Jump to content
  • 0

съвети за firewall - моля дайте


mikrostart

Question

Здравейте,

искам да "заздравя бетона" :)

по-долу са мойте правила, които са съвсем основни.

Прегледах доста примери, включително и тези в сайта на МТ, но ми се иска някой да ми помогне (при достатъчно желание и време) да донадградя собсвеното ми творение. Рутерът се използва за домашни цели, има включен SSH само, всичко друго е стандартен интернет трафик, скайп, фейс, торрент, и т.н. Зад рутера има само компютри и телефони/таблети. За други идеи ще съм благодарен, добра ми се струва идеята за правила специално срещу дадени вируси, но е голям шансът да объркам нещо. Ако има готов пример, подобен на моя, моля посочете го. Благодаря предварително!

add action=log chain=input comment="Log invalid connections" connection-state=invalid disabled=yes log-prefix=INVALID
add action=drop chain=input comment="Drop invalid connections - input" connection-state=invalid
add chain=input comment="Accept established connections" connection-state=established
add chain=input comment="Accept related connections" connection-state=related
add chain=input comment="Allow access from local network" src-address=192.168.1.0/24
add action=drop chain=input comment="Drop everything else"
add action=drop chain=forward comment="Drop invalid connections - forward" connection-state=invalid
add chain=forward comment="Accept established connections" connection-state=established
add chain=forward comment="Accept related connections" connection-state=related
add chain=forward comment="Allow traffic from local network" src-address=192.168.1.0/24
add action=drop chain=forward comment="Drop everything else"
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.1.0/24

 

bXCDkd0.gifindex2.gif.24302c413c0651109e3a0ab15a8f7

index.gifCZArNDK.gif

Link to post
Share on other sites

2 answers to this question

Recommended Posts

  • 0
krustanovs

Има едно правило пускаш всичко което ти трябва и всичко останало го спираш.

Link to post
Share on other sites
  • 0

В този ред на мисли към това което съм постнал трябва ли да добавя нещо специфично?

bXCDkd0.gifindex2.gif.24302c413c0651109e3a0ab15a8f7

index.gifCZArNDK.gif

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Similar Content

    • kokaracha
      By kokaracha
      Продавам няколко гигабитови рутери и защитни стени Juniper от серията J и SRX.
      Всички те са в много добро техническо състояние,без забележки.Всички интерфейси и портове са тествани и работят за което гарантирам.В случай на нужда мога да ви направя базова конфигурация или консултация.
      За връзка ЛС или 0885 90 85  осем  шест
       
      1 . J2350JH -  цена 350лв.  280лв.
      Перфектн за core/border рутер !  Възможен ъпгрейд на ОС . Идеално решение за средни и малки доставчици или фирми със специфични изисквания във сферата на сигурността.Към  рутера добавям 8 портов гигабитов модул (10/100/1000) с което портовете му стават 12 общо. Има 2 козметични драскотини на горния капак
      show version Hostname: j2350 Model: j2350 JUNOS Software Release [10.2R4.10] show chassis environment Class Item Status Measurement Temp Routing Engine OK 34 degrees C / 93 degrees F Routing Engine CPU OK 28 degrees C / 82 degrees F Fans Jseries CPU fan 0 OK Spinning at normal speed Jseries CPU fan 1 OK Spinning at normal speed Jseries IO fan Check Jseries Mem fan Check Power Power Supply 0 OK show chassis hardware detail Hardware inventory: Item Version Part number Serial number Description Chassis JN11039D1ADE J2350 Midplane REV 07 710-017556 PT9822 System IO REV 07 710-017562 PV6511 J23X0 System IO Crypto Module Crypto Acceleration Routing Engine REV 12 710-017560 PW4050 RE-J2350-2500 ad0 495 MB 512MB CKS 0116F008C16A00004008 Compact Flash FPC 0 FPC PIC 0 4x GE Base PIC Power Supply 0  
       

       

       
       
       
      2.  SRX240H - 650 лв.
      Много добра и функционална защитна стена със 16 гигабитови порта.Идеално решение за средни и малки доставчици или фирми със специфични изисквания във сферата на сигурността.Б
       


    • master
      By master
      Става въпрос за едно правило което ограничава определени сайтове. Дропва от адресс лист дадени IP адреси. Но искам и да ги логва обаче нещо не мога да се ориентирам как да прави и двете едновременно.

      Това е правилото: add action=reject chain=forward comment="Block WWW" disabled=no dst-address-list=DenyWWW reject-with=icmp-network-unreachable
      Искам просто да се вижда кое IP зад рутера към кое от ограничените прави заявка.
    • lz3ai
      By lz3ai
      Рутерът сега е Mikrotik RB2011UAS-2HnD-IN.

      Преди него беше WRT160NL с DD-WRT.

      Доставчикът ми е с PPPoE с MTU 1460. Проверка с ping -f -l показва, че MTU толкова трябва и да бъде.

      При смяна на рутера и бърза настройка (само данни за ppp-връзката, интерфейсите (Всички интерфейси без Eth1 са в един бридж) и за lan при мен) почти всичко тръгва нормално, си изключение на това, че не мога да отварям web-страници - при http в браузъра ми се появяват само буквите "gw", а при https се появяват само цифрите "123". Така е и през локалниябридж, и през wlan.

      Интересното е, че като свържа на единия от LAN-портовете на Микротик-а едно старо рутерче DLink DI-524, през него върви всичко нормално и на кабел, и на WiFi (вкл. и web). Ако свържа на някой от портовете (вкл. wlan) лаптопа си (MAC) също всичко работи нормално. Обаче ако е свързан някой от десктопите или лаптоп с Windows (които с предишния рутер си работеха пълноценно), работят повечето услуги без Web.
       
      За LAN ползвам DHCP на Микротик-а, който изпраща правилно към клиентите IP, GW и DNS. Таблицата с маршрутите ми изглежда нормална. DNS ми е на Микротик-а, а той получава записите от DNS-ите на доставчика, единият от които е гугълския 8.8.8.8, а другият си е от неговата мрежа.

      Не съм правил нищо, касаещо TTL.
       
      Четох много, сменях много, започвах няколко пъти от нулата...

      И така повече от седмица. ;-))

      Настроих повече от услугите при предното рутерче - порт-форвардинги, статични адреси за постоянните клиенти на DHCP, smb и др., но web така и не тръгна.

      Някакви идеи къде да човъркам или чета? Насочил съм се към firewall или mtu, но всичките ми експерименти досега са неуспешни, вкл. и чист firewall с един единствен NAT маскарадинг и никакви правила и мангъли ;-).
       
      Не пращам никакви експорти от firewall и др., защото в момента точно са наблъскани с всякакви правила, за които съм чел от wiki на Микротик и няма да допринесат за изясняване на проблема, пък и най-вероятно ще ги махна - предпочитам простотата, която върши работа достатъчно и оптимално.
       
      Разчитам на конструктивни предложения, не на такива от сорта да сменя всички компютри в LAN с MAC и други подбни ;-).

      Предварително благодаря за отделеното време!

       
    • master
      By master
      Интересно ми е дали някой си играе да го прави естествено от гледна точка на сигурноста става въпрос.

      При нас колегата е филтрирал към клиентите няколко порта : 79, 111, 135, 137, 138, 139, 445.
    • master
      By master
      - да се прави отделно правило за всеки
      - да се изредят със запетая

      Примерно искам да забраня 111 и 135 и си мисля, че ако изредя със запетая в едно правило би трябвало да е по-добре за рутера от колкото да правя 2 правила. Или греша?
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.