emoxam Posted January 31, 2015 · Report post В default configuration существует forward правило, и через него идет максимальное кол-во трафика, но его отключение не мешает интернету продолжать работать, посему возникает вопрос а зачем это правило ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted January 31, 2015 · Report post Дефолтный конфиг - говно. Всегда сбрасывал не глядя Но чисто из академического интереса процитируйте /ip firewall nat print ...или где там у вас это правило? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
emoxam Posted January 31, 2015 · Report post /ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; default configuration chain=input action=accept protocol=icmp log=no log-prefix="" 1 ;;; default configuration chain=input action=accept connection-state=established,related log=no log-prefix="" 2 ;;; default configuration chain=input action=drop in-interface=ether1-gateway log=no log-prefix="" 3 ;;; default configuration chain=forward action=accept connection-state=established,related log=no log-prefix="" 4 ;;; default configuration chain=forward action=drop connection-state=invalid log=no log-prefix="" 5 ;;; default configuration chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1-gateway log=no log-prefix="" А что дефолтный конфиг у всех разный чтоли ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted January 31, 2015 · Report post Дефолтный одинаковый, я же говорю - сбрасывал не глядя. Вас, видимо, интересует правила 3 и ниже? Это правила для защиты ether1 от ошибочного подключения, когда путают местами wan и порты свитчгруппы. Ну, по крайней мере, другого обьяснения сходу не наблюдается. Фенька микротиков в том, что им, по большому счету, плевать, куда и что подключать, лишь бы было настроено все по феншую Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
emoxam Posted January 31, 2015 · Report post Интересует конкретно 3-е, если не затруднит поподробнее, в чем конкретно защита, ну того же 3-го правила ?)) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted January 31, 2015 · Report post Они применяются последовательно. 3е правило говорит роутеру: "вот идет пакет, из свичипа в wan (или обратно), коннтрак про него в курсе, разрешаем ехать." Если третье правило не сработало, то обрабатывается 4е: " у нас тут соединение, которое в invalid state, коннтрак в а***, убить гадский пакет (drop)" Ну и, бонусом, 5е правли запрещает dstnat, который бывает, если его настроить руками в /ip firewall nat или попутать местами wan и lan кабели Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 31, 2015 · Report post В default configuration существует forward правило, и через него идет максимальное кол-во трафика, но его отключение не мешает интернету продолжать работать, посему возникает вопрос а зачем это правило ? Затем, что бы вы поскорее уперлись в производительность и купили CCR1036, т.к. каждое правило тормозит работу. И если, например, сбросили бы начальный конфиг, то смогли обработать намного больше трафика даже на слабой железке, и кроме всего, не потребовалось бы регистрироваться на форуме что бы задавать вопросы. Т.к. основная причина многих проблем и вопросов заключается в одном - не сбросили начальный конфиг и пытались что-то сделать на его основе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted February 1, 2015 · Report post Saab, иди выспись. Тут сугобо теоретическая беседа, твоя болтовня ну совсем не в тему Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
emoxam Posted February 2, 2015 · Report post А что такое свичип и коннтрак ? И такой вопрос - Есть ли смысл последним делать правило deny input ether1 ? Или такое правило существует по умолчанию ? Вообще существуют ли какие то скрытые правила ? Или все правила что есть видны в вебе/ssh ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 2, 2015 · Report post А что такое свичип и коннтрак ? И такой вопрос - Есть ли смысл последним делать правило deny input ether1 ? Или такое правило существует по умолчанию ? Вообще существуют ли какие то скрытые правила ? Или все правила что есть видны в вебе/ssh ? Для понимания приведу простой пример. Рядом с пляжем есть банк, в который запрещено пускать посетителей без верхней одежды. Можно поставить охранников, которые будут тормозить каждого посетителя и проверять, одетый он или в купальном костюме, естественно у посетителей будут возникать вопросы, с чего такое внимание, если никаких общественных норм не нарушают. Другой вариант решения проблемы - подходить только к тем посетителям, которые одеты не полностью и просить их покинуть учреждение. Во втором случае требуется гораздо меньше сотрудников для контролирования ситуации. Аналогично и с оборудованием - вы можете сначала создать кучу правил, в которые добавите все, что разрешено пропускать через роутер, а в конце все запретите. Но тогда каждый пакет данных будет проверяться по цепочке, занимая ресурсы оборудования. Можно пойти другим путем - ничего не запрещать полностью, а только создавать конкретные правила запрета. Нагрузка будет меньше. Так же есть заблуждение, что микротик могут взломать, вывести из строя или создать какую-то пакость, если его не закрыть со стороны интернета. Однако достаточно просто поменять номера портов некоторых служб, и закрыть некоторые порты, например DNS, NTP сервер и т.п., что бы службами не могли воспользоваться со стороны интернета, ничего другое злоумышленники повредить не смогут. Так же нужно понимать, что любая блокировка поступающих данных занимает ресурсы процессора, и если привести пример с атакой извне, то роутер, на котором установлен фильтр, будет эти пакеты отбрасывать, а тот, на котором ничего не настроено, просто пакеты игнорировать, это по затратам ресурсов легче. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted February 2, 2015 · Report post Саб, сдрисни уже, твои говноаналогии даже детском саду не прокатывают А что такое свичип и коннтрак ? И такой вопрос - Есть ли смысл последним делать правило deny input ether1 ? Или такое правило существует по умолчанию ? Вообще существуют ли какие то скрытые правила ? Или все правила что есть видны в вебе/ssh ? Свитч-чип - это чип, к которому подключены порты в микротике. Собственно, выполняет функции коммутатора, если микротик используется как тупой свитч, в этом случае обеспечивается работа сети на скорости порта. Как только начинаешь давать микротику дополнительную нагрузку, вроде NAT, туннелей, и прочего, реальная производительность начинает падать. Справедливости ради стоит заметить, что не сразу, т.е. микротик в роли обычного SOHO роутера все так же работает на скорости кабеля, с увеличением нагрузки (усложнение задачи, когда поток обрабатывается не просто связкой NAT+немножко правил firewall filter, а чем-то "потяжелее", то скорость падает, причем нелинейно. коннтрак - это connection tracking, одна из функций /ip firewall, точнее, один из модулей, нужный для корректной работы firewall. Он отслеживает состояния соединений, чтобы давать фаерволлу корректную информацию о каждом проходящем сквозь роутер пакете, на основании этой инфрмации фаерволл принимает решение о судьбе пакета Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
linx Posted February 2, 2015 (edited) · Report post Дабы не создавать новую тему спрошу здесь же, вроде тоже недалеко от темы: Хочет этого Сааб или не хочет, но микротик тот же линукс, и форвардинг полюбому нужен и он будет есть проц даже при политике по умолчанию (accept), да съэкономить можно не используя контрак, но чтоб совсем не ел проц - как вижу никак. Меня интересует как реализуется на микротике функционал ipset, как заметил есть возможность задания листа. Что будет если вкупе в форвард вместе с листом указать source (для какой подсети использовать лист)? Нигде не нашел диаграму как проходят пакете через firewall микротика, проверить опытным путем пока не могу, в wiki микротика тоже глухо - в примерах всегда просто один лист, хотя логично что должно отрабатывать и лист и сурс Edited February 2, 2015 by linx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 2, 2015 · Report post Нигде не нашел диаграму как проходят пакете через firewall микротика, проверить опытным путем пока не могу, в wiki микротика тоже глухо - в примерах всегда просто один лист, хотя логично что должно отрабатывать и лист и сурс Ну так что мешает использовать адрес лист один или несколько для адресов источника и приемника? На вкладке Advanced файрвола, ната или мангла, есть соответствующие поля для указания списков. Обычно так заворот маршрута делают в сторону провайдера, создают список, в котором указывают все подсети или адреса локальной сети, и делают проверку, если пришло с адреса из списка, и уходить собирается не на адрес из списка, то отправить в интернет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted February 2, 2015 · Report post Что будет если вкупе в форвард вместе с листом указать source (для какой подсети использовать лист)? Нигде не нашел диаграму как проходят пакете через firewall микротика, проверить опытным путем пока не могу, в wiki микротика тоже глухо - в примерах всегда просто один лист, хотя логично что должно отрабатывать и лист и сурс вы имеете в виду параметр src-address? Он есть, можно указывать как IP, так и диапазоны и подсети Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
linx Posted February 2, 2015 · Report post да src-address, получается можно сделать по аналогии с ipset. cli немного специфичное требует привыкания, но универсальное (можно скриптами выполнить команды), потому winbox не рассматриваю как средство настройки Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
emoxam Posted February 3, 2015 · Report post Саб, сдрисни уже, твои говноаналогии даже детском саду не прокатывают А что такое свичип и коннтрак ? И такой вопрос - Есть ли смысл последним делать правило deny input ether1 ? Или такое правило существует по умолчанию ? Вообще существуют ли какие то скрытые правила ? Или все правила что есть видны в вебе/ssh ? Свитч-чип - это чип, к которому подключены порты в микротике. Собственно, выполняет функции коммутатора, если микротик используется как тупой свитч, в этом случае обеспечивается работа сети на скорости порта. Как только начинаешь давать микротику дополнительную нагрузку, вроде NAT, туннелей, и прочего, реальная производительность начинает падать. Справедливости ради стоит заметить, что не сразу, т.е. микротик в роли обычного SOHO роутера все так же работает на скорости кабеля, с увеличением нагрузки (усложнение задачи, когда поток обрабатывается не просто связкой NAT+немножко правил firewall filter, а чем-то "потяжелее", то скорость падает, причем нелинейно. коннтрак - это connection tracking, одна из функций /ip firewall, точнее, один из модулей, нужный для корректной работы firewall. Он отслеживает состояния соединений, чтобы давать фаерволлу корректную информацию о каждом проходящем сквозь роутер пакете, на основании этой инфрмации фаерволл принимает решение о судьбе пакета В итоге я понял что я ничего не понял и забыл что я спрашивал... вам нужно научится попроще объяснять ей богу! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted February 3, 2015 · Report post В итоге я понял что я ничего не понял и забыл что я спрашивал... вам нужно научится попроще объяснять ей богу! Простите. Спросите ещё раз, может, найду слова попроще. Ну или давайте так попробую: свитч-чип - это надежный и неубиваемый чип внутри микротика, единственная на 100% безотказная его компонента. коннтрак - компонент фаерволла. Говорит фаерволлу, что через него пролетает, а фаерволл решает, имеет ли оно, это пролетающее, собственно, право тут пролетать или его надо убить/преобразовать. Так понятнее? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 3, 2015 · Report post В итоге я понял что я ничего не понял и забыл что я спрашивал... вам нужно научится попроще объяснять ей богу! Я вам уже писал, что надо сбросить начальную конфигурацию и никогда про нее не вспоминать, куда уж проще. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...