Jump to content
Калькуляторы

Безопасность Firewall / Services

Всем привет!

 

Как известно, в разделе IP -> Services можно настроить адреса, с которых Микротик будет доступен для управления, например, по ssh. Если я указываю в этом списке локальную сеть, стоит ли дополнительно настраивать Firewall (запрет подключения по ssh через публичный IP)? Или достаточно будет настройки Services?

 

Заранее спасибо!

Share this post


Link to post
Share on other sites

Или достаточно будет настройки Services?

 

порт ssh перевесте на любой другой кроме 22, отключите все кроме ssh и winbox

Share this post


Link to post
Share on other sites

Как известно, в разделе IP -> Services можно настроить адреса, с которых Микротик будет доступен для управления, например, по ssh. Если я указываю в этом списке локальную сеть, стоит ли дополнительно настраивать Firewall (запрет подключения по ssh через публичный IP)? Или достаточно будет настройки Services?

 

На микротике вообще нет смысла закрываться снаружи, только при включении DNS и NTP сервера. Но в правильно спланированных сетях, эти задачи можно возложить на второй микротик, который будет подключен к первому и получать доступ в интернет через серый адрес.

Share this post


Link to post
Share on other sites

Как известно, в разделе IP -> Services можно настроить адреса, с которых Микротик будет доступен для управления, например, по ssh. Если я указываю в этом списке локальную сеть, стоит ли дополнительно настраивать Firewall (запрет подключения по ssh через публичный IP)? Или достаточно будет настройки Services?

 

На микротике вообще нет смысла закрываться снаружи, только при включении DNS и NTP сервера. Но в правильно спланированных сетях, эти задачи можно возложить на второй микротик, который будет подключен к первому и получать доступ в интернет через серый адрес.

 

А если, допустим, у меня в локальной сети 2 влана: один для пользователей, другой для админов, и я оставляю только доступ по ssh для админов. Достаточно ли будет прописать в IP-Services подсеть для админов в Available from (ssh)? Или стоит дополнительно добавить соответствующее правило в Firewall?

Share this post


Link to post
Share on other sites

А если, допустим, у меня в локальной сети 2 влана: один для пользователей, другой для админов, и я оставляю только доступ по ssh для админов. Достаточно ли будет прописать в IP-Services подсеть для админов в Available from (ssh)? Или стоит дополнительно добавить соответствующее правило в Firewall?

 

Не надо никаких лишних правил. Можете указать подсеть для админов, если хотите ограничить доступ. Но на практике абоненты не ломятся в сеть провайдера, вы можете сделать одно простое правило - если адрес находится в подсети для абонентов и запрос идет на служебные адреса, то дроп. Именно по этой причине нужно разделять адреса для выдачи абонентам и для адресации оборудования.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this