FireWall MikroTik Базовая защита

Да.

 

Понял. Круто.

 

А ещё вопрос есть по поводу подключения cAP AC к hEX S. Я так понимаю Capsman настраивать не имеет смысла с одной точкой. cap подключил с 5-ого порта hex, настроил на cap бридж (все порты), dhcp клиент и настройки wifi. Больше ничего не нужно делать на cap , я так понимаю коли весь трафик идёт через hex, то и никакие настройки фаеврвола не нужно делать на cap? fasttrack ? скорость о локалке на wifi 5 Ггц 183 Мб \с , по-моему это мало.. в регистрейшен wifi клиенты подключён на 433 Mb\sec

 

add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN

По этому правило за сутки счётчик вообще не поменялся, как был ноль так и остался. Хм.

 

Что я делаю не так:?
------------------------
add action=reject chain=input comment="Block IP-spuffing" connection-state=\
new disabled=yes protocol=tcp reject-with=tcp-reset tcp-flags=syn,ack
add action=accept chain=input comment="ACCEPT ICMP" in-interface-list=Local \
limit=50/5s,2acket protocol=icmp
add action=accept chain=input comment="Allow DNS request from LAN" dst-port=\
53 in-interface-list=Local protocol=udp src-address=192.168.2.0/24
add action=accept chain=input comment="ALLOW access for AdminIP group" \
src-address-list=AdminIP
add action=accept chain=input comment="ACCEPT VPN Connections" dst-port=1723 \
protocol=tcp
add action=accept chain=forward comment="ACCEPT VPN connections" \
connection-state=established,new in-interface-list=Local \
out-interface-list=VPN src-address=192.168.2.0/24
add action=accept chain=forward connection-state=established,related \
in-interface-list=VPN out-interface-list=Local
add action=accept chain=input comment="ACCEPT input established and related" \
connection-state=established,related
add action=drop chain=input comment="Drop invalid input from WAN" \
connection-state=invalid in-interface-list=Local
add action=drop chain=input in-interface-list=!Local
add action=accept chain=forward comment=\
"ALLOW forward established and related" connection-state=\
established,related,untracked
add action=drop chain=forward comment=" DROP Invalid connections" \
connection-state=invalid
add action=drop chain=forward disabled=yes in-interface-list=!Local
add action=drop chain=forward comment="DROP New no dstnat connections" \
connection-nat-state=!dstnat connection-state=new in-interface-list=\
Internet
add action=add-src-to-address-list address-list=ddos-blacklist \
address-list-timeout=1d chain=input comment=\

Если включаю правило (выделено красным) пропадает доступ к удаленному компьютеру)

 

!Local

 

interface list:
Local-Локальная (внутренняя сеть ether1-ether5, объединенная в bridge)+wlan1
Internet-WAN (lte1)
VPN-pptp

 

при работающем правеле "add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN"
Не могу азйти на микротик когда подключен через ВПН.
Изменил на дропать все с ВАН.
add action=drop chain=input comment="drop all from WAN" in-interface=ether1
Таким макаром работает вход на микротик через ВПН.
Верно ли сделал?

 

Спасибо, я это и искал, но не додумался искать в профилях РРР, думал где то в интерфейсах.

 

Добрый день. Я столкнулся с такой проблемой - имеется правило:

Код:

chain=forward action=accept connection-state=established,related log=no log-prefix="" 

После него правило для DMZ-сети

Код:

chain=forward action=jump jump-target=XXX src-address=10.128.4.0/24 log=no log-prefix=""
...
chain=XXX action=drop dst-address-list=LANs log=no log-prefix="" 

В списке LANs - адреса локальных сетей.
В результате нет коннекта из локальной сети к хостам в DMZ.
В логах дроп-правила вижу пакеты SYN,ACK от DMZ-хостов. Как так получается, что при разрешенных established,related дропаются ответные пакеты?

 

Нашел свой косяк. В правиле запрещающем пролом NAT не был указан WAN, из-за этого резались пакеты, т.к. это правило стояло выше.

 

И все таки нет. В нижеприведенном файрволе в блок-правило попадают SYN,ACK пакеты

Спойлер: Конфиг

Код:

 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough

1    ;;; Drop Invalid connections
      chain=input action=drop connection-state=invalid

2    ;;; Allow Established connections
      chain=input action=accept connection-state=established,related log=no log-prefix=""

3    ;;; Allow ICMP
      chain=input action=accept protocol=icmp

4    chain=input action=accept src-address-list=LANs in-interface=!combo1

5    chain=input action=drop

6    chain=output action=accept log=no log-prefix=""

7    ;;; Allow ICMP
      chain=forward action=accept protocol=icmp log=no log-prefix=""

8    chain=forward action=accept dst-address=10.128.4.20 log=no log-prefix=""

9    chain=forward action=accept src-address=10.128.1.0/24 log=no log-prefix=""

10    chain=forward action=accept protocol=tcp dst-address=10.128.4.101 dst-port=8080 log=no log-prefix=""

11    chain=forward action=accept protocol=tcp dst-address=10.128.4.102 dst-port=80,443 log=no log-prefix=""

12    chain=forward action=accept protocol=tcp dst-address=10.128.4.114 dst-port=80,443 log=no log-prefix=""

13    chain=forward action=drop connection-state=invalid protocol=tcp in-interface=combo1 log=no log-prefix=""

14    chain=forward action=drop connection-state=new connection-nat-state=!dstnat protocol=tcp in-interface=combo1 log=no log-prefix=""

15    chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""

16    ;;; allow established, related connections
      chain=forward action=accept connection-state=established,related log=no log-prefix=""

17    chain=forward action=accept src-address=10.128.4.129 log=no log-prefix=""

18    chain=forward action=accept protocol=udp in-interface=!combo1 dst-port=53 log=no log-prefix=""

19    chain=forward action=accept protocol=udp in-interface=!combo1 dst-port=123 log=no log-prefix=""

20    chain=forward action=accept protocol=udp in-interface=!combo1 dst-port=53 log=no log-prefix=""

21    chain=forward action=accept protocol=tcp in-interface=!combo1 dst-port=53 log=no log-prefix=""

22    chain=forward action=jump jump-target=AllowedTCP protocol=tcp in-interface=combo1 log=no log-prefix=""

23    chain=forward action=jump jump-target=AllowedUDP protocol=udp in-interface=combo1 log=no log-prefix=""

24    chain=forward action=jump jump-target=VPN_NET src-address=10.9.0.0/21 log=no log-prefix=""

25    chain=forward action=jump jump-target=FromCOD src-address=10.128.4.0/24 log=no log-prefix=""

26    chain=forward action=accept src-address-list=LANs dst-address-list=LANs log=no log-prefix="ALLOW"

27    chain=AllowedTCP action=accept protocol=tcp dst-port=25 log=no log-prefix=""

28    chain=AllowedTCP action=accept protocol=tcp dst-port=80 log=no log-prefix=""

29    chain=AllowedTCP action=accept protocol=tcp dst-port=389 log=no log-prefix=""

30    chain=AllowedTCP action=accept protocol=tcp dst-port=443 log=no log-prefix=""

31    chain=AllowedTCP action=accept protocol=tcp dst-port=1295 log=no log-prefix=""

32    chain=AllowedTCP action=accept protocol=tcp dst-port=1296 log=no log-prefix=""

33    chain=AllowedTCP action=accept protocol=tcp dst-port=8443 log=no log-prefix=""

34    chain=AllowedUDP action=accept protocol=udp dst-port=1295 log=no log-prefix=""

35    chain=AllowedUDP action=accept protocol=udp dst-port=1296 log=no log-prefix=""

36    chain=AllowedTCP action=drop log=no log-prefix=""

37    chain=AllowedUDP action=drop log=yes log-prefix=""

38    chain=FromCOD action=accept dst-address-list=AllowFromCOD log=no log-prefix=""

39    chain=FromCOD action=accept tcp-flags=psh,ack protocol=tcp log=no log-prefix=""

40    chain=FromCOD action=accept protocol=tcp src-port=80,443 log=no log-prefix=""

41    chain=FromCOD action=accept protocol=udp src-port=161 log=no log-prefix=""

42    chain=FromCOD action=accept protocol=tcp dst-address=192.168.152.9 dst-port=80 log=no log-prefix=""

43    ;;; LDAP
      chain=FromCOD action=accept protocol=tcp dst-address=192.168.14.227 dst-port=389 log=no log-prefix=""

44    chain=FromCOD action=accept protocol=tcp dst-address=10.16.244.19 dst-port=993,995 log=no log-prefix=""

45    ;;; Elastic
      chain=FromCOD action=accept protocol=tcp dst-address=192.168.10.27 dst-port=5044,10050,10051 log=no log-prefix=""

46    ;;; Elastic
      chain=FromCOD action=accept protocol=tcp dst-address=192.168.10.234 dst-port=5044,10050,10051 log=no log-prefix=""


      chain=FromCOD action=accept protocol=tcp dst-address=10.152.8.10 dst-port=10050,10051 log=no log-prefix=""

48    ;;; Jira->GIT
      chain=FromCOD action=accept protocol=tcp src-address=10.128.4.9 dst-address=10.126.1.10 dst-port=80,443 log=no log-prefix=""

49    chain=FromCOD action=accept protocol=tcp src-address=10.128.4.9 dst-address=192.168.10.156 dst-port=443 log=no log-prefix=""

50    chain=FromCOD action=accept src-address=10.128.4.9 dst-address=10.16.4.38 log=no log-prefix=""

51    chain=FromCOD action=accept protocol=tcp src-address=10.128.4.9 dst-address=192.168.14.148 dst-port=3000 log=no log-prefix=""

52    chain=FromCOD action=accept src-address=10.128.4.9 dst-address=192.168.152.42 log=no log-prefix=""

53    chain=FromCOD action=accept protocol=tcp src-address=10.128.4.14 dst-address=192.168.10.10 dst-port=22 log=no log-prefix=""

54    chain=FromCOD action=accept src-address=10.128.4.20 log=no log-prefix=""

55    chain=FromCOD action=accept src-address=10.128.4.9 dst-address=192.168.152.40 log=no log-prefix=""

56    chain=FromCOD action=accept src-address=10.128.4.19 dst-address=192.168.15.248 log=no log-prefix=""

57    chain=FromCOD action=accept src-address=10.128.4.23 dst-address=192.168.15.248 log=no log-prefix=""

58    chain=FromCOD action=accept src-address=10.128.4.35 log=no log-prefix=""

59    ;;; Portal
      chain=FromCOD action=accept protocol=tcp src-address=10.128.4.101 dst-address=192.168.10.231 dst-port=445 log=no log-prefix=""

60    chain=FromCOD action=accept protocol=tcp src-address=10.128.4.101 dst-address=10.126.1.12 dst-port=445 log=no log-prefix=""

61    chain=FromCOD action=accept protocol=tcp src-address=10.128.4.101 dst-address=10.128.54.2 dst-port=3050 log=no log-prefix=""

62    chain=FromCOD action=accept protocol=tcp src-address=10.128.4.101 dst-address=10.128.54.54 dst-port=1433,1434 log=no log-prefix=""

63    chain=FromCOD action=accept protocol=tcp src-address=10.128.4.107 dst-address=192.168.8.0/21 dst-port=20,21 log=no log-prefix=""

64    ;;; VPN->IPAM
      chain=FromCOD action=accept protocol=tcp src-address=10.128.4.113 dst-address=192.168.11.5 dst-port=443 log=no log-prefix=""

65    chain=FromCOD action=accept protocol=tcp src-address=10.128.4.113 dst-address=192.168.11.22 dst-port=80 log=no log-prefix=""

66    ;;; JiraTest
      chain=FromCOD action=accept protocol=tcp src-address=10.128.4.119 dst-address=192.168.10.225 dst-port=80,443 log=no log-prefix=""

67    chain=FromCOD action=accept src-address=10.128.4.119 dst-address=192.168.10.221 log=no log-prefix=""

68    chain=FromCOD action=accept src-address=10.128.4.124 dst-address=192.168.10.221 log=no log-prefix=""

69    chain=FromCOD action=accept src-address=10.128.4.124 dst-address=192.168.10.242 log=no log-prefix=""

70    chain=FromCOD action=accept src-address=10.128.4.124 dst-address=192.168.10.251 log=no log-prefix=""

71    ;;; DNS
      chain=FromCOD action=accept protocol=udp src-address=10.128.4.127 src-port=53 log=no log-prefix=""

72    chain=FromCOD action=accept src-address=10.128.4.222 log=no log-prefix=""

73    chain=FromCOD action=drop dst-address-list=LANs log=yes log-prefix="COD BLOCK" 

 

Спасибо. Пакеты перестали пропадать.