Ну у вас тут бардак с бриджом. Зачем вы в него ВСЕ интерфесы закинули? Начните отсюда. Это конечно для 5 версии, но в общем и целом вам подойдет. Настройка маршрутизатора RB2011. Устранение недостатков стандартной конфигурации.
вечером сделаю, по результату отпишусь. Но по моему, насколько я помню, настраивал именно по этому мануалу, а все запихал в бридж потому что не работал интернет на физ. портах, если к ним подключать ПК, запихал все в него и заработало.
Илья, спасибо. Допустил ошибку при конфигурировании, запихал WAN интерфейс в бридж, поэтому и не мог повесить акцесс лист на WAN, он находился в состоянии slave всегда. По 53 порту атака не прекратилась конечно, но количество отправляемых пакетов, на которое я обращал ваше внимание уменьшилось в 2 раза.
Настройте / восстановите файрволл по умолчанию. Здесь ether1-gateway это. WAN-порт. /ip firewall filter #INPUT add chain=input connection-state=established,related add chain=input protocol=icmp #Грохаем все новое, что пришло с WAN-интерфейса Если нужно что-то разрешить, ставим перед этим правилом!!! add action=drop chain=input in-interface=ether1-gateway #FORWARD #Грохаем инвалидные соединения add action=drop chain=forward connection-state=invalid #Защита от пролома NAT add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway
Илья, здравствуйте! Можно можно Вас попросить ответить на 2 вопроса? 1 ) Подскажите, если преимущества у дефолтной конфигурации фаервола микротик RB962UiGS-5HacT2HnT, в частности интересует правило "fasttrack", перед той которой вы привели выше: 2) Раньше у меня firewall был настроен следующим образом: при такой настройке нагрузка (при полной загрузке канала ~86 mbps) на процессор возрастает на 10-15% по сравнению с дефолтной. Скажите при какой конфигурации, микротик больше защищен от внешних и внутренних атак?
Fasttrack примерно в 2-3 раза увеличивает пропускную способность роутера за счет пропуска части этапов обработки пакета. Не будут работать, например ipsec и очереди. В файровле удобно выставлять правила в рамках цепочки. Т.к. пакет все равно попадает только в одну из цепочек файрволла Ваш файрволл Код: add action=accept chain=input protocol=icmp add action=accept chain=input connection-state=related add action=accept chain=input connection-state=established add action=accept chain=input in-interface=!ether1-gateway src-address=192.168.0.0/24 add action=drop chain=input connection-state=invalid add action=drop chain=input in-interface=ether1-gateway add action=accept chain=forward protocol=icmp add action=accept chain=forward connection-state=related add action=accept chain=forward connection-state=established add action=accept chain=forward comment=Torrent dst-address=192.168.0.2 dst-port=54782 in-interface=ether1-gateway protocol=tcp add action=drop chain=forward connection-state=invalid add action=accept chain=forward in-interface=!ether1-gateway out-interface=ether1-gateway add action=drop chain=forward У вас в принципе все неплохо. Я бы 1. Или объединил правила с established и related или поднял established выше. Оно чаще срабатывает. 2. Цепочка форвард судя по всему предполагает, что у вас нет проброса портов внутрь. 3. Инвалид в инпут можно не грохать.
С этим правилом, периодически (~1 раз в 2 дня) отваливается интернет на определенном локальном интерфейсе, как в браузере так и в других программах, если отключить это правило сразу появляется. Вывод настроек: Подскажите, в чем может быть проблема?
Инвалид обозначает что у вас коннекшн трекер ничего не знает об этом соединении. Давайте экспорт всей конфы, может чего найду.
Подскажите пожалуйста, все настроил по вашим советам, теперь VPN Не проходит, из за правила 12 ;;; drop input chain=input action=drop in-interface=domru log=no log-prefix="" Выключаю подключается Спойлер 0 X ;;; Reject Telemetry chain=forward action=reject reject-with=icmp-network-unreachable dst-address-list=MStelemetry log=no log-prefix="" 1 X chain=forward action=reject reject-with=tcp-reset layer7-protocol=*3 protocol=tcp log=no log-prefix="" 2 X chain=forward action=drop layer7-protocol=*3 protocol=udp log=no log-prefix="" 2 X chain=forward action=drop layer7-protocol=*3 protocol=udp log=no log-prefix="" 3 ;;; boggon input drop chain=input action=drop src-address-list=BOGON in-interface=domru log=no log-prefix="" 4 ;;; ip spoofing protect chain=input action=reject reject-with=tcp-reset tcp-flags=syn,ack connection-state=new protocol=tcp log=no log-prefix="" 5 ;;; ping chain=input action=accept protocol=icmp log=no log-prefix="" 6 ;;; accept established & related chain=input action=accept connection-state=established,related log=no log-prefix="" 7 chain=input action=accept protocol=udp dst-address=внешний ип src-address-list=pptp_vpn connection-type=pptp in-interface=domru port=1723 log=yes log-prefix="" 8 chain=input action=accept protocol=gre dst-address=внешний ип src-address-list=pptp_vpn in-interface=domru log=no log-prefix="" 9 X ;;; allow vpn to lan chain=forward action=accept src-address=192.168.11.0/24 in-interface=domru out-interface=bridge log=no log-prefix="" 10 ;;; established forward & related chain=forward action=accept connection-state=established,related log=no log-prefix="" 11 ;;; drop dns chain=input action=drop protocol=udp in-interface=domru dst-port=53 log=no log-prefix="query_in_drop" 12 ;;; drop input chain=input action=drop in-interface=domru log=no log-prefix="" 13 ;;; drop forward chain=forward action=drop connection-state=invalid log=no log-prefix=""
Все правила приложил под спойлером, разрешающие идут выше запрещающих, прошивка 6.40.2, использую PPTP сервер, L2TP нормально проходит, начинаю думаю что PPTP уходит в прошлое, и её спецом зарезали вот таким способом, L2TP не могу использовать так как на другой стороне провайдер блочит
l2tp использует порт - 1701/UDP, pptp если блочит провайдер разбирайтесь с провайдером, тут к сожаление помочь не сможем )
Здравствуйте, Илья. Подскажите пожалуйста, такой набор правил предотвратит описываемую в топике проблему (обработка DNS запросов из внешней сети / возможность DNS флуда снаружи) при включенной галке ip/DNS "разрешить удаленные запросы"? Все правила - дефолтные для hAP_ac_lite при поднятом на wan (ether1) pppoe, кроме последнего (правило 11) , которое я добавил на всякий случай для всего интерфейса ether1, на котором поднят pppoe, увидев, что счетчик пакетов для pppoe (правила 10) растет. Стоит ли обратить внимание на рост числа пакетов напротив этого правила, или это нормально? Маршрутизатор куплен домой. В сетях, к сожалению, ничего не соображаю. Код: /ip firewall filter add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN add action=accept chain=input protocol=icmp add action=accept chain=input connection-state=established add action=accept chain=input connection-state=related add action=drop chain=input in-interface=pppoe-out1 add action=drop chain=input in-interface=ether1
Ребята помогите не могу зайти не на один компьютер в локальной сети из вне, делаю вроде все по правилам: 0 ;;; defconf: masquerade chain=srcnat action=masquerade out-interface=pppoe-out1 log=no log-prefix="" 1 chain=dstnat action=dst-nat to-addresses=192.168.1.10 to-ports=37777 protocol=tcp in-interface=pppoe-out1 dst-port=37777 log=no log-prefix="" 2 chain=dstnat action=dst-nat to-addresses=192.168.1.10 to-ports=37778 protocol=udp in-interface=pppoe-out1 dst-port=37778 log=no log-prefix="" 3 chain=dstnat action=netmap to-addresses=192.168.1.19 to-ports=80 protocol=tcp dst-port=8021 log=no log-prefix="" Но получаю в ответ " Forbidden 403.6 IP address rejected" Впечатление такое, что у меня, с правилами Firewall беда!
