Інтернет = 1 Гбіт/с

[Scoffer]

Правильний фаєрвол в домашніх умовах це дроп інпут на ван-портах як захист від кул-хацкерів зі сканерами і 0-дей вразливостями, та і аутпут в світ для камер і іншого дірявого іот майна теж підрізати треба щоб віщали тільки куди треба, без копії в особистий архів піня, а не оті ваші вигадки за 28 кілобаксів

[Борщ]

Scoffer
Та ні, не вигадки, далеко не вигадки:)
Але згоден, тут кожному своє, якщо задача - чисто власна інфогігієна, то можна і чимось вбудованим обійтись на рівні iptables а якщо тобі треба капасіті в 12 мільйонів тср сесій, для прикладу, та по порядка 30к ip префіксів в ACL, по яким ці сесії фільтувати + обмеження по портам, то там цінники ростуть в геометричній прогресії. Я звісно не сумніваюсь, що ти спец і в апаратних FW, куди мені)
28 - це ще бюджетненько)

[Scoffer]

Борщ
І шо тобі це прям вдома треба тримати 12 мільйонів сесій? Щось дуже сумнівно.
Вдома куди більш приземлені завдання, котрі тим не менш потребують наявності фаєрвола як такого.

[Борщ]

Scoffer
То я ж про те в першому реченні й написав) мій вибір то й же iptables. Дьошево і сєрдіто:)))

[sanya555]

Кто-то может провести тест и выложить скрин с опровержением или доказательством?

Так это нереально сделать, во первых полного гигабита все равно не будет, хоть шнурком прямо в комп, хоть через роутер. Даже если вам будет раздавать сидбоксер с 10 гиговым каналом, максимум что я видел это 116 метров, а я торентщик со стажем на кинозале отданого трафика почти 716 терабайт. Сейчас у меня древний роутер Сяоми 3G, он гигабита не замечает, я могу качать кино 80-90 метров, при этом смотреть формулу на сетанте, мама в это время может на другом телике смотреть кино по самбе с диска подключенного к роутеру

[BorisBrejcha]

S
Шо ліквідатор, що ти, повний нуль:) навіть без цитат. Ти взагалі знаєш що таке фаєрвол? Чи це для тебе галочка в налаштуваннях роутера? Правильний фаєрвол вартує не один десяток тисяч доларів. Даже поганий китайський одноюнітовий dptech fw1000 з ліцензією вартує 28куе.

а зачем вам такой прибор дома?
какой у вас трафик чтобы иметь такой файрвол?

[Евгений King]

Ви це кажете власнику HAP ac2 і по сумісництву людині, котра з мережами працює, я прочитав мануалів і книжок по мережам більше, аніж Ви.

И что, читал читал да недочитал раз такие глупости пишешь. Ты что не знаешь один из основных приципов ИБ, что ходить по сети должно только то что разрешено. Как ты собираешься это реализовать без фаервола? И не важно корпоративная сеть это или домашняя. Дома даже хуже поскольку всякого рода IoT устройства не имеют никакой защиты от слова вообще.

VPN тунелі не балансуються по ядрам, як і ряд інших функцій, так що роутер цілком буде нормально собі жити навіть з шифрованим тунелем в повну заявлену полосу у 400М.

Если роутер софтовый все там нагрузится. Достаточно у гугла спросить про vpn tunnel 100% cpu.

Зовсім інша справа це те, що ви не навели сценарію такого тунелю і де б він Вам був у нагоді. Просте "я зашифрую увесь свій трафік просто тому що" звучить як наркоманія)

Если будут интенсивно качать то на гигабитном порту L2TP/IPSec туннеля в удаленный офис вполне достаточно что бы положить на лопатки любой домашний или околодомашний роутер. Спеки на сайте Микротик тому подтверждение.

Та шо Ви той "IoT" сюди приплітаєте, для звичайного пересічного юзера, у котрого вдома пара ПК/ноутів і телефонів, поясніть накой треба фаєрвол? Може Ви його налаштовуєте по ману з інету або галочками на роутері, без розуміння що це і для чого?
От ви пане майстер язиком ляпати, кажете у гугла спитати, спитав, ось ВАМ чітке підтвердження, що шифрований тунель в ROS юзає одне ядро:

спойлер

https://forum.mikrotik.com/viewtopic.php?t=198321

Якщо Вам треба ганяти великі об'єми даних поміж офісами по L2TP/IPSec на інфраструктурі HAP ac2 - це звучить дуже сумно, а така компанія виглядає дуже погано, бо не виділили достатньо коштів на нормальну інфраструктуру. Якщо ж мова про те, що у Вас вдома HAP ac2 і ви додому по тунелю з роботи дані переганяєте і назад - то тут великі питання до органцізації робочого процессу і знову таки, якщо таке дозволяється - компанія дуже погано виглядає в моєму розумінні. Не знаю навіть, чи то приклад у Вас поганий вийшов, чи Ваші реалії настільки сумні)

[tablestikus]

для звичайного пересічного юзера, у котрого вдома пара ПК/ноутів і телефонів, поясніть накой треба фаєрвол? Може Ви його налаштовуєте по ману з інету або галочками на роутері, без розуміння що це і для чого?

Взагалі то фаєрвол є в кожному роутері, у більшості домашніх просто його керування урізано по повній і частину речей автоматизованов в налаштуваннях без користувача.

[Scoffer]

для звичайного пересічного юзера, у котрого вдома пара ПК/ноутів і телефонів, поясніть накой треба фаєрвол?

Для звичайного перечісного юзера, у котрого вінда налаштована приблизно ніяк, файрвол котрий дропає інпути на вані є нічим іншим як прямо таки порятунком від 99.(9)% загроз з мережі. У мене зараз за місяць десь пів гіга пакетів надропується, і це при тому що сіра адреса, а не зовсім дупою в світ.

[Ekz0rcyst]

Евгений King
Чи треба firewall взагалі? Чи ви маєте на увазі нащо він в роутерах? Не зовсім розумію суті вашого питання. Уточніть про що йде мова.

[tablestikus]

для звичайного пересічного юзера, у котрого вдома пара ПК/ноутів і телефонів, поясніть накой треба фаєрвол?

Для звичайного перечісного юзера, у котрого вінда налаштована приблизно ніяк, файрвол котрий дропає інпути на вані є нічим іншим як прямо таки порятунком від 99.(9)% загроз з мережі. У мене зараз за місяць десь пів гіга пакетів надропується, і це при тому що сіра адреса, а не зовсім дупою в світ.

Я якось мережу сканив і побачив такий комп - там щей пошарені диски були. Ну я злив трохи домашнього _ з нього)))

[Rucha]

tablestikus
"Кому я потрібен..."
Тем не менш я б таким не хизувався, бо це явка з повинною в скоїнні криминального злочину.

[artko]

Для звичайного перечісного юзера, у котрого вінда налаштована приблизно ніяк, файрвол котрий дропає інпути на вані є нічим іншим як прямо таки порятунком від 99.(9)% загроз з мережі. У мене зараз за місяць десь пів гіга пакетів надропується, і це при тому що сіра адреса, а не зовсім дупою в світ.

так дефолтна вінда наче вже давно ставить після встановлення параметрі фаервола на публічну мережу та блочить усе..

[tablestikus]

tablestikus
"Кому я потрібен..."
Тем не менш я б таким не хизувався, бо це явка з повинною в скоїнні криминального злочину.

Нічого не відбувалося

[Scoffer]

artko
Ага, і юзер не відходячи від каси вмикає шару все для всіх шоб скинути домашнє відео tablestikus'у
Налаштування прав це куди як більш складна концепція ніж файрвол на роутері все дропає без розбору, а юзер про те ні сном ні духом.

[Евгений King]

для звичайного пересічного юзера, у котрого вдома пара ПК/ноутів і телефонів, поясніть накой треба фаєрвол?

Для звичайного перечісного юзера, у котрого вінда налаштована приблизно ніяк, файрвол котрий дропає інпути на вані є нічим іншим як прямо таки порятунком від 99.(9)% загроз з мережі. У мене зараз за місяць десь пів гіга пакетів надропується, і це при тому що сіра адреса, а не зовсім дупою в світ.

Прямо якийсь дитсадок.
ПК за роутером це не те саме, що пк напряму з білою адресою, роутер дропне 99% зайвого вже банальною своєю наявністю.
Те що ви фаерволом прикриєте, то звісно добре, але практично безкорисно, лише зайве навантаження на роутер.
А те що у вас півгіга якогось трафіку дропається - то питання до провайдера, видно у провайдера схема мережі з минулого століття і ви сидите у VLAN з кількома сотнями інших клієнтів, от вони і розсилають вам броадкаст і інше сміття.
Мільйони людей сидять з гівно роутерами апріорі без фаєрволів і щось я не бачив щоденних витоків данних, зломів і іншої ахінеї через це.

Задля закриття питання в цілому, поясню в трьох словах свою позицію:
Фактичний реальний фаєрвол на роутері не потрібен, він дропає все те, що роутер і так проігнорує. Немає сенсу писати кілометрові правила фаєрволу, це не раціонально і не доцільно. Якщо все ж бажаєте якийсь фаєрвол - цілком достатньо дефолтного, котрий пропонує виробник девайсу.
Більш важливо, аби роутер мав актуальне ПО і не світив в мережу інтерфейсом, на котрий реально зайти ззовні, а також мав гарний лог/пасс без усіляких admin/admin і т.д.
Без додаткового налаштування роутера зловмисник нічого кримінального не зробить. Мається на увазі, поки ви самі не відкриєте якусь діру.
Ну і важливо прикрити усі відомі діри, веб інтерфейс, FTP, etc, змінити порти, вимкнути зайві сервіси, задати інше ім'я девайсу, це просто зменшить потенційну цікавість до вашого роутера у брутфорс мереж і інших допитливих персон.

Що я маю на увазі реально, з прикладу мого роутера:
- вимкнено всі ip -> services окрім SSH та winbox, останні доступні виключно з локалки, встановлено власний лог/пасс
- вимкнено DNS "сервер" самого роутера, оскільки раніше він мав вразливості, та й ніколи не розумів користі від кешу DNS коли RTT до Cloudflare/Google 1-5 ms
- замінено ssh та winbox порти
- роутер автоматично оновлюється на актуальний софт
- для додаткової безпеки можна прикрутити скріпт, котрий буде всі спроби авторизації і інше сміття одразу ловити і блокувати

Як результат, я бачу за останній місяць рівно 6 спроб авторизації від допитливих ботнетів, на цьому все. Зламати роутер фактично не можливо, навіть якщо буде якась вразливість на рівні ПО роутера - зловмисник тупо не авторизується.
Якщо навіть і прилетить інший раз якийсь лівий пакет, роутер його просто дропне, бо пакет фактично не має кінцевого адресату.

PS: загалом в 99.9% ситуацій ваш роутер чи ПК чи інше устаткування потрібні зловмисникам для розширення власної ботнет мережі, що опісля буде приймати участь в DDoS, звісно я не виключаю, що можливі сценарії коли вас хочуть прямо таргетно взяти за дупу, отримати доступ до ПК або вкрасти якісь дані, та без саме в першу чергу вашої допомоги, зробити це все не реально.
PSPS: це все не стосується китай техніки, реєстраторів, камер і іншого IoT, їх бажано виокремлювати в іншу мережу чи реально крити фаєрволами вдоль та в поперек.

[Scoffer]

Евгений King
Я не справжній сварщик в мережах, просто мимо проходив, але ти щось плутаєш. Береш видаляєш/дісейблиш всі правила в /ip firewall на своїй мікроті -> вітаю, маршрутизатор нічого не дропає з усіма відповідними наслідками

Відправлено через 8 хвилин 37 секунд:
Якщо ти про нат, то це не фаєрвол і блочить щось він дуже умовно. І я не розумію в чому проблема на ван порті створити правило drop input. Справа 10 секунд.
Не кажучи вже про те що ipv6 і нат дружать, але не дуже.

[Евгений King]

Евгений King
Я не справжній сварщик в мережах, просто мимо проходив, але ти щось плутаєш. Береш видаляєш/дісейблиш всі правила в /ip firewall на своїй мікроті -> вітаю, маршрутизатор нічого не дропає з усіма відповідними наслідками

Відправлено через 8 хвилин 37 секунд:
Якщо ти про нат, то це не фаєрвол і блочить щось він дуже умовно. І я не розумію в чому проблема на ван порті створити правило drop input. Справа 10 секунд.
Не кажучи вже про те що ipv6 і нат дружать, але не дуже.

Якщо пакет не має фактичного адресата, він дропнеться.
Отримавши пакет з зовнішньої мережі роутер шукає в таблиці трансляцій порт призначення, в заголовку пакета. Якщо буде співпадіння, IP адреса призначення та номер порта заміняються значеннями таблиці і пакет піде у внутрішню мережу. Якщо співпадінь немає - пакет проігнорується.
Суто для свідків корисності фаєрволу, підняв собі, таки впевнили в його корисності
От тільки чогось за пів години він нічого вагомого не піймав, вивів в логи всі дропи, пара якихось гадів сканують порти роутера і на цьому все :

спойлер

[tablestikus]

Якщо ти про нат, то це не фаєрвол і блочить щось він дуже умовно. І я не розумію в чому проблема на ван порті створити правило drop input. Справа 10 секунд.
Не кажучи вже про те що ipv6 і нат дружать, але не дуже.

Перетворення адреси методом NAT може виконувати майже будь-який маршрутизаційний пристрій — маршрутизатор, сервер доступу, міжмережевий екран (фаєрвол).

Відправлено через 50 секунд:
Я погледів що там у мене є з відкритого на вході, так тіки пару портів для впн та прокидання порта для торрент-клієнта. Все інше дропається)

[Евгений King]

Ну ось Вам за півдня статистика фаєрволу:

спойлер

Я позаглядав в нього, одні порт сканери
Навіть додав правило, аби ловимти їх і блокувати одразу. За пів дня всього 5 активних сканерів піймало, а весь фаєрвол наловив аж 3Мб трафіку, це ніщо, це реально дуже мало, враховуючи що я поставив десятикратно більший таймер відлову, ніж був в дефолтному скріпті.
У декотрих людей скріпт наловлює до 200-500 хостів на день.
З цього я роблю висновок, що чомусь мій роутер ботнетам не сильно то й цікавий, Видно всьго два відкриті порти в кінці діапазону більшість сканерів не нащупують
А от варто виставити на вінбокс/SSH дефолтний порт, або лишити включену вебку роутера, або пробити порт на ПК чи IoT, ботнети будуть Вас домагатись товпами)
ВСЕ ЩЕ не зрозумів, навіщо треба Ваш фаєрвол і все ще потребую пояснень
У мене відкрито всього 2 порти, про котрі я знаю, через котрі зламати роутер не реалістично. Тому те, що хтось там сканує якісь порти, ну таке, хай сканує. Блокуй не блокуй його, він буде їх сканувати постійно бо це скріпт, а не людина, головне, як і писав раніше - це згасити цікавість цих зловмисників.