Добрый день. Подскажите какой стадартный набор правил на сегодня актуален? А то на многих ресурсах пишут разному, или вобще устаревшие понятия. Где то пишу что санало фильтруем input, а затем forward , где что-то через одно input - forward. Кто-то разрешает пинг, а где то его фильтруют.
В данный момент настроено вот так : add action=accept chain=input connection-state=established,related add action=accept chain=forward connection-state=established,related add action=drop chain=input connection-state=invalid in-interface=Bridge_Main add action=drop chain=forward connection-state=invalid add action=drop chain=input dst-port=53,123 in-interface=Bridge_Main protocol=udp add action=drop chain=input dst-port=53,123 in-interface=Bridge_Main protocol=tcp add action=accept chain=input in-interface=Bridge_Main limit=50/5s,2acket protocol=icmp add action=accept chain=forward in-interface=Bridge_Main limit=50/5s,2acket protocol=icmp add action=reject chain=forward comment=MS_Telemetry in-interface=Bridge layer7-protocol=Telemetry protocol=tcp reject-with=tcp-reset add action=reject chain=forward layer7-protocol=Telemetry out-interface=Bridge protocol=tcp reject-with=tcp-reset add action=accept chain=forward in-interface=Bridge src-address=192.168..0/24 add action=drop chain=input in-interface=Bridge_Main add action=drop chain=forward in-interface=Bridge_Main
Настроек которые по умолчанию, вполне достаточно: Spoiler Code: /ip firewall filter add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \ protocol=udp add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" \ ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" \ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related add action=accept chain=forward comment=\ "defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" \ connection-state=invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN
Здесь вот уже не состыковки, на многих сайтах пишут и на вэбинарах говорят что правила: add action=accept chain=input connection-state=established,related add action=accept chain=forward connection-state=established,related add action=drop chain=input connection-state=invalid in-interface=Bridge_Main add action=drop chain=forward connection-state=invalid Должны быть на сомом верху и идти друг за другом, иначе правило drop invalid не будет работать. Да и не приверженец я дефолтных настроек, охото защититься от всех и вся, т.к. статичный IP, да и mikrotik создан не для дефолт конфиг.
Вы сами используете дефолтный фаерволл??? В стандартном даже нет правила запрещающего флуд на 53 порту : add action=drop chain=input dst-port=53,123 in-interface=Bridge_Main protocol=udp add action=drop chain=input dst-port=53,123 in-interface=Bridge_Main protocol=tcp Добавьте к себе его.
Есть: add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN
такое правило у меня тоже есть add action=drop chain=input in-interface=WAN однако пакеты по этому add action=drop chain=input dst-port=53,123 in-interface=WAN protocol=udp правилу проходят.
Spoiler add action=accept chain=input connection-state=established,related add action=accept chain=forward connection-state=established,related add action=drop chain=input connection-state=invalid in-interface=Bridge_Main add action=drop chain=forward connection-state=invalid add action=drop chain=input dst-port=53,123 in-interface=Bridge_Main protocol=udp add action=drop chain=input dst-port=53,123 in-interface=Bridge_Main protocol=tcp add action=accept chain=input in-interface=Bridge_Main limit=50/5s,2acket protocol=icmp add action=accept chain=forward in-interface=Bridge_Main limit=50/5s,2acket protocol=icmp add action=reject chain=forward comment=MS_Telemetry in-interface=Bridge layer7-protocol=Telemetry protocol=tcp reject-with=tcp-reset add action=reject chain=forward layer7-protocol=Telemetry out-interface=Bridge protocol=tcp reject-with=tcp-reset add action=accept chain=forward in-interface=Bridge src-address=192.168..0/24 add action=drop chain=input in-interface=Bridge_Main add action=drop chain=forward in-interface=Bridge_Main Где?
Попробуйте заменить: add action=drop chain=input in-interface=Bridge_Main add action=drop chain=forward in-interface=Bridge_Main на это: add action=drop chain=input in-interface=!Bridge add action=drop chain=forward in-interface=!Bridge
Если я ничего не использую из этого , то соответственно не нужно это указать? add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \ protocol=udp add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp на wiki mikrotik чуть чуть другие правила : https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter#Router_protection
Да. https://wiki.mikrotik.com/wiki/Manual:Quickset Firewall router: This enables secure firewall for your router and your network. Always make sure this box is selected, so that no access is possible to your devices from the internet port.
Настроил я дефолтный фаервол, с этими правила т.е. вообще необходимости нет блокировать список bogon и правила для 53 и 123 портов?
