какой стадартный набор правил на сегодня актуален? А то на многих ресурсах пишут разному, или вобще устаревшие понятия. Где то пишу что санало фильтруем input, а затем forward , где что-то через одно input - forward. Кто-то разрешает пинг, а где то его фильтруют.
     
    danbankir, 2 мар 2019
    #1
    Проект построения Wi-Fi на складе для работы с ТСД
    Проект построения Wi-Fi на складе для работы с ТСД
    Проект создания беспроводной сети wi-fi в ресторане
    Проект создания беспроводной сети wi-fi в ресторане
    Проект настройки WiFi-сети на выставке со страницей авторизации
    Проект настройки WiFi-сети на выставке со страницей авторизации
  2. danbankir

    danbankir Новый участник

    В данный момент настроено вот так :

    add action=accept chain=input connection-state=established,related
    add action=accept chain=forward connection-state=established,related
    add action=drop chain=input connection-state=invalid in-interface=Bridge_Main
    add action=drop chain=forward connection-state=invalid
    add action=drop chain=input dst-port=53,123 in-interface=Bridge_Main protocol=udp
    add action=drop chain=input dst-port=53,123 in-interface=Bridge_Main protocol=tcp
    add action=accept chain=input in-interface=Bridge_Main limit=50/5s,2:packet protocol=icmp
    add action=accept chain=forward in-interface=Bridge_Main limit=50/5s,2:packet protocol=icmp
    add action=reject chain=forward comment=MS_Telemetry in-interface=Bridge layer7-protocol=Telemetry protocol=tcp reject-with=tcp-reset
    add action=reject chain=forward layer7-protocol=Telemetry out-interface=Bridge protocol=tcp reject-with=tcp-reset
    add action=accept chain=forward in-interface=Bridge src-address=192.168..0/24
    add action=drop chain=input in-interface=Bridge_Main
    add action=drop chain=forward in-interface=Bridge_Main
     
    danbankir, 2 мар 2019
    #2
  3. Vaippp

    Vaippp Участник

    Настроек которые по умолчанию, вполне достаточно:
    Код:
    /ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
     
    Vaippp, 3 мар 2019
    #3
  4. danbankir

    danbankir Новый участник

    Здесь вот уже не состыковки, на многих сайтах пишут и на вэбинарах говорят что правила:
    add action=accept chain=input connection-state=established,related
    add action=accept chain=forward connection-state=established,related
    add action=drop chain=input connection-state=invalid in-interface=Bridge_Main
    add action=drop chain=forward connection-state=invalid

    Должны быть на сомом верху и идти друг за другом, иначе правило drop invalid не будет работать.


    Да и не приверженец я дефолтных настроек, охото защититься от всех и вся, т.к. статичный IP, да и mikrotik создан не для дефолт конфиг.
     
    danbankir, 3 мар 2019
    #4
  5. Vaippp

    Vaippp Участник

    Хорошо, настройте как пишут на сайтах, им видимо лучше знать, чем разработчикам mikrotik.
     
    Vaippp, 3 мар 2019
    #5
  6. danbankir

    danbankir Новый участник

    Вы сами используете дефолтный фаерволл??? В стандартном даже нет правила запрещающего флуд на 53 порту :
    add action=drop chain=input dst-port=53,123 in-interface=Bridge_Main protocol=udp
    add action=drop chain=input dst-port=53,123 in-interface=Bridge_Main protocol=tcp
    Добавьте к себе его.
     
    danbankir, 3 мар 2019
    #6
  7. Vaippp

    Vaippp Участник

    Есть:
    add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
     
    Vaippp, 3 мар 2019
    #7
  8. danbankir

    danbankir Новый участник

    такое правило у меня тоже есть
    add action=drop chain=input in-interface=WAN

    однако пакеты по этому add action=drop chain=input dst-port=53,123 in-interface=WAN protocol=udp правилу проходят.
     
    danbankir, 4 мар 2019
    #8
  9. Vaippp

    Vaippp Участник

    add action=accept chain=input connection-state=established,related
    add action=accept chain=forward connection-state=established,related
    add action=drop chain=input connection-state=invalid in-interface=Bridge_Main
    add action=drop chain=forward connection-state=invalid
    add action=drop chain=input dst-port=53,123 in-interface=Bridge_Main protocol=udp
    add action=drop chain=input dst-port=53,123 in-interface=Bridge_Main protocol=tcp
    add action=accept chain=input in-interface=Bridge_Main limit=50/5s,2:packet protocol=icmp
    add action=accept chain=forward in-interface=Bridge_Main limit=50/5s,2:packet protocol=icmp
    add action=reject chain=forward comment=MS_Telemetry in-interface=Bridge layer7-protocol=Telemetry protocol=tcp reject-with=tcp-reset
    add action=reject chain=forward layer7-protocol=Telemetry out-interface=Bridge protocol=tcp reject-with=tcp-reset
    add action=accept chain=forward in-interface=Bridge src-address=192.168..0/24
    add action=drop chain=input in-interface=Bridge_Main
    add action=drop chain=forward in-interface=Bridge_Main
    Где?
     
    Vaippp, 4 мар 2019
    #9
  10. danbankir

    danbankir Новый участник

    add action=drop chain=input in-interface=WAN
     
    danbankir, 4 мар 2019
    #10
  11. Vaippp

    Vaippp Участник

    Это я понял, где именно находится это правило?
     
    Vaippp, 4 мар 2019
    #11
  12. danbankir

    danbankir Новый участник

    в самом низу
     
    danbankir, 4 мар 2019
    #12
  13. danbankir

    danbankir Новый участник

    Bridge_Main это у меня WAN + TV, два порта в бридже
     
    danbankir, 4 мар 2019
    #13
  14. Vaippp

    Vaippp Участник

    Попробуйте заменить:
    add action=drop chain=input in-interface=Bridge_Main
    add action=drop chain=forward in-interface=Bridge_Main
    на это:
    add action=drop chain=input in-interface=!Bridge
    add action=drop chain=forward in-interface=!Bridge
     
    Vaippp, 4 мар 2019
    #14
  15. danbankir

    danbankir Новый участник

    это типо обрубает все входящие соединения не относящиеся к локальной сети?
     
    danbankir, 4 мар 2019
    #15
  16. Vaippp

    Vaippp Участник

    Да.
     
    Vaippp, 4 мар 2019
    #16
  17. danbankir

    danbankir Новый участник

    Если я ничего не использую из этого , то соответственно не нужно это указать?

    add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
    add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
    add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
    add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
    add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp

    на wiki mikrotik чуть чуть другие правила :
    https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter#Router_protection
     
    danbankir, 4 мар 2019
    #17
  18. Vaippp

    Vaippp Участник

    Да.
    https://wiki.mikrotik.com/wiki/Manual:Quickset
    Firewall router: This enables secure firewall for your router and your network. Always make sure this box is selected, so that no access is possible to your devices from the internet port.
     
    Vaippp, 4 мар 2019
    #18
  19. danbankir

    danbankir Новый участник

    Обалдеть, ещё и через QuickSet.. o_O
     
    danbankir, 4 мар 2019
    #19
  20. danbankir

    danbankir Новый участник

    Настроил я дефолтный фаервол, с этими правила т.е. вообще необходимости нет блокировать список bogon и правила для 53 и 123 портов?
     
    Последнее редактирование: 5 мар 2019
    danbankir, 5 мар 2019
    #20
Страница 1 из 2