Самое простое из правильного для обычной домашней сетки - запрещаешь любые соединения снаружи и разрешаешь все исходящие соединения изнутри - сам роутер (chain input) и внутренняя сетка (chain forward) так же прописываешь NAT маскарад для внутренней сетки. В зависимости от модели роутера бывает еще прописывают fasttrack connection для соединений в состоянии established и related.Freem-freem:У кого микротик, скажите какие правила фаервола ставите?
Останні статті і огляди
Новини
Выбор роутера
-
nukeproof
Member
- Звідки: Киев
-
Freem-freem
Member
- Звідки: "${Kharkiv}"
Ага и не будет интернетаnukeproof:запрещаешь любые соединения снаружи
Похоже, что сперва надо как в скриптах выше, давать разрешение на входящие established , related как для input так и для forward. С сеткой это понятно маскарад и разрешать доступ В ether1.
Вобщем думал может тут есть сетевые инженеры.
-
cfcnightmare
Member
- Звідки: Одесса
Freem-freem форвард из бридж Лан в Ван аксепт
Форвард из Ван в бридж Лан эстаблишд рэлэйтед
Форвард из Ван в бридж Лан эстаблишд рэлэйтед
-
nukeproof
Member
- Звідки: Киев
Иногда лучше жевать чем говорить. Хотя возможно есть недопонимание - имелось ввиду инициированные снаружи и это стандартный принцип построения любого фаервола. Внутрь идет либо то что разрешено либо ничего вообще.Freem-freem:Ага и не будет интернета
Отправлено спустя 2 минуты 10 секунд:
established это established - что бы стало established сначало должно new произойтиFreem-freem: входящие established
ftp://powerfast.net/pub/manuales/mikrot ... ls.key.pdf
https://mum.mikrotik.com/presentations/ ... 473597.pdf
Востаннє редагувалось 29.12.2018 23:28 користувачем nukeproof, всього редагувалось 1 раз.
-
BorisBrejcha
Member
- Звідки: Odessa
Сетевые инженеры в Микротике не дураки.Freem-freem: Похоже, что сперва надо как в скриптах выше, давать разрешение на входящие established ,
Вобщем думал может тут есть сетевые инженеры.
Дефолтовых правил "с завода" вполне достаточно для обычного домашнего использования.
-
nukeproof
Member
- Звідки: Киев
Ответ неправильный - включено много лишнего, поскольку нет цели максимизировать безопасность из коробки, а есть цель сделать так что бы юзер воткнул роутер и с полтычка заработало в большинстве случаев.BorisBrejcha: Дефолтовых правил "с завода" вполне достаточно для обычного домашнего использования.
Freem-freem
Вот еще небольшой гайд по харденингу
https://mum.mikrotik.com/presentations/ ... 374113.pdf
-
Freem-freem
Member
- Звідки: "${Kharkiv}"
Верю, но у меня их нет, сбрасывать все настройки чтобы увидеть правила не хотелось быBorisBrejcha:Дефолтовых правил "с завода" вполне достаточно для обычного домашнего использования.
nukeproof
сейчас почитаю, спасибо!
Я пока таким макаром настроил, я так понимаю локация правила в вертикальной иерархии тоже важна.
-
BorisBrejcha
Member
- Звідки: Odessa
например?nukeproof:BorisBrejcha: включено много лишнего,
-
nukeproof
Member
- Звідки: Киев
Роутер доступен из WAN, открыта куча портов, включен MAC server, RoMON, Btest server, Neighbor Discovery, дефолтный юзер не поменян, ОС не обновлена с прошивкой итп итд. Одно из основных правил ИТ секьюрити - все что не используется должно быть отключено.BorisBrejcha:например?
Сидение на дефолте рано или поздно заканчивается вот так https://habr.com/post/424433/ поскольку в каком то из сервисов обнаруживают уязвимость, после чего роботы массово разносят заразу по инету и роутер начинает жить своей жизнью.
Потому стоит разобраться в базовых настройках фаервола и роутера, а так же погуглить на тему Mikrotik security guide и Mikrotik hardening guide тогда всё станет более менее на свои места.
Отправлено спустя 37 минут 48 секунд:
Сложно так сказать просто по таблице. Обычно для лучшей читабельности настраивают цепочку за цепочкой. Например пропиши сначала все правила для input потом пропишешь все правила для forward. Всё что ниже запрещающего правила "drop all" для каждой из цепочек работать не будет. Оно ставится в самый низ цепочки. В зависимости о того как мы себе видим конфиг можно вместо "drop all" сделать например "drop all from WAN (port N)", а для цепочки forward "drop all from WAN not DSTNATed" например. По тем ссылкам что я дал информации более чем достаточно.Freem-freem:Я пока таким макаром настроил
Правила применяются поочередно - сверху вниз с учетом цепочки. Разрешающиие правила надо ставить перед запрещающим, которое влияет на этот функционал.Freem-freem: я так понимаю локация правила в вертикальной иерархии тоже важна.
Отправлено спустя 4 минуты 41 секунду:
Можно сохранить конфиг в виде файла на сам роутер (раздел File) и он успешно будет переживать сброс настроек кнопкой ресет на роутере. Или в виде скрипта сделай экспорт в текстовый файл наружу - есть статьи как это сделать.Freem-freem:Верю, но у меня их нет, сбрасывать все настройки чтобы увидеть правила не хотелось бы
Отправлено спустя 10 минут 9 секунд:
Freem-freem
Кстати про обновления RouterOS, рекомендую использовать ветку longterm (бывшая bugfix) вместо дефолтной stable - там количество багов и соответственно уязвимостей наименьшее, хоть версия и ниже чем в stable.
-
Spaceman
Member
- Звідки: Киев
Кто этой фигнёй будет для домашнего пользования заморачиваться? И зачем? Вот реально, народ покупает всякие тп-линки и д-линки и еще какие-то "линки", и живёт спокойно. Понимаю, микротик лучше и т.д. и т.п. Но вот это - как-то уже очень на паранойю похоже. Ладно еще для бизнеса, больших компаний - понятно, оправданно, но там есть специально обученные люди для этого. А для дома - бред.
-
nukeproof
Member
- Звідки: Киев
Spaceman
Не будешь заморочиваться будешь частью ботнета включая роутер и сами устройства LAN.
Не будешь заморочиваться будешь частью ботнета включая роутер и сами устройства LAN.
-
Spaceman
Member
- Звідки: Киев
nukeproof
Уууу, как страшно. Как я только жил до этого момента не подозревая о подобной фигне. Наверное, как и 99.9% всех остальных.
Уууу, как страшно. Как я только жил до этого момента не подозревая о подобной фигне. Наверное, как и 99.9% всех остальных.
-
nukeproof
Member
- Звідки: Киев
Эти роутеры еще хуже чем микротики поскольку обновлений к ним практически не выходит и есть сайтики где конкретно выложены модель роутера и скриптик что бы сломать его на раз два. А дальше верчу как хочу.Spaceman:Вот реально, народ покупает всякие тп-линки и д-линки и еще какие-то "линки", и живёт спокойно.
Согласны жить в мире и согласиии с вирусами у себя на компе то всегда пожалуйста. Потом начинаются жалобы - ой украли личные данные или акаунт от любимой гамы увели, или данные кредитки, или еще какая то хрень произошла, комп например перегреватся пока кому то биткойны майнит или зашифровалось всё в самый неудобный момент, или ребенок в синего кита играть начал, или наснимали через вебку что то личное со звуком да мало ли, что может быть.Spaceman:Кто этой фигнёй будет для домашнего пользования заморачиваться? И зачем?
Нет конечно можно забить на роутер так сяк его настроить, поставить на комп какой то KIS с лицензией, который расчитан на то что бы в мир смотреть без роутера. И вероятность перечисленного снизится конечно но так делать неправильно и у многих ли стоит приличный антивирус со своим фаерволом на компе и зачем тогда покупать Микротик. Микротики кто понимает изначально покупают из за соотношения функционал/цена.
Отправлено спустя 1 минуту 35 секунд:
Все очень относительно.Spaceman:Уууу, как страшно. Как я только жил до этого момента не подозревая о подобной фигне. Наверное, как и 99.9% всех остальных.
Востаннє редагувалось 30.12.2018 02:59 користувачем nukeproof, всього редагувалось 1 раз.
-
Spaceman
Member
- Звідки: Киев
Ты плохих фильмов насмотрелся.nukeproof: Согласны жить в мире и согласиии с вирусами у себя на компе то всегда пожалуйста. Потом начинаются жалобы - ой украли личные данные или акаунт от любимой гамы увели, или данные кредитки, или еще какая то хрень произошла, комп например перегреватся пока кому то биткойны майнит или зашифровалось всё в самый неудобный момент, или ребенок в синего кита играть начал, или наснимали через вебку что то личное со звуком да мало ли, что может быть.
Я вообще не слышал о том, чтоб чей-то домашний роутер кто-то таким образом "увёл". А вот о том, как кто-то лазил по мутным сайтам и кликал на левые ссылки, в результате чего цеплял всякую дрянь - дофига историй. Даже взять этот форум. Была хоть одна жалоба или упоминание о таком? Было бы очень интересно собрать статистику. Пока что, повторюсь, это выглядит как паранойя.
-
nukeproof
Member
- Звідки: Киев
ты еще скажи что земля плоская - за свою беспечность ты заплатишь в свое время хорошую ценуSpaceman:Ты плохих фильмов насмотрелся.
-
Spaceman
Member
- Звідки: Киев
Повторю вопрос: ты лично много таких случаев встречал?nukeproof: ты еще скажи что земля плоская - за свою беспечность ты заплатишь в свое время хорошую цену
-
nukeproof
Member
- Звідки: Киев
Жалоб хватает самых разных, а что послужило причиной - лазанье по сайтам или роутер дырявый который может на эти сайты как раз перенаправлять злонамеренно надо изучать каждый конкретный случай. Вобщем все как в фильмеSpaceman: Даже взять этот форум. Была хоть одна жалоба или упоминание о таком?
Я невеждам ничего не доказываю если ты настолько глуп и упрям что бы отрицать очевидное флаг тебе в руки - не засоряй тему своими каментами ни о чем.Spaceman:Повторю вопрос: ты лично много таких случаев встречал?
-
Spaceman
Member
- Звідки: Киев
Что и требовалось доказать: никаких реальных случаев никто не знает, но зато ОЧЕНЬ НАДО ВСЕМ СПАСАТЬСЯ ФСЁ УКРАДУТ!!!11!!!!1
-
nukeproof
Member
- Звідки: Киев
Spaceman:Я вообще не слышал о том, чтоб чей-то домашний роутер кто-то таким образом "увёл"
чукча не читатель - чукча писательnukeproof:заканчивается вот так https://habr.com/post/424433/
-
Avenger80
Member
- Звідки: Харьков
Spaceman
nukeproof
Вот такой он Микротик или его пользователи... Замороченные одним словом. Почитав вашу переписку с настройками этого роутера - 99,9% пользователей не будут так заморачиваться. Так как это всё больше похоже на применение своих личных знаний и типа показывания - посмотрите как я крут... Обычные пользователи поставят себе обычный TP-link типа 841 и будут довольны.
Ну вот кто, даже на этом форуме так заморачивается с настройками? Так заморачивается только сисадмин работающий по профилю в организации и уже с другими мозгами, повёрнутыми в другую сторону в силу своей работы. Можно даже голосование устроить. Обычно так - о стену пробивает - хорошо, IP телевидение показывает - хорошо. И типа всё - больше ничего не надо.
Отправлено спустя 40 минут 59 секунд:
А бегло прочитав статью на Habr - начинаешь понимать, что Микротик не нужен обычному домашнему пользователю, который не задействован в сфере сисадминства или сетевой безопасности, т.к. купив такое устройство неподготовленный пользователь только зло себе сделает, т.к., я понял, не настроенный Микротик большая дыра и даже TP-link наверное его уделывает по безопасности. Ну а настроив - стена, крепость. Но тут встаёт другой вопрос на повестке дня - а многие ли готовы лезть в такие дебри и у многих ли мозгов для этого хватит без особой подготовки.
Немного о авторе статьи (выдержка):
"Немного о себе
Попытаюсь ответить на вопросы, которые наверняка мне зададут.
1. Я работаю на должности не связанной с Mikrotik и сетями в общем.
2. Тем не менее у меня есть сертификат MTCNA.
3. Микротик — моё хобби. Всё, что я делаю — мне просто нравится. Так сказать «по фану».
4. Почему не устроился на работу по профилю? Те кто в нашем городе покупает mikrotik много платить ЗП не могут. Те, кто может мне платить достойную ЗП — покупают cisco.
5. В комментах в фаерволе я указывал свои кошельки, но с мая мне закинули всего около $40. В телеграм писали из разных стран, мол у них нет wmz, но всё равно «спасибо»."
Все ли у нас такие пользователи, а?
nukeproof
Вот такой он Микротик или его пользователи... Замороченные одним словом. Почитав вашу переписку с настройками этого роутера - 99,9% пользователей не будут так заморачиваться. Так как это всё больше похоже на применение своих личных знаний и типа показывания - посмотрите как я крут... Обычные пользователи поставят себе обычный TP-link типа 841 и будут довольны.
Ну вот кто, даже на этом форуме так заморачивается с настройками? Так заморачивается только сисадмин работающий по профилю в организации и уже с другими мозгами, повёрнутыми в другую сторону в силу своей работы. Можно даже голосование устроить. Обычно так - о стену пробивает - хорошо, IP телевидение показывает - хорошо. И типа всё - больше ничего не надо.
Отправлено спустя 40 минут 59 секунд:
А бегло прочитав статью на Habr - начинаешь понимать, что Микротик не нужен обычному домашнему пользователю, который не задействован в сфере сисадминства или сетевой безопасности, т.к. купив такое устройство неподготовленный пользователь только зло себе сделает, т.к., я понял, не настроенный Микротик большая дыра и даже TP-link наверное его уделывает по безопасности. Ну а настроив - стена, крепость. Но тут встаёт другой вопрос на повестке дня - а многие ли готовы лезть в такие дебри и у многих ли мозгов для этого хватит без особой подготовки.
Немного о авторе статьи (выдержка):
"Немного о себе
Попытаюсь ответить на вопросы, которые наверняка мне зададут.
1. Я работаю на должности не связанной с Mikrotik и сетями в общем.
2. Тем не менее у меня есть сертификат MTCNA.
3. Микротик — моё хобби. Всё, что я делаю — мне просто нравится. Так сказать «по фану».
4. Почему не устроился на работу по профилю? Те кто в нашем городе покупает mikrotik много платить ЗП не могут. Те, кто может мне платить достойную ЗП — покупают cisco.
5. В комментах в фаерволе я указывал свои кошельки, но с мая мне закинули всего около $40. В телеграм писали из разных стран, мол у них нет wmz, но всё равно «спасибо»."
Все ли у нас такие пользователи, а?