Форум программистов, компьютерный форум, киберфорум
Наши страницы
Mikrotik
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.63/16: Рейтинг темы: голосов - 16, средняя оценка - 4.63
mailomsk
5 / 5 / 0
Регистрация: 23.09.2016
Сообщений: 125
#1

Правила для mikrotik firewall

06.12.2017, 09:11. Просмотров 2952. Ответов 116
Метки нет (Все метки)

Уважаемые форумчане! Прошу Вас выложить набор правил для firewall!
В интернете очень много всяких!(Но то опечатки, то незаконченные логически и т.д.) Да и думаю многим начинающим пользователям, да возможно и бывалым, будет полезно скажем так взять и выбрать 2-3 варианта правил!
Для примера!
№0 Стандартный джентельменский набор!
№1 жестко блокируем все что не разрешено
№2 добавим защиту железки
Те правила, которые в 99,99% случаев можно смело импортировать!
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
06.12.2017, 09:11
Ответы с готовыми решениями:

Правила для гостевой сети MikroTik
Добрый день! Есть MikroTik на RouterOS в котором имеется местная сеть и...

Firewall для VLAN
Здравствуйте, не могли бы пожалуйста посмотреть, правильно ли у меня настроен...

Проброс портов на Mikrotik для Trassir
Всем привет, делаю проброс 3080,3081,8080,555 и ничего не получается, может кто...

Маршрутизация для чайников в RouterOS - Mikrotik
Добрый день. Проблема заключается в следующем. Есть маленькая сеть...

Симулятор провайдера для настройки Mikrotik
Добрый день. Есть следующая ситуация : - микротик 2011 - провайдер с РРРоЕ и...

116
romsan
Эксперт по компьютерным сетям
1612 / 836 / 147
Регистрация: 17.10.2015
Сообщений: 3,628
06.12.2017, 09:42 #2
Ну как бы не желательно выкладывать политику безопасности на общее обозрение. Поэтому я выкладываю основной набор (естественно с некоторыми изменениями) :
Кликните здесь для просмотра всего текста

/ip firewall filter
# Блокируем на начальном этапе все инвалидные соединения на PPPoE-интерфейсе:
add action=drop chain=input connection-state=invalid in-interface=PPPoE-200

# Настраиваем правила для блокировки от перебора паролей по RDP и PPTP протоколам:
add action=drop chain=input in-interface=PPPoE-200 src-address-list=BlackList
add action=jump chain=forward connection-state=new dst-port=3389,1723 \
in-interface=PPPoE-200 jump-target=check-bruteforce protocol=tcp
add action=add-src-to-address-list address-list=bruteforcer \
address-list-timeout=10m chain=check-bruteforce src-address-list=\
bruteforce-stage-5
add action=add-src-to-address-list address-list=bruteforce-stage-5 \
address-list-timeout=1m chain=check-bruteforce src-address-list=\
bruteforce-stage-4
add action=add-src-to-address-list address-list=bruteforce-stage-4 \
address-list-timeout=1m chain=check-bruteforce src-address-list=\
bruteforce-stage-3
add action=add-src-to-address-list address-list=bruteforce-stage-3 \
address-list-timeout=1m chain=check-bruteforce src-address-list=\
bruteforce-stage-2
add action=add-src-to-address-list address-list=bruteforce-stage-2 \
address-list-timeout=1m chain=check-bruteforce src-address-list=\
bruteforce-stage-1
add action=add-src-to-address-list address-list=bruteforce-stage-1 \
address-list-timeout=1m chain=check-bruteforce

# Разрешаем пинги "из вне" на роутер:
add action=accept chain=input in-interface=PPPoE-200 protocol=icmp

# Разрешаем связанные и установленные соединения на роутер:
add action=accept chain=input connection-state=established,related \
in-interface=PPPoE-200

# Разрешаем доступ на микротик "из вне":
add action=accept chain=input dst-port=8291 in-interface=PPPoE-200 protocol=tcp

# Разрешаем VPN (PPTP), поднятом на роутере:
add action=accept chain=input dst-port=1723 in-interface=PPPoE-200 protocol=tcp
add action=accept chain=input in-interface=PPPoE-200 protocol=gre

# Разрешаем RDP в наше сеть:
add action=accept chain=forward dst-port=3389 in-interface=PPPoE-200 protocol=\
tcp

# Правило проверки брутфорса:
add action=drop chain=forward connection-state=new in-interface=PPPoE-200 \
src-address-list=bruteforcer

# Разрешаем связанные и установленные соединения в сеть:
add action=accept chain=forward connection-state=established,related \
in-interface=PPPoE-200

# Всё остально, что не прописано выше - блокируем на входе:
add action=drop chain=input in-interface=PPPoE-200


Добавлено через 5 минут
Вообщето, я исходил из этих 6 основных правил:
1) блокировка инвалидов на входе по INPUT
2) Разрешить установленные и связанные соединения по INPUT
3) Разрешить установленные и связанные соединения по FORWARD
4) Разрешить ICMP по INPUT
5) Разрешить доступ на роутер из вне по INPUT
6) Блокировать всё остальное по INPUT

ПыСы: Спасибо за всё это нашему коллеги NoNe. Он меня подучил (да и продолжает учить) на начальном этапе изучения микротик.
0
mailomsk
5 / 5 / 0
Регистрация: 23.09.2016
Сообщений: 125
06.12.2017, 10:39  [ТС] #3
Спасибо!
Да и не надо выкладывать политику!
Есть же 100% обязательный набор правил!
1-Это защита железки
2-Защита локальной сети
1+2+еще и т.д.
В Интернете полно всякой всячины, просто шикарно было бы собрать все в одном месте, что бы простые обыватели могли применять многолетний опыт ГУРУ!
PS NoNe тоже респект!
0
romsan
Эксперт по компьютерным сетям
1612 / 836 / 147
Регистрация: 17.10.2015
Сообщений: 3,628
06.12.2017, 10:47 #4
Существует 2 политики.
1) Что не разрешено, то запрещено.
2) Что не запрещено, то разрешено.
Нужно для себя выбрать одну из них и следовать этому. Путать и совмещать их нельзя.
Я использую первую политику. Т.е. изначально всё запрещено. Потом просто прописываю, то что мне нужно.
0
mailomsk
5 / 5 / 0
Регистрация: 23.09.2016
Сообщений: 125
06.12.2017, 11:03  [ТС] #5
Ну вот! Ваш основной набор да и отличается от тех простыней что можно на просторах интернета найти по запросу!
У простого пользователя при поиске джентельменского набора могут возникнуть вопросы, а если собрать на хорошем и зарекомендованном (отличном форуме), где размещают свои ответы на вопросы, предложения и т.д. 2-3 Варианта, которые знающие люди посмотрят, дополнят или выскажут свое мнение или предложение, будет просто замечательно!
0
romsan
Эксперт по компьютерным сетям
1612 / 836 / 147
Регистрация: 17.10.2015
Сообщений: 3,628
06.12.2017, 11:17 #6
mailomsk, кол-во правил фаервола прямо пропорционално пароноидальности владельца.
1
mailomsk
5 / 5 / 0
Регистрация: 23.09.2016
Сообщений: 125
06.12.2017, 11:31  [ТС] #7
romsan, Согласен!
Но в 90% по запросу вываливается такая сборка!
Кликните здесь для просмотра всего текста
/ip firewall address-list

add address=0.0.0.0/8 disabled=no list=BOGON
add address=10.0.0.0/8 disabled=no list=BOGON
add address=100.64.0.0/10 disabled=no list=BOGON
add address=127.0.0.0/8 disabled=no list=BOGON
add address=169.254.0.0/16 disabled=no list=BOGON
add address=172.16.0.0/12 disabled=no list=BOGON
add address=192.0.0.0/24 disabled=no list=BOGON
add address=192.0.2.0/24 disabled=no list=BOGON
add address=192.168.0.0/16 disabled=no list=BOGON
add address=198.18.0.0/15 disabled=no list=BOGON
add address=198.51.100.0/24 disabled=no list=BOGON
add address=203.0.113.0/24 disabled=no list=BOGON
add address=224.0.0.0/4 disabled=no list=BOGON
add address=240.0.0.0/4 disabled=no list=BOGON

/ip firewall filter

# Блокируем всех из чёрного списка
add action=drop chain=input comment="Drop blocklist" dst-address-list=blocklist
add action=drop chain=forward comment="Drop blocklist" dst-address-list=blocklist

# Блокируем Bogon
add action=drop chain=input comment=Bogon_Wan_Drop in-interface=internet \
src-address-list=BOGON

# Блокируем DNS запросы на внешний интерфейс
add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=internet protocol=udp
add action=drop chain=input dst-port=53 in-interface=internet protocol=tcp
add chain=input action=drop in-interface=internet protocol=udp dst-port=53

# Блокируем взлом Windows
add action=drop chain=input comment="Block hole Windows" dst-port=135,137-139,445,593,4444 protocol=tcp
add action=drop chain=forward dst-port=135,137-139,445,593,4444 protocol=tcp
add action=drop chain=input dst-port=135,137-139 protocol=udp
add action=drop chain=forward dst-port=135,137-139 protocol=udp

# Блокируем некоторые порты
add action=drop chain=tcp dst-port=69 protocol=tcp
add action=drop chain=tcp dst-port=111 protocol=tcp
add action=drop chain=tcp dst-port=2049 protocol=tcp
add action=drop chain=tcp dst-port=12345-12346 protocol=tcp
add action=drop chain=tcp dst-port=20034 protocol=tcp
add action=drop chain=tcp dst-port=3133 protocol=tcp
add action=drop chain=tcp dst-port=67-68 protocol=tcp
add action=drop chain=udp dst-port=69 protocol=udp
add action=drop chain=udp dst-port=111 protocol=udp
add action=drop chain=udp dst-port=2049 protocol=udp
add action=drop chain=udp dst-port=3133 protocol=udp

# Фильтруем полезный ICMP
add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="ICMP echo reply"
add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="ICMP net unreachable"
add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="ICMP host unreachable"
add chain=icmp protocol=icmp icmp-options=3:4 action=accept comment="ICMP host unreachable fragmentation required"
add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="ICMP allow source quench"
add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="ICMP allow echo request"
add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="ICMP allow time exceed"
add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="ICMP allow parameter bad"
add chain=icmp action=drop comment="ICMP deny all other types"

# Защита от брутфорса SSH
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=3d chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout= \
30m chain=input connection-state=new dst-port=22 protocol=tcp \
src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout= \
30m chain=input connection-state=new dst-port=22 protocol=tcp \
src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout= \
30m chain=input connection-state=new dst-port=22 protocol=tcp

# Защита от сканера портов
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="Port scanners to list" disabled=no

# Комбинации TCP флагов, указывающих на использование сканера портов
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="NMAP NULL scan"

# Запрет подключений сканеров портов
add chain=input src-address-list=port_scanners action=drop comment="dropping port scanners" disabled=no
add chain=forward src-address-list=port_scanners action=drop comment="dropping port scanners" disabled=no

# OUTPUT
add chain=output action=accept out-interface=ether1 comment="accept everything to internet"
add chain=output action=accept out-interface=!ether1 comment="accept everything to non internet"
add chain=output action=accept comment="accept everything"

# FORWARD
#fasttrack-connection forward
add action=fasttrack-connection chain=forward connection-state=established,related

# jumping
add chain=forward protocol=tcp action=jump jump-target=tcp
add chain=forward protocol=udp action=jump jump-target=udp
add chain=forward protocol=icmp action=jump jump-target=icmp

# accept forward from local to internet
add chain=forward action=accept in-interface=!internet out-interface=internet comment="accept from local to internet"

#Разрешаем все уже установленные подключения (connection state=established)
add chain=input connection-state=established action=accept comment="allow established connections"

# Разрешаем все зависимые подключения (connection state=related)
add chain=input connection-state=related action=accept comment="allow related connections"

# Разрешаем подключение только из нашей локальной сети
add action=accept chain=input src-address=192.168.0.0/24

# Разрешаем внешние подключения для собственных нужд
add action=accept chain=input dst-port=22 in-interface=internet protocol=tcp comment="Allow SSH"
add action=accept chain=input dst-port=80 in-interface=internet protocol=tcp comment="Allow HTTP"
add action=accept chain=input dst-port=161 in-interface=internet protocol=udp comment="Allow SNMP"
add action=accept chain=input dst-port=443 in-interface=internet protocol=tcp comment="Allow HTTPS"
add action=accept chain=input dst-port=1194 in-interface=internet protocol=tcp comment="Allow OpenVPN"
add action=accept chain=input dst-port=1194 in-interface=internet protocol=udp
add chain=input comment="Allow L2TP" dst-port=1701 in-interface=internet protocol=tcp
add chain=input comment="Allow L2TP" dst-port=1701 in-interface=internet protocol=udp
add chain=input comment="Allow PPTP" dst-port=1723 in-interface=internet protocol=tcp
add chain=input comment="Allow GRE" in-interface=internet protocol=gre

#Запрещаем недействительные соединения для цепочек input
add chain=input connection-state=invalid action=drop comment="drop invalid connections"

# Запрет транзита '''битых''' и '''неправильных''' пакетов
add chain=forward connection-state=invalid action=drop comment="Drop Invalid connections"

# Заперт установки новых транзитных входящих соединений на WAN порту
add action=drop chain=forward comment="Drop new forward WAN" connection-state=new in-interface=internet

# Запрет всех входящих на маршрутизатор
add chain=input in-interface=internet action=drop comment="Drop everything else"

# drop all other forward
add chain=forward action=drop comment="drop everything else"

/ip firewall nat
add action=masquerade chain=srcnat out-interface=internet
0
NoNaMe
Эксперт по компьютерным сетям
642 / 296 / 45
Регистрация: 10.06.2009
Сообщений: 1,335
06.12.2017, 18:36 #8
Я параноик. У меня фаервол на 7000+ строк. Так еще и анализатор через api добивает правила.
Еще скрипты по расписанию обновляют адрес листы. Если возник вопрос про джентельменский набор. То тут все зависит от стротегии. Я предпочитаю вначале разрешать а потом все запрещать. Но перед этим в raw дропнуть лишнее. В mangle превратить из портов и протоколов в имена соединений. Дать приоритеты. На уровне route rules запретить часть маршрутов. В nat пробросить уже проименованные соединения. И только после этого в роль вступает firewall filters. Но он непростой, а разделенный jump'ами. Так еще есть firewall в bridge и там то-же есть nat и filters. Правил много а загруз цп при этом нестрадает.

А на обычных маршрутизаторах я применяю джентельменский набор. Думаю подпишу его и выложу на неделе.
0
romsan
06.12.2017, 20:17
  #9

Не по теме:

Цитата Сообщение от NoNaMe Посмотреть сообщение
У меня фаервол на 7000+ строк
нихуа хуа %-)

0
mailomsk
5 / 5 / 0
Регистрация: 23.09.2016
Сообщений: 125
13.12.2017, 14:22  [ТС] #10
Всем доброго времени суток!
Поможете расположить правила firewall в правильной последовательности и помочь с ошибками?
0
.None
Эксперт по компьютерным сетям
2345 / 895 / 126
Регистрация: 23.06.2009
Сообщений: 3,163
13.12.2017, 14:37 #11
ну если фаервол не на 7к строк, давай посмотрим , в спойлер, желательно в тег code
0
romsan
Эксперт по компьютерным сетям
1612 / 836 / 147
Регистрация: 17.10.2015
Сообщений: 3,628
13.12.2017, 14:49 #12
Цитата Сообщение от .None Посмотреть сообщение
ну если фаервол не на 7к строк,
надеюсь не все такие как Вы параноики
mailomsk, сделайте в терминале /export compact file=cyber.rsc и потом из Filles данный созданный файл выложите сюда. Позырим....
0
mailomsk
5 / 5 / 0
Регистрация: 23.09.2016
Сообщений: 125
13.12.2017, 18:54  [ТС] #13
romsan, и .None, Да какой 7к )) 41 До дому доберусь обязательно сделаю! так как есть вопросы на которые пока не нашел ответа!

Добавлено через 2 часа 34 минуты
Ну вот конфиг что есть!
Кликните здесь для просмотра всего текста
# dec/13/2017 20:14:14 by RouterOS 6.40.5

/interface bridge
add name=bridge_lan
/interface ethernet
set [ find default-name=ether1 ] comment=IN_internet
set [ find default-name=ether2 ] comment="OUT_MikroTik CRS125-24G-1S-IN"
set [ find default-name=ether3 ] comment=OLD_to_all master-port=ether2
set [ find default-name=ether4 ] master-port=ether2
set [ find default-name=ether5 ] master-port=ether2
set [ find default-name=ether7 ] master-port=ether6
set [ find default-name=ether8 ] master-port=ether6
set [ find default-name=ether9 ] master-port=ether6
set [ find default-name=ether10 ] master-port=ether6
/interface ipip
add local-address=109.78.15.200 name=IPIP_Tunnel remote-address=109.78.15.206
/ip neighbor discovery
set ether1 discover=no
set ether2 discover=no
set ether3 discover=no
set ether4 discover=no
set ether5 discover=no
set ether6 discover=no
set ether7 discover=no
set ether8 discover=no
set ether9 discover=no
set ether10 discover=no
set sfp1 discover=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik3011UiAS
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 enc-algorithms=3des pfs-group=\
none
/interface bridge port
add bridge=bridge_lan interface=ether2
add bridge=bridge_lan interface=ether6
/ip address
add address=109.78.15.200/22 interface=ether1 network=109.78.15.0
add address=192.168.15.222/24 interface=ether2 network=192.168.15.0
/ip dns
set allow-remote-requests=yes servers=109.78.15.193
/ip firewall address-list
add address=109.78.15.114 list=Admin
add address=192.168.1.31 list=Admin
add address=192.168.1.35 list=Admin
add address=109.78.15.201 list=Admin
add address=109.78.15.98 list=Admin
add address=192.168.15.10 list=Office_IP
add address=192.168.15.11 list=Office_IP
add address=192.168.15.12 list=Office_IP
add address=192.168.15.13 list=Office_IP
add address=192.168.15.14 list=Office_IP
add address=192.168.15.15 list=Office_IP
add address=192.168.15.16 list=Office_IP
add address=192.168.15.17 list=Office_IP
add address=192.168.15.18 list=Office_IP
add address=192.168.15.19 list=Office_IP
add address=192.168.15.20 list=Office_IP
add address=192.168.15.21 list=Office_IP
add address=192.168.15.22 list=Office_IP
add address=192.168.15.23 list=Office_IP
add address=192.168.15.24 list=Office_IP
add address=192.168.15.25 list=Office_IP
add address=192.168.15.26 list=Office_IP
add address=192.168.15.27 list=Office_IP
add address=192.168.15.28 list=Office_IP
add address=192.168.15.29 list=Office_IP
add address=192.168.15.30 list=Office_IP
add address=192.168.15.31 list=Office_IP
add address=192.168.15.32 list=Office_IP
add address=192.168.15.33 list=Office_IP
add address=192.168.15.34 list=Office_IP
add address=192.168.15.35 list=Office_IP
add address=192.168.15.36 list=Office_IP
add address=192.168.15.37 list=Office_IP
add address=192.168.15.38 list=Office_IP
add address=192.168.15.39 list=Office_IP
add address=192.168.15.40 list=Office_IP
add address=192.168.15.41 list=Office_IP
add address=192.168.15.42 list=Office_IP
add address=192.168.15.43 list=Office_IP
add address=192.168.15.44 list=Office_IP
add address=192.168.15.45 list=Office_IP
add address=192.168.15.46 list=Office_IP
add address=192.168.15.47 list=Office_IP
add address=192.168.15.48 list=Office_IP
add address=192.168.15.49 list=Office_IP
add address=192.168.15.50 list=Office_IP
add address=192.168.15.1 comment=Server list=Office_IP
/ip firewall filter
add action=drop chain=input comment="#" connection-state=invalid in-interface=ether1
add action=drop chain=input comment="Drop flood on port 53" dst-port=53 \
in-interface=ether1 protocol=udp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=3d chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=30m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=30m chain=input connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=30m chain=input connection-state=new dst-port=22 \
protocol=tcp
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=2w chain=input comment="Port scanners to list" \
protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" \
protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp \
tcp-flags=fin,syn
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp \
tcp-flags=syn,rst
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=\
tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp \
tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=port_scanners \
address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp \
tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="dropping port scanners" \
src-address-list=port_scanners
add action=drop chain=forward comment="dropping port scanners" \
src-address-list=port_scanners
add action=jump chain=forward connection-state=new dst-port=3389,1723 \
in-interface=ether1 jump-target=check-bruteforce protocol=tcp
add action=add-src-to-address-list address-list=bruteforcer \
address-list-timeout=10m chain=check-bruteforce src-address-list=\
bruteforce-stage-5
add action=add-src-to-address-list address-list=bruteforce-stage-5 \
address-list-timeout=1m chain=check-bruteforce src-address-list=\
bruteforce-stage-4
add action=add-src-to-address-list address-list=bruteforce-stage-4 \
address-list-timeout=1m chain=check-bruteforce src-address-list=\
bruteforce-stage-3
add action=add-src-to-address-list address-list=bruteforce-stage-3 \
address-list-timeout=1m chain=check-bruteforce src-address-list=\
bruteforce-stage-2
add action=add-src-to-address-list address-list=bruteforce-stage-2 \
address-list-timeout=1m chain=check-bruteforce src-address-list=\
bruteforce-stage-1
add action=add-src-to-address-list address-list=bruteforce-stage-1 \
address-list-timeout=1m chain=check-bruteforce
add action=accept chain=input comment="Allow access over WinBox" dst-port=\
8291 protocol=tcp src-address-list=Admin
add action=accept chain=forward comment="Allow access over RDP" dst-port=3989 \
in-interface=ether1 protocol=tcp src-address-list=Admin
add action=accept chain=forward comment="Allow access Radmin to Server" \
dst-port=4899 in-interface=ether1 protocol=tcp
add action=accept chain=input comment=\
"Accept established connections Mikrotik" connection-state=established
add action=accept chain=forward comment=\
"Accept established connections My Network" connection-state=established
add action=accept chain=input comment="Accept related connections Mikrotik" \
connection-state=related
add action=accept chain=forward comment=\
"Accept related connections My Network" connection-state=related
add action=accept chain=input comment="IPIP_Tunnel_Allow UDP Mikrotik" \
protocol=udp
add action=accept chain=forward protocol=udp
add action=accept chain=forward comment=\
"IPIP_Tunnel_Allow established connections" protocol=icmp
add action=accept chain=input comment="IPIP_Tunnel_Allow IKE" dst-port=500 \
protocol=udp
add action=accept chain=input comment="IPIP_Tunnel_Allow IPSec-esp" protocol=\
ipsec-esp
add action=accept chain=input comment="IPIP_Tunnel_Allow IPSec-AH" protocol=\
ipsec-ah
add action=accept chain=forward dst-port=139,445 protocol=tcp
add action=drop chain=forward comment="Drop invalid connections My Network" \
connection-state=invalid
add action=accept chain=forward comment="Minimum access" dst-port=80,443 log=\
yes log-prefix=min_src protocol=tcp src-address-list=Office_IP
add action=drop chain=input comment="All other drop" log=yes log-prefix=\
drop_all_input
add action=drop chain=forward comment="All other drop" log=yes log-prefix=\
drop_all_forward
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.10.0/24 log=yes \
log-prefix=IPIP priority=0 src-address=192.168.15.0/24
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-port=4899 in-interface=ether1 protocol=\
tcp to-addresses=192.168.15.1 to-ports=4899
add action=dst-nat chain=dstnat dst-port=4899 in-interface=ether1 protocol=\
tcp to-addresses=192.168.15.1 to-ports=3389
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip ipsec peer
add address=109.78.15.206/32 enc-algorithm=3des generate-policy=port-override \
hash-algorithm=md5 secret="**\
**"
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.10.0/24 sa-dst-address=109.78.15.206 sa-src-address=\
109.78.15.200 src-address=192.168.15.0/24 tunnel=yes
/ip route
add distance=1 gateway=109.78.15.193
add distance=1 dst-address=192.192.10.0/24 gateway=IPIP_Tunnel
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes

1-Настроил ipip
ping ip с одной сети в другую работает и в обратную сторону!
Доступ к сетевым папка не работает, пока не пропишу правило
/ip firewall filter add action=accept chain=forward dst-port=139,445 protocol=tcp

У меня несколько вопросов
1-В локальной сети нет интернета пока не пропишу это правило
add action=accept chain=forward comment="Minimum access" dst-port=80,443 log=\
yes log-prefix=min_src protocol=tcp src-address-list=Office_IP
Правильно или нет?

2-Как мне прописать что бы из одной сени в другую работал RDP и Radmin!
Ну и последовательность правил в правильном порядке или я где то уже нахимичил!

Почти аналогичный конфиг на второй железке RB750gr3

Добавлено через 1 час 18 минут
Скорость обмена файлами итого 450мб чуть больше 60 секунд!
0
.None
Эксперт по компьютерным сетям
2345 / 895 / 126
Регистрация: 23.06.2009
Сообщений: 3,163
13.12.2017, 21:13 #14
эх, фаервол написал текста на А4 потом все стер
кратко по вашему конфигу, что заметил
создан мост объединяющий 2 мастер порта, но IP адрес локалки повешен на ether2

по фаерволу, правила в которых больше всего трафика желательно ставить первыми, а это established related как в цепочке INPUT так и FORWARD

и вообще, по мне так правил очень много, обошлось бы 10-15 правилами, без особого ущерба для безопасности, учитывая то, что защищаться будем извне, локальные сети считаем доверенными и не фильтруем трафик, за исключением правила разрешающего доступ в инет

при этом нет проблем доступа из одной локальной сети в другую и назад и т.д.

и еще, для доступа к РДП, общая практика, организуется VPN сервер, пусть даже с не очень стойким шифрованием, pptp достаточно, и pptp умеет любой виндовс, да и шифрование с этом типом туннеля вроде как на аппаратном уровне на 3011 и Gr3
0
mailomsk
5 / 5 / 0
Регистрация: 23.09.2016
Сообщений: 125
14.12.2017, 07:07  [ТС] #15
.None,
Предложите свой вариант настройки!
Правила можно скорректировать!

Добавлено через 34 минуты
Для того, что бы в сети ipip разрешить работу с портами и ПО, надо в правило
Кликните здесь для просмотра всего текста
add action=accept chain=forward comment="Minimum access" dst-port=80,443 log=\
yes log-prefix=min_src protocol=tcp src-address-list=Office_IP

Добавить нужный порт,
0
.None
Эксперт по компьютерным сетям
2345 / 895 / 126
Регистрация: 23.06.2009
Сообщений: 3,163
14.12.2017, 09:34 #16
мое видение, базовые правила, таблица Filter

Код
add action=accept chain=input connection-state=established,related in-interface=ether1
add action=accept chain=input comment="IPIP_Tunnel_Allow IKE" dst-port=500 protocol=udp in-interface=ether1
add action=accept chain=input comment="IPIP_Tunnel_Allow IPSec-esp" protocol=ipsec-esp in-interface=ether1
add action=accept chain=input comment="IPIP_Tunnel_Allow IPSec-AH" protocol=ipsec-ah in-interface=ether1
add action=accept chain=input in-interface=ether1 protocol=icmp
add action=accept chain=input dst-port=8291 in-interface=ether1 protocol=tcp
add action=drop chain=input in-interface=ether1

add action=accept chain=forward connection-state=established,related in-interface=ether1
add action=drop chain=forward out-interface=ether1 src-address-list=!Office_IP
add action=accept chain=forward dst-port=3989,4899 in-interface=ether1 protocol=tcp src-address-list=Admin
add action=drop chain=forward in-interface=ether1
как-то так с учетом туннелей, доступа по РДП и Радмин, в инет выходят те кто есть в списке Office_IP
доступ из одной локальной сети к другой и наоборот полный, не фильтруется
и еще открыт порт управления микротиком извне, для винбокса, если управлять из инета нет необходимости можно убрать, или конкретизировать через src-address-list=Admin
2
mailomsk
5 / 5 / 0
Регистрация: 23.09.2016
Сообщений: 125
14.12.2017, 11:50  [ТС] #17
.None, Если учесть что использую свой набор правил! Все в блок+фильтрация, как мне правильно настроить печать из Сети А на принтер в сети Б через ipip и в обратном порядке!
HP2015 c lan!
0
.None
Эксперт по компьютерным сетям
2345 / 895 / 126
Регистрация: 23.06.2009
Сообщений: 3,163
14.12.2017, 12:35 #18
нужно разрешить пересылку пакетов (forward) из сети A на ip адрес принтера, по протоколу и порту на котором идет печать и обратно, т.е. 2 правила

что за принтер? МФУ с принтсервером? принтер подключенный к ПК? принтсерв с подключенным к нему принтером?

печать может производится по разным протоколам, если принтер подключен к ПК, то это общий доступ к файлам и принтерам, протокол NetBios over tcp, порт 445
в таком случае правила такие
Код
add action=accept chain=forward dst-port=445 out-interface=ipip protocol=tcp dst-address=адрес_ПК_с_принтером
add action=accept chain=forward src-port=445 in-interface=ipip protocol=tcp src-address=адрес_ПК_с_принтером
либо убрать порт и протокол если неизвестно какой протокол печати используется
в обратном порядке это как, из сети В печать на принтер в сети А?
0
mailomsk
5 / 5 / 0
Регистрация: 23.09.2016
Сообщений: 125
14.12.2017, 12:51  [ТС] #19
.None,
1-HP 2015 Простой принтер сетевой! (оговорюсь что в сети есть принтера которые работают через принт-сервер)
2-Принтер имеет свой внутренний ip адрес!
3-В точке А есть принтер и надо печатать на принтер в точке В
В точке Б есть принтер и надо печатать на принтер в точке А (при необходимости!)
Для разрешения печати как из А в В так из В в А вышеуказанные правила необходимо прописать на Железках в точке А и В!
Порт для печати используется RAW 9100!
Вышеуказанные правила необходимо разместить перед запрещающими? или после правил ipip туннеля?
0
.None
Эксперт по компьютерным сетям
2345 / 895 / 126
Регистрация: 23.06.2009
Сообщений: 3,163
14.12.2017, 13:09 #20
тогда так, на маршрутизаторе в сети A
Код
#печать из сети А на принтер в сети В
add action=accept chain=forward dst-port=9100 out-interface=ipip protocol=tcp dst-address=адрес_принтера_в_сети_В
add action=accept chain=forward src-port=445 in-interface=ipip protocol=tcp src-address=адрес_принтера_в_сети_В
#печать из сети В на принтер в сети А
add action=accept chain=forward dst-port=9100 in-interface=ipip protocol=tcp dst-address=адрес_принтера_в_сети_А
add action=accept chain=forward src-port=445 out-interface=ipip protocol=tcp src-address=адрес_принтера_в_сети_A
на маршрутизаторе в сети B аналогично
0
14.12.2017, 13:09
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
14.12.2017, 13:09

Pptp сервер на mikrotik для связи компьютеров
В общем вопрос такой. В Сети куча гайдов как замутить связь между офисами с...

Выбор маршрутизатора Mikrotik для офиса 15 компьютеров
Доброе всем утро! Помогите выбрать маршрутизатор для небольшого офиса - 10-15...

Выбор роутера MikroTik для домашнего использования
Всем привет,решил отказаться от роутера предоставляемого провайдером т.к. он...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru