Конфигурация полноценного firewall-а

Тема в разделе "Вопросы начинающих", создана пользователем Mama, 10 апр 2016.

  1. Mama

    Mama Участник

    Друзья, всем дня!

    Подскажите пожалуйста является такая конфигурация firewall достаточной для домашнего роутера, если задача разрешить снаружи icmp, established, related трафик и дропнуть остальное?

    add chain=input comment=" test Allow ICMP" in-interface=wan protocol=icmp
    add chain=input comment=" test Allow established & related" connection-state=\
    established,related
    add action=fasttrack-connection chain=forward comment="test fasttrack" \
    connection-state=established,related
    add action=drop chain=input comment=" test Drop all from WAN" in-interface=\
    !bridge log-prefix="drop all from WAN test"

    Будет ли такая конфигурация firewall полноценной с точки зрения безопасности? Отсечет ли весь не санкционированный трафик. Не стоит ли добавить те же правила для и для цепочки forward? Нужно ли разносить отдельными правилами drop invalid и drop new для снижения нагрузки на проц? Одним словом - все кошерно?) И если нет, то почему?
    Заранее спасибо!
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Вполне.
    Вы создали стандартный файрволл за исключением одного правила. Я бы еще добавил
    1. chain=forward connection-state=invalid action=drop
     
    Mama нравится это.
  3. Mama

    Mama Участник

    Спасибо большое за ответ!
    Подскажите пожалуйста, правильно ли я понимаю, что:
    add action=drop chain=input in-interface=!bridge
    включает в себя и защиту от сканирования из вне и правила типа
    add chain=input in-interface=Internet protocol=tcp tcp-flags=fin,syn,ack action=reject reject-with=icmp-network-unreachable
    добавлять нет смысла?
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Нету.
    Вы вообще можете выполнить сброс конфигурации и посмотреть/скопировать дефолтный файрволл )
     
    Mama нравится это.
  5. Mama

    Mama Участник

    А он в disable есть, но он мне не подошел) Будем ориентироваться на лучшее)
    Как на Ваш взгляд, что, кроме дропа инвалидного форварда, стоит добавить в этот конфиг от скана портов и прочего? Так что бы точно уже можно было спать идти =)
     
    Последнее редактирование: 16 апр 2016
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Почему не подошел?
    Как правило лучше ничего и не надо.
     
    Mama нравится это.
  7. Mama

    Mama Участник

    Хотя бы потому, что дефолтный конфиг не дропал dns флуд на 53 порту. Этого было достаточно что бы перестать ему доверять...
    С Вашего позволения, повторю вопрос: на взгляд опытного человека, что еще стоит добавить в этот конфиг от скана портов и подобного?
     
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Значит у вас WAN-интерфейс был не ether1-gateway.
    У вас этот конфиг дропает все что не приколочено. Разве что добавить
    chain=forward
    connection-state=new
    connection-nat-state=!dst-nat
    action=drop
    Но это надо, если у вас есть проброс портов внутрь сети.
     
    Mama нравится это.
  9. Mama

    Mama Участник

    Спасибо =)
    А еще я вычитал здесь, что вместо drop лучше использовать reject. Как на Ваш взгляд?
     
  10. Илья Князев

    Илья Князев Администратор Команда форума

    В 2003 году, возможно так и было.
     
    Mama нравится это.
  11. Mama

    Mama Участник

    1. Что делать с igmp трафиком в этом случае?
    2. Где должно находится правило для fasttrack? Имею ввиду в firewall? Под/над чем?
     

    Вложения:

  12. Илья Князев

    Илья Князев Администратор Команда форума

    Фасттрак снизу вешается, после дропов.
    Что вы конкретно хотите сделать с igmp?
     
    Mama нравится это.
  13. Mama

    Mama Участник

    В случае
    connection-state=new
    connection-nat-state=!dst-nat
    action=drop
    igmp трафик не доходит до подписчека) Пробовал изменить это на !igmp, не сработало. Хотелось бы и это правило иметь и igmp тоже) Подскажите, как быть?
    И по поводу фасттрак: не будет эффективнее поднять его на верх, но ограничить established и related? И если нет, то почему?)
    Заранее спасибо
     
  14. Илья Князев

    Илья Князев Администратор Команда форума

    Установить пакет multicast и настроить igmp-proxy?
    Как только пакет попадает в фасттрак, он пролетает мимо файрвола. Т.е. сначала грохаем лишнее и потом фаст-трак
     
    Mama нравится это.
  15. Mama

    Mama Участник

    1. Мультикаст установлен, прокси настроен. Дело точно в !dst-nat. Правило включено - нет iptv, выключено - есть.
    2. Ну так вторым правилом и без фасттрака пролетает мимо)) Почему не ускорить установленное и ожидаемое? Или я не правильно размышляю?
     
  16. Илья Князев

    Илья Князев Администратор Команда форума

    Попробуйте тогда использовать дополнительно параметры src-address-type и dst-address-type на закладке extra
     
  17. Roman Markov

    Roman Markov Участник

    В настройках фаерволлов всегда предпочитаю внутрь сразу прописывать "Всё, что не разрешено - запрещено" и неважно - есть В ДАННЫЙ МОМЕНТ какие-то пробросы портов внутрь или нет.
    Чтобы когда появятся, не вспоминать про это.

    Потому что в версиях 5.хх по дефолту запрещался только input, а forward - был разрешен.

    Дефолтный конфиг, который после очистки ввожу, всегда заканчивается строчками:
    /ip firewall filter add chain=input action=drop in-interface=WAN comment="DROP All"
    /ip firewall filter add chain=forward action=drop in-interface=WAN comment="DROP All"