Перейти к содержимому
Калькуляторы

Зачем форвард правило в default configuration ?

В default configuration существует forward правило, и через него идет максимальное кол-во трафика, но его отключение не мешает интернету продолжать работать, посему возникает вопрос а зачем это правило ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дефолтный конфиг - говно. Всегда сбрасывал не глядя

Но чисто из академического интереса процитируйте /ip firewall nat print

...или где там у вас это правило?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/ip firewall filter print

Flags: X - disabled, I - invalid, D - dynamic

0 ;;; default configuration

chain=input action=accept protocol=icmp log=no log-prefix=""

 

1 ;;; default configuration

chain=input action=accept connection-state=established,related log=no log-prefix=""

 

2 ;;; default configuration

chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""

 

3 ;;; default configuration

chain=forward action=accept connection-state=established,related log=no log-prefix=""

 

4 ;;; default configuration

chain=forward action=drop connection-state=invalid log=no log-prefix=""

 

5 ;;; default configuration

chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1-gateway log=no log-prefix=""

 

А что дефолтный конфиг у всех разный чтоли ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дефолтный одинаковый, я же говорю - сбрасывал не глядя.

Вас, видимо, интересует правила 3 и ниже? Это правила для защиты ether1 от ошибочного подключения, когда путают местами wan и порты свитчгруппы. Ну, по крайней мере, другого обьяснения сходу не наблюдается. Фенька микротиков в том, что им, по большому счету, плевать, куда и что подключать, лишь бы было настроено все по феншую

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересует конкретно 3-е, если не затруднит поподробнее, в чем конкретно защита, ну того же 3-го правила ?))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Они применяются последовательно. 3е правило говорит роутеру:

"вот идет пакет, из свичипа в wan (или обратно), коннтрак про него в курсе, разрешаем ехать."

Если третье правило не сработало, то обрабатывается 4е:

" у нас тут соединение, которое в invalid state, коннтрак в а***, убить гадский пакет (drop)"

 

Ну и, бонусом, 5е правли запрещает dstnat, который бывает, если его настроить руками в /ip firewall nat или попутать местами wan и lan кабели

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В default configuration существует forward правило, и через него идет максимальное кол-во трафика, но его отключение не мешает интернету продолжать работать, посему возникает вопрос а зачем это правило ?

 

Затем, что бы вы поскорее уперлись в производительность и купили CCR1036, т.к. каждое правило тормозит работу. И если, например, сбросили бы начальный конфиг, то смогли обработать намного больше трафика даже на слабой железке, и кроме всего, не потребовалось бы регистрироваться на форуме что бы задавать вопросы. Т.к. основная причина многих проблем и вопросов заключается в одном - не сбросили начальный конфиг и пытались что-то сделать на его основе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Saab, иди выспись. Тут сугобо теоретическая беседа, твоя болтовня ну совсем не в тему

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что такое свичип и коннтрак ?

И такой вопрос - Есть ли смысл последним делать правило deny input ether1 ? Или такое правило существует по умолчанию ? Вообще существуют ли какие то скрытые правила ? Или все правила что есть видны в вебе/ssh ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что такое свичип и коннтрак ?

И такой вопрос - Есть ли смысл последним делать правило deny input ether1 ? Или такое правило существует по умолчанию ? Вообще существуют ли какие то скрытые правила ? Или все правила что есть видны в вебе/ssh ?

 

Для понимания приведу простой пример. Рядом с пляжем есть банк, в который запрещено пускать посетителей без верхней одежды. Можно поставить охранников, которые будут тормозить каждого посетителя и проверять, одетый он или в купальном костюме, естественно у посетителей будут возникать вопросы, с чего такое внимание, если никаких общественных норм не нарушают. Другой вариант решения проблемы - подходить только к тем посетителям, которые одеты не полностью и просить их покинуть учреждение. Во втором случае требуется гораздо меньше сотрудников для контролирования ситуации.

 

Аналогично и с оборудованием - вы можете сначала создать кучу правил, в которые добавите все, что разрешено пропускать через роутер, а в конце все запретите. Но тогда каждый пакет данных будет проверяться по цепочке, занимая ресурсы оборудования. Можно пойти другим путем - ничего не запрещать полностью, а только создавать конкретные правила запрета. Нагрузка будет меньше.

 

Так же есть заблуждение, что микротик могут взломать, вывести из строя или создать какую-то пакость, если его не закрыть со стороны интернета. Однако достаточно просто поменять номера портов некоторых служб, и закрыть некоторые порты, например DNS, NTP сервер и т.п., что бы службами не могли воспользоваться со стороны интернета, ничего другое злоумышленники повредить не смогут. Так же нужно понимать, что любая блокировка поступающих данных занимает ресурсы процессора, и если привести пример с атакой извне, то роутер, на котором установлен фильтр, будет эти пакеты отбрасывать, а тот, на котором ничего не настроено, просто пакеты игнорировать, это по затратам ресурсов легче.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Саб, сдрисни уже, твои говноаналогии даже детском саду не прокатывают

А что такое свичип и коннтрак ?

И такой вопрос - Есть ли смысл последним делать правило deny input ether1 ? Или такое правило существует по умолчанию ? Вообще существуют ли какие то скрытые правила ? Или все правила что есть видны в вебе/ssh ?

Свитч-чип - это чип, к которому подключены порты в микротике. Собственно, выполняет функции коммутатора, если микротик используется как тупой свитч, в этом случае обеспечивается работа сети на скорости порта.

Как только начинаешь давать микротику дополнительную нагрузку, вроде NAT, туннелей, и прочего, реальная производительность начинает падать. Справедливости ради стоит заметить, что не сразу, т.е. микротик в роли обычного SOHO роутера все так же работает на скорости кабеля, с увеличением нагрузки (усложнение задачи, когда поток обрабатывается не просто связкой NAT+немножко правил firewall filter, а чем-то "потяжелее", то скорость падает, причем нелинейно.

 

коннтрак - это connection tracking, одна из функций /ip firewall, точнее, один из модулей, нужный для корректной работы firewall. Он отслеживает состояния соединений, чтобы давать фаерволлу корректную информацию о каждом проходящем сквозь роутер пакете, на основании этой инфрмации фаерволл принимает решение о судьбе пакета

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дабы не создавать новую тему спрошу здесь же, вроде тоже недалеко от темы:

 

Хочет этого Сааб или не хочет, но микротик тот же линукс, и форвардинг полюбому нужен и он будет есть проц даже при политике по умолчанию (accept), да съэкономить можно не используя контрак, но чтоб совсем не ел проц - как вижу никак. Меня интересует как реализуется на микротике функционал ipset, как заметил есть возможность задания листа. Что будет если вкупе в форвард вместе с листом указать source (для какой подсети использовать лист)?

 

Нигде не нашел диаграму как проходят пакете через firewall микротика, проверить опытным путем пока не могу, в wiki микротика тоже глухо - в примерах всегда просто один лист, хотя логично что должно отрабатывать и лист и сурс

Изменено пользователем linx

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нигде не нашел диаграму как проходят пакете через firewall микротика, проверить опытным путем пока не могу, в wiki микротика тоже глухо - в примерах всегда просто один лист, хотя логично что должно отрабатывать и лист и сурс

 

Ну так что мешает использовать адрес лист один или несколько для адресов источника и приемника? На вкладке Advanced файрвола, ната или мангла, есть соответствующие поля для указания списков. Обычно так заворот маршрута делают в сторону провайдера, создают список, в котором указывают все подсети или адреса локальной сети, и делают проверку, если пришло с адреса из списка, и уходить собирается не на адрес из списка, то отправить в интернет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Что будет если вкупе в форвард вместе с листом указать source (для какой подсети использовать лист)?

 

Нигде не нашел диаграму как проходят пакете через firewall микротика, проверить опытным путем пока не могу, в wiki микротика тоже глухо - в примерах всегда просто один лист, хотя логично что должно отрабатывать и лист и сурс

вы имеете в виду параметр src-address? Он есть, можно указывать как IP, так и диапазоны и подсети

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

да src-address, получается можно сделать по аналогии с ipset. cli немного специфичное требует привыкания, но универсальное (можно скриптами выполнить команды), потому winbox не рассматриваю как средство настройки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Саб, сдрисни уже, твои говноаналогии даже детском саду не прокатывают

А что такое свичип и коннтрак ?

И такой вопрос - Есть ли смысл последним делать правило deny input ether1 ? Или такое правило существует по умолчанию ? Вообще существуют ли какие то скрытые правила ? Или все правила что есть видны в вебе/ssh ?

Свитч-чип - это чип, к которому подключены порты в микротике. Собственно, выполняет функции коммутатора, если микротик используется как тупой свитч, в этом случае обеспечивается работа сети на скорости порта.

Как только начинаешь давать микротику дополнительную нагрузку, вроде NAT, туннелей, и прочего, реальная производительность начинает падать. Справедливости ради стоит заметить, что не сразу, т.е. микротик в роли обычного SOHO роутера все так же работает на скорости кабеля, с увеличением нагрузки (усложнение задачи, когда поток обрабатывается не просто связкой NAT+немножко правил firewall filter, а чем-то "потяжелее", то скорость падает, причем нелинейно.

 

коннтрак - это connection tracking, одна из функций /ip firewall, точнее, один из модулей, нужный для корректной работы firewall. Он отслеживает состояния соединений, чтобы давать фаерволлу корректную информацию о каждом проходящем сквозь роутер пакете, на основании этой инфрмации фаерволл принимает решение о судьбе пакета

 

В итоге я понял что я ничего не понял и забыл что я спрашивал... вам нужно научится попроще объяснять ей богу!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В итоге я понял что я ничего не понял и забыл что я спрашивал... вам нужно научится попроще объяснять ей богу!

Простите. Спросите ещё раз, может, найду слова попроще.

Ну или давайте так попробую:

свитч-чип - это надежный и неубиваемый чип внутри микротика, единственная на 100% безотказная его компонента.

коннтрак - компонент фаерволла. Говорит фаерволлу, что через него пролетает, а фаерволл решает, имеет ли оно, это пролетающее, собственно, право тут пролетать или его надо убить/преобразовать.

Так понятнее?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В итоге я понял что я ничего не понял и забыл что я спрашивал... вам нужно научится попроще объяснять ей богу!

 

Я вам уже писал, что надо сбросить начальную конфигурацию и никогда про нее не вспоминать, куда уж проще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.