Доброго времени суток всем. Недавно пережил печальную утрату роутера ASUS. После подключения к новому провайдеру, роутер быстро вышел из строя (перестал качать 100мб/с по кабелю). Быстро приобрел новый роутер, этот супер замечательный Mikrotik 951! Для его настройки конечно пришлось обратится в справочные разделы. Честно говоря ничего особо сложного не увидел. Сложно для тех юзеров которые никогда не сталкивались с "железом", и никогда не слышали терминов которые используются для настройки данного оборудования. Мне он очень понравился в плане своих гибких и "мощных" настроек в отличие от своих собратьев данного класса. Мне для дома его настроек хватает больше чем "застрелится", практически ничего не интересует, пока! После того как установил и запустил роутер, на следующий день залез в логи. Увидел, что роутер несколько раз был перезапущен с критическими ошибками, и мне не понравился анализ трафика как TCP так UDP. Хочу правильно настроить фаервол и надолго забыть, про всякие там проблемы с флудами спуфами и всякой х..-ой что творится в сетке провайдера. Теперь вопрос по теме, почему где выкладывают примеры написания правил для Firewall, пишут так: add chain=input action=accept connection-state=established add chain=input action=accept connection-state=related Почему бы не написать это одним правилом? add chain=input action=accept connection-state=established,related Или есть какая-то особенность в Mikrotik расписывать каждое действие в отдельности? Спасибо
Здравствуйте. Каждое действие по отдельности нужно в том случае, если вы собираетесь эти соединения анализировать по отдельности. "add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked" - так будет достаточно. И вообще в стандартных настройках фаервола все хорошо защищено, поэтому лучше использовать их и открывать по необходимости, что нужно.
Спасибо за ответ. Вообще для начала, решил весь трафик проанализировать, очень уж интересно . Еще вот такой вопрос есть к знающим людям. Возможно ли открывать доступ к нескольким портам используя multiport, например как используется в iptables : -A INPUT -p tcp -m multiport –source-port 22,53,80,110