Jump to content
Калькуляторы

Зачем форвард правило в default configuration ?

В default configuration существует forward правило, и через него идет максимальное кол-во трафика, но его отключение не мешает интернету продолжать работать, посему возникает вопрос а зачем это правило ?

Share this post


Link to post
Share on other sites

Дефолтный конфиг - говно. Всегда сбрасывал не глядя

Но чисто из академического интереса процитируйте /ip firewall nat print

...или где там у вас это правило?

Share this post


Link to post
Share on other sites

/ip firewall filter print

Flags: X - disabled, I - invalid, D - dynamic

0 ;;; default configuration

chain=input action=accept protocol=icmp log=no log-prefix=""

 

1 ;;; default configuration

chain=input action=accept connection-state=established,related log=no log-prefix=""

 

2 ;;; default configuration

chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""

 

3 ;;; default configuration

chain=forward action=accept connection-state=established,related log=no log-prefix=""

 

4 ;;; default configuration

chain=forward action=drop connection-state=invalid log=no log-prefix=""

 

5 ;;; default configuration

chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1-gateway log=no log-prefix=""

 

А что дефолтный конфиг у всех разный чтоли ?

Share this post


Link to post
Share on other sites

Дефолтный одинаковый, я же говорю - сбрасывал не глядя.

Вас, видимо, интересует правила 3 и ниже? Это правила для защиты ether1 от ошибочного подключения, когда путают местами wan и порты свитчгруппы. Ну, по крайней мере, другого обьяснения сходу не наблюдается. Фенька микротиков в том, что им, по большому счету, плевать, куда и что подключать, лишь бы было настроено все по феншую

Share this post


Link to post
Share on other sites

Интересует конкретно 3-е, если не затруднит поподробнее, в чем конкретно защита, ну того же 3-го правила ?))

Share this post


Link to post
Share on other sites

Они применяются последовательно. 3е правило говорит роутеру:

"вот идет пакет, из свичипа в wan (или обратно), коннтрак про него в курсе, разрешаем ехать."

Если третье правило не сработало, то обрабатывается 4е:

" у нас тут соединение, которое в invalid state, коннтрак в а***, убить гадский пакет (drop)"

 

Ну и, бонусом, 5е правли запрещает dstnat, который бывает, если его настроить руками в /ip firewall nat или попутать местами wan и lan кабели

Share this post


Link to post
Share on other sites

В default configuration существует forward правило, и через него идет максимальное кол-во трафика, но его отключение не мешает интернету продолжать работать, посему возникает вопрос а зачем это правило ?

 

Затем, что бы вы поскорее уперлись в производительность и купили CCR1036, т.к. каждое правило тормозит работу. И если, например, сбросили бы начальный конфиг, то смогли обработать намного больше трафика даже на слабой железке, и кроме всего, не потребовалось бы регистрироваться на форуме что бы задавать вопросы. Т.к. основная причина многих проблем и вопросов заключается в одном - не сбросили начальный конфиг и пытались что-то сделать на его основе.

Share this post


Link to post
Share on other sites

Saab, иди выспись. Тут сугобо теоретическая беседа, твоя болтовня ну совсем не в тему

Share this post


Link to post
Share on other sites

А что такое свичип и коннтрак ?

И такой вопрос - Есть ли смысл последним делать правило deny input ether1 ? Или такое правило существует по умолчанию ? Вообще существуют ли какие то скрытые правила ? Или все правила что есть видны в вебе/ssh ?

Share this post


Link to post
Share on other sites

А что такое свичип и коннтрак ?

И такой вопрос - Есть ли смысл последним делать правило deny input ether1 ? Или такое правило существует по умолчанию ? Вообще существуют ли какие то скрытые правила ? Или все правила что есть видны в вебе/ssh ?

 

Для понимания приведу простой пример. Рядом с пляжем есть банк, в который запрещено пускать посетителей без верхней одежды. Можно поставить охранников, которые будут тормозить каждого посетителя и проверять, одетый он или в купальном костюме, естественно у посетителей будут возникать вопросы, с чего такое внимание, если никаких общественных норм не нарушают. Другой вариант решения проблемы - подходить только к тем посетителям, которые одеты не полностью и просить их покинуть учреждение. Во втором случае требуется гораздо меньше сотрудников для контролирования ситуации.

 

Аналогично и с оборудованием - вы можете сначала создать кучу правил, в которые добавите все, что разрешено пропускать через роутер, а в конце все запретите. Но тогда каждый пакет данных будет проверяться по цепочке, занимая ресурсы оборудования. Можно пойти другим путем - ничего не запрещать полностью, а только создавать конкретные правила запрета. Нагрузка будет меньше.

 

Так же есть заблуждение, что микротик могут взломать, вывести из строя или создать какую-то пакость, если его не закрыть со стороны интернета. Однако достаточно просто поменять номера портов некоторых служб, и закрыть некоторые порты, например DNS, NTP сервер и т.п., что бы службами не могли воспользоваться со стороны интернета, ничего другое злоумышленники повредить не смогут. Так же нужно понимать, что любая блокировка поступающих данных занимает ресурсы процессора, и если привести пример с атакой извне, то роутер, на котором установлен фильтр, будет эти пакеты отбрасывать, а тот, на котором ничего не настроено, просто пакеты игнорировать, это по затратам ресурсов легче.

Share this post


Link to post
Share on other sites

Саб, сдрисни уже, твои говноаналогии даже детском саду не прокатывают

А что такое свичип и коннтрак ?

И такой вопрос - Есть ли смысл последним делать правило deny input ether1 ? Или такое правило существует по умолчанию ? Вообще существуют ли какие то скрытые правила ? Или все правила что есть видны в вебе/ssh ?

Свитч-чип - это чип, к которому подключены порты в микротике. Собственно, выполняет функции коммутатора, если микротик используется как тупой свитч, в этом случае обеспечивается работа сети на скорости порта.

Как только начинаешь давать микротику дополнительную нагрузку, вроде NAT, туннелей, и прочего, реальная производительность начинает падать. Справедливости ради стоит заметить, что не сразу, т.е. микротик в роли обычного SOHO роутера все так же работает на скорости кабеля, с увеличением нагрузки (усложнение задачи, когда поток обрабатывается не просто связкой NAT+немножко правил firewall filter, а чем-то "потяжелее", то скорость падает, причем нелинейно.

 

коннтрак - это connection tracking, одна из функций /ip firewall, точнее, один из модулей, нужный для корректной работы firewall. Он отслеживает состояния соединений, чтобы давать фаерволлу корректную информацию о каждом проходящем сквозь роутер пакете, на основании этой инфрмации фаерволл принимает решение о судьбе пакета

Share this post


Link to post
Share on other sites

Дабы не создавать новую тему спрошу здесь же, вроде тоже недалеко от темы:

 

Хочет этого Сааб или не хочет, но микротик тот же линукс, и форвардинг полюбому нужен и он будет есть проц даже при политике по умолчанию (accept), да съэкономить можно не используя контрак, но чтоб совсем не ел проц - как вижу никак. Меня интересует как реализуется на микротике функционал ipset, как заметил есть возможность задания листа. Что будет если вкупе в форвард вместе с листом указать source (для какой подсети использовать лист)?

 

Нигде не нашел диаграму как проходят пакете через firewall микротика, проверить опытным путем пока не могу, в wiki микротика тоже глухо - в примерах всегда просто один лист, хотя логично что должно отрабатывать и лист и сурс

Edited by linx

Share this post


Link to post
Share on other sites

Нигде не нашел диаграму как проходят пакете через firewall микротика, проверить опытным путем пока не могу, в wiki микротика тоже глухо - в примерах всегда просто один лист, хотя логично что должно отрабатывать и лист и сурс

 

Ну так что мешает использовать адрес лист один или несколько для адресов источника и приемника? На вкладке Advanced файрвола, ната или мангла, есть соответствующие поля для указания списков. Обычно так заворот маршрута делают в сторону провайдера, создают список, в котором указывают все подсети или адреса локальной сети, и делают проверку, если пришло с адреса из списка, и уходить собирается не на адрес из списка, то отправить в интернет.

Share this post


Link to post
Share on other sites

Что будет если вкупе в форвард вместе с листом указать source (для какой подсети использовать лист)?

 

Нигде не нашел диаграму как проходят пакете через firewall микротика, проверить опытным путем пока не могу, в wiki микротика тоже глухо - в примерах всегда просто один лист, хотя логично что должно отрабатывать и лист и сурс

вы имеете в виду параметр src-address? Он есть, можно указывать как IP, так и диапазоны и подсети

Share this post


Link to post
Share on other sites

да src-address, получается можно сделать по аналогии с ipset. cli немного специфичное требует привыкания, но универсальное (можно скриптами выполнить команды), потому winbox не рассматриваю как средство настройки

Share this post


Link to post
Share on other sites

Саб, сдрисни уже, твои говноаналогии даже детском саду не прокатывают

А что такое свичип и коннтрак ?

И такой вопрос - Есть ли смысл последним делать правило deny input ether1 ? Или такое правило существует по умолчанию ? Вообще существуют ли какие то скрытые правила ? Или все правила что есть видны в вебе/ssh ?

Свитч-чип - это чип, к которому подключены порты в микротике. Собственно, выполняет функции коммутатора, если микротик используется как тупой свитч, в этом случае обеспечивается работа сети на скорости порта.

Как только начинаешь давать микротику дополнительную нагрузку, вроде NAT, туннелей, и прочего, реальная производительность начинает падать. Справедливости ради стоит заметить, что не сразу, т.е. микротик в роли обычного SOHO роутера все так же работает на скорости кабеля, с увеличением нагрузки (усложнение задачи, когда поток обрабатывается не просто связкой NAT+немножко правил firewall filter, а чем-то "потяжелее", то скорость падает, причем нелинейно.

 

коннтрак - это connection tracking, одна из функций /ip firewall, точнее, один из модулей, нужный для корректной работы firewall. Он отслеживает состояния соединений, чтобы давать фаерволлу корректную информацию о каждом проходящем сквозь роутер пакете, на основании этой инфрмации фаерволл принимает решение о судьбе пакета

 

В итоге я понял что я ничего не понял и забыл что я спрашивал... вам нужно научится попроще объяснять ей богу!

Share this post


Link to post
Share on other sites

В итоге я понял что я ничего не понял и забыл что я спрашивал... вам нужно научится попроще объяснять ей богу!

Простите. Спросите ещё раз, может, найду слова попроще.

Ну или давайте так попробую:

свитч-чип - это надежный и неубиваемый чип внутри микротика, единственная на 100% безотказная его компонента.

коннтрак - компонент фаерволла. Говорит фаерволлу, что через него пролетает, а фаерволл решает, имеет ли оно, это пролетающее, собственно, право тут пролетать или его надо убить/преобразовать.

Так понятнее?

Share this post


Link to post
Share on other sites

В итоге я понял что я ничего не понял и забыл что я спрашивал... вам нужно научится попроще объяснять ей богу!

 

Я вам уже писал, что надо сбросить начальную конфигурацию и никогда про нее не вспоминать, куда уж проще.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this