Jump to content
  • 0

Как е по-добре да се "опишат" филтрираните портове във Firewall-a ?


master

Question

- да се прави отделно правило за всеки

- да се изредят със запетая

Примерно искам да забраня 111 и 135 и си мисля, че ако изредя със запетая в едно правило би трябвало да е по-добре за рутера от колкото да правя 2 правила. Или греша?

Edited by master

Analog Audio™

Link to post
Share on other sites

10 answers to this question

Recommended Posts

  • 0
Mupo neTkoB

би трябвало да е еднакво, въпроса е как ще ти е по-удобно да ги подредиш и различаваш после.

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to post
Share on other sites
  • 0
  • Administrator

Има лимит в броя на правилата, следователно е по добре да са в едно правило,

по възможност, ползвай и адресните листи за да спестиш идентични действия.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to post
Share on other sites
  • 0

От гледна точка на работата ще е еднакво но нали при повече правила се изисква повече процесорно време. Имам предвид от гледна точка на оптимизация. Иначе си прав, че малко по НЕ на гледно става със запетаята.

едит: Това с ограничението на броя на правилата не го знаех, колко е и имали връзка с лиценза и т.н.

Edited by master

Analog Audio™

Link to post
Share on other sites
  • 0
  • Administrator

за нагледност има коментари към правилата

лимита за бройката си е на iptables

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to post
Share on other sites
  • 0
kokaracha

Не бе,написал е какво има предвид. Ти да нямаш предвид,че микротик ползват нещо различно от iproute/iptables или , че ядрата си ги пишат сами ?

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to post
Share on other sites
  • 0

Явно обаче нещо друго има тъй като не го филтрира дадения порт. На базата на това ги правя:

add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC portmapper"

Analog Audio™

Link to post
Share on other sites
  • 0

Явно обаче нещо друго има тъй като не го филтрира дадения порт. На базата на това ги правя:

add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC portmapper"

я сложи това преди него

ip firewall filter add chain=forward action=jump jump-target=tcp protocol=tcp

Link to post
Share on other sites
  • 0

Сега работи но би ли разяснил защо, че нещо не мога да разбера. В примерите като гледах никъде го видях това.

И трябва ли да го повторя и за udp ?

едит: http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter тук го видях :)

Благодаря :)

Edited by master

Analog Audio™

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Similar Content

    • kokaracha
      By kokaracha
      Продавам няколко гигабитови рутери и защитни стени Juniper от серията J и SRX.
      Всички те са в много добро техническо състояние,без забележки.Всички интерфейси и портове са тествани и работят за което гарантирам.В случай на нужда мога да ви направя базова конфигурация или консултация.
      За връзка ЛС или 0885 90 85  осем  шест
       
      1 . J2350JH -  цена 350лв.  280лв.
      Перфектн за core/border рутер !  Възможен ъпгрейд на ОС . Идеално решение за средни и малки доставчици или фирми със специфични изисквания във сферата на сигурността.Към  рутера добавям 8 портов гигабитов модул (10/100/1000) с което портовете му стават 12 общо. Има 2 козметични драскотини на горния капак
      show version Hostname: j2350 Model: j2350 JUNOS Software Release [10.2R4.10] show chassis environment Class Item Status Measurement Temp Routing Engine OK 34 degrees C / 93 degrees F Routing Engine CPU OK 28 degrees C / 82 degrees F Fans Jseries CPU fan 0 OK Spinning at normal speed Jseries CPU fan 1 OK Spinning at normal speed Jseries IO fan Check Jseries Mem fan Check Power Power Supply 0 OK show chassis hardware detail Hardware inventory: Item Version Part number Serial number Description Chassis JN11039D1ADE J2350 Midplane REV 07 710-017556 PT9822 System IO REV 07 710-017562 PV6511 J23X0 System IO Crypto Module Crypto Acceleration Routing Engine REV 12 710-017560 PW4050 RE-J2350-2500 ad0 495 MB 512MB CKS 0116F008C16A00004008 Compact Flash FPC 0 FPC PIC 0 4x GE Base PIC Power Supply 0  
       

       

       
       
       
      2.  SRX240H - 650 лв.
      Много добра и функционална защитна стена със 16 гигабитови порта.Идеално решение за средни и малки доставчици или фирми със специфични изисквания във сферата на сигурността.Б
       


    • mikrostart
      By mikrostart
      Здравейте,
      искам да "заздравя бетона"
      по-долу са мойте правила, които са съвсем основни.
      Прегледах доста примери, включително и тези в сайта на МТ, но ми се иска някой да ми помогне (при достатъчно желание и време) да донадградя собсвеното ми творение. Рутерът се използва за домашни цели, има включен SSH само, всичко друго е стандартен интернет трафик, скайп, фейс, торрент, и т.н. Зад рутера има само компютри и телефони/таблети. За други идеи ще съм благодарен, добра ми се струва идеята за правила специално срещу дадени вируси, но е голям шансът да объркам нещо. Ако има готов пример, подобен на моя, моля посочете го. Благодаря предварително!
      add action=log chain=input comment="Log invalid connections" connection-state=invalid disabled=yes log-prefix=INVALID add action=drop chain=input comment="Drop invalid connections - input" connection-state=invalid add chain=input comment="Accept established connections" connection-state=established add chain=input comment="Accept related connections" connection-state=related add chain=input comment="Allow access from local network" src-address=192.168.1.0/24 add action=drop chain=input comment="Drop everything else" add action=drop chain=forward comment="Drop invalid connections - forward" connection-state=invalid add chain=forward comment="Accept established connections" connection-state=established add chain=forward comment="Accept related connections" connection-state=related add chain=forward comment="Allow traffic from local network" src-address=192.168.1.0/24 add action=drop chain=forward comment="Drop everything else" /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.1.0/24  
    • master
      By master
      Става въпрос за едно правило което ограничава определени сайтове. Дропва от адресс лист дадени IP адреси. Но искам и да ги логва обаче нещо не мога да се ориентирам как да прави и двете едновременно.

      Това е правилото: add action=reject chain=forward comment="Block WWW" disabled=no dst-address-list=DenyWWW reject-with=icmp-network-unreachable
      Искам просто да се вижда кое IP зад рутера към кое от ограничените прави заявка.
    • lz3ai
      By lz3ai
      Рутерът сега е Mikrotik RB2011UAS-2HnD-IN.

      Преди него беше WRT160NL с DD-WRT.

      Доставчикът ми е с PPPoE с MTU 1460. Проверка с ping -f -l показва, че MTU толкова трябва и да бъде.

      При смяна на рутера и бърза настройка (само данни за ppp-връзката, интерфейсите (Всички интерфейси без Eth1 са в един бридж) и за lan при мен) почти всичко тръгва нормално, си изключение на това, че не мога да отварям web-страници - при http в браузъра ми се появяват само буквите "gw", а при https се появяват само цифрите "123". Така е и през локалниябридж, и през wlan.

      Интересното е, че като свържа на единия от LAN-портовете на Микротик-а едно старо рутерче DLink DI-524, през него върви всичко нормално и на кабел, и на WiFi (вкл. и web). Ако свържа на някой от портовете (вкл. wlan) лаптопа си (MAC) също всичко работи нормално. Обаче ако е свързан някой от десктопите или лаптоп с Windows (които с предишния рутер си работеха пълноценно), работят повечето услуги без Web.
       
      За LAN ползвам DHCP на Микротик-а, който изпраща правилно към клиентите IP, GW и DNS. Таблицата с маршрутите ми изглежда нормална. DNS ми е на Микротик-а, а той получава записите от DNS-ите на доставчика, единият от които е гугълския 8.8.8.8, а другият си е от неговата мрежа.

      Не съм правил нищо, касаещо TTL.
       
      Четох много, сменях много, започвах няколко пъти от нулата...

      И така повече от седмица. ;-))

      Настроих повече от услугите при предното рутерче - порт-форвардинги, статични адреси за постоянните клиенти на DHCP, smb и др., но web така и не тръгна.

      Някакви идеи къде да човъркам или чета? Насочил съм се към firewall или mtu, но всичките ми експерименти досега са неуспешни, вкл. и чист firewall с един единствен NAT маскарадинг и никакви правила и мангъли ;-).
       
      Не пращам никакви експорти от firewall и др., защото в момента точно са наблъскани с всякакви правила, за които съм чел от wiki на Микротик и няма да допринесат за изясняване на проблема, пък и най-вероятно ще ги махна - предпочитам простотата, която върши работа достатъчно и оптимално.
       
      Разчитам на конструктивни предложения, не на такива от сорта да сменя всички компютри в LAN с MAC и други подбни ;-).

      Предварително благодаря за отделеното време!

       
    • master
      By master
      Интересно ми е дали някой си играе да го прави естествено от гледна точка на сигурноста става въпрос.

      При нас колегата е филтрирал към клиентите няколко порта : 79, 111, 135, 137, 138, 139, 445.
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.