Друзья, всем дня! Подскажите пожалуйста является такая конфигурация firewall достаточной для домашнего роутера, если задача разрешить снаружи icmp, established, related трафик и дропнуть остальное? add chain=input comment=" test Allow ICMP" in-interface=wan protocol=icmp add chain=input comment=" test Allow established & related" connection-state=\ established,related add action=fasttrack-connection chain=forward comment="test fasttrack" \ connection-state=established,related add action=drop chain=input comment=" test Drop all from WAN" in-interface=\ !bridge log-prefix="drop all from WAN test" Будет ли такая конфигурация firewall полноценной с точки зрения безопасности? Отсечет ли весь не санкционированный трафик. Не стоит ли добавить те же правила для и для цепочки forward? Нужно ли разносить отдельными правилами drop invalid и drop new для снижения нагрузки на проц? Одним словом - все кошерно?) И если нет, то почему? Заранее спасибо!
Вполне. Вы создали стандартный файрволл за исключением одного правила. Я бы еще добавил 1. chain=forward connection-state=invalid action=drop
Спасибо большое за ответ! Подскажите пожалуйста, правильно ли я понимаю, что: add action=drop chain=input in-interface=!bridge включает в себя и защиту от сканирования из вне и правила типа add chain=input in-interface=Internet protocol=tcp tcp-flags=fin,syn,ack action=reject reject-with=icmp-network-unreachable добавлять нет смысла?
А он в disable есть, но он мне не подошел) Будем ориентироваться на лучшее) Как на Ваш взгляд, что, кроме дропа инвалидного форварда, стоит добавить в этот конфиг от скана портов и прочего? Так что бы точно уже можно было спать идти =)
Хотя бы потому, что дефолтный конфиг не дропал dns флуд на 53 порту. Этого было достаточно что бы перестать ему доверять... С Вашего позволения, повторю вопрос: на взгляд опытного человека, что еще стоит добавить в этот конфиг от скана портов и подобного?
Значит у вас WAN-интерфейс был не ether1-gateway. У вас этот конфиг дропает все что не приколочено. Разве что добавить chain=forward connection-state=new connection-nat-state=!dst-nat action=drop Но это надо, если у вас есть проброс портов внутрь сети.
1. Что делать с igmp трафиком в этом случае? 2. Где должно находится правило для fasttrack? Имею ввиду в firewall? Под/над чем?
В случае connection-state=new connection-nat-state=!dst-nat action=drop igmp трафик не доходит до подписчека) Пробовал изменить это на !igmp, не сработало. Хотелось бы и это правило иметь и igmp тоже) Подскажите, как быть? И по поводу фасттрак: не будет эффективнее поднять его на верх, но ограничить established и related? И если нет, то почему?) Заранее спасибо
Установить пакет multicast и настроить igmp-proxy? Как только пакет попадает в фасттрак, он пролетает мимо файрвола. Т.е. сначала грохаем лишнее и потом фаст-трак
1. Мультикаст установлен, прокси настроен. Дело точно в !dst-nat. Правило включено - нет iptv, выключено - есть. 2. Ну так вторым правилом и без фасттрака пролетает мимо)) Почему не ускорить установленное и ожидаемое? Или я не правильно размышляю?
Попробуйте тогда использовать дополнительно параметры src-address-type и dst-address-type на закладке extra
В настройках фаерволлов всегда предпочитаю внутрь сразу прописывать "Всё, что не разрешено - запрещено" и неважно - есть В ДАННЫЙ МОМЕНТ какие-то пробросы портов внутрь или нет. Чтобы когда появятся, не вспоминать про это. Потому что в версиях 5.хх по дефолту запрещался только input, а forward - был разрешен. Дефолтный конфиг, который после очистки ввожу, всегда заканчивается строчками: /ip firewall filter add chain=input action=drop in-interface=WAN comment="DROP All" /ip firewall filter add chain=forward action=drop in-interface=WAN comment="DROP All"