Помогите настроить firewall. Код: 0 chain=input action=drop src-address-list=BOGON in-interface=ether1 log=no log-prefix="" 1 chain=input action=accept connection-state=established log=no log-prefix="> 2 chain=input action=accept connection-state=related log=no log-prefix="" 3 chain=input action=accept protocol=icmp log=no log-prefix="" 4 XI chain=input action=accept connection-state=new protocol=tcp dst-port=8291,22,80 log=no log-prefix="" 5 chain=forward action=reject reject-with=tcp-reset protocol=tcp layer7-protocol=reklama log=no log-prefix="" 6 chain=forward action=reject reject-with=tcp-reset protocol=tcp layer7-protocol=social log=no log-prefix="" 7 chain=forward action=reject reject-with=tcp-reset protocol=tcp layer7-protocol=video log=no log-prefix="" 8 chain=input action=drop connection-state=new in-interface=!bridge-local log=no log-prefix="" Проблема с последним правилом. Везде пишут, что надо закрыть LAN, у меня ether1 - WAN, ether2 - master port, но при его выборе в правилах, пишется ошибка. Bridge-local объединяет ether2 и wlan1 и wlan2. Правильно ли будет выбирать bridge-local? Достаточно ли правил, чтобы спать спокойно? Сегодня понял, что не работает Deezer.
Дефолтное правило для фильтрации всего не запрошенного снаружи: add action=drop chain=input comment="drop all from WAN" in-interface=ether1 На сколько этого достаточно - не знаю. По хорошему нужна и защита от скана портов, и от перебора паролей, и нестандартные порты (4 правило), и закрыть не сервисы снаружи, и вообще, выключить роутер) А так это дефолтный файервол А про диззер посмотрите, что заблокировли в L7 ПС add action=drop chain=forward comment="drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
