Ozymandis Posted November 17, 2015 (edited) · Report post Всем Доброе утро! Сравнительно недавно открыл для себя этот прекрасный форум, собственно это произошло после знакомства с MikroTik. Вот тут у меня появились вопросы, которые несомненно волнуют каждого новичка в работе с этими устройствами. А именно, какая настройка наиболее эффективна и оптимальна с точки зрения безопасности и производительности? Например: Есть офис-1, 20-30 компьютеров, в этой офисной сети сервер телефонии (допустим Asterisk. 5060-5090). Есть белый IP Есть например торговые точки и офисы (2, 3, 4) в разных городах, которым нужна телефония из офиса-1 Например нужно запретить флуд на 5060, 53 итд + по традиции убить торренты и прочие дропбоксы) Какая политика наиболее оптимальна? 1. Добавлять только запрещающие правила. Все остальное разрешать. 2. Поставить запрещающее правило на все. А сверху добавлять разрешающие. Edited November 17, 2015 by Ozymandis Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted November 17, 2015 · Report post А именно, какая настройка наиболее эффективна и оптимальна с точки зрения безопасности и производительности? А почитать общие рекомендации? Какая политика наиболее оптимальна? Вопрос безотносительно привязки к какому-либо оборудованию. Есть общий принцип безопасности при работе в открытых сетях, "все, что не разрешено - запрещено". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 17, 2015 · Report post Например: Есть офис-1, 20-30 компьютеров, в этой офисной сети сервер телефонии (допустим Asterisk. 5060-5090). Есть белый IP Есть например торговые точки и офисы (2, 3, 4) в разных городах, которым нужна телефония из офиса-1 Например нужно запретить флуд на 5060, 53 итд + по традиции убить торренты и прочие дропбоксы) Какая политика наиболее оптимальна? 1. Добавлять только запрещающие правила. Все остальное разрешать. 2. Поставить запрещающее правило на все. А сверху добавлять разрешающие. Если у вас есть офис-1, то там ставите микротик, к которому подключаете АТС и другие ресурсы сети. С других офисов устанавливаете туда туннели через интернет на его внешний IP через L2TP, через OSPF анонсите маршруты, заворачиваете трафик в туннель и т.п. Теперь у вас есть связь между всеми компьютерами всех офисов и доступ на АТС. Доступ на телефонию идет наверно с телефонных аппаратов? Никто же не делает софтфоны на компьютерах? Следовательно, делаете отдельную разводку для телефонных аппаратов отдельно от сети компьютеров, выдаете туда отдельную подсеть. Если вдруг не можете так сделать, например сеть большая и на не управляемом оборудовании, то смотрите описание телефонов и спрашиваете - зачем в телефонах PPPoE клиент? А затем, что бы в случаях, когда нельзя отделить сеть телефонии от сети компьютеров, просто настраиваете все телефоны через PPPoE и выделяете им отдельную подсеть. В центральном офисе создаете только одно правило фильтрации, что если адрес назначения = адресу АТС, и адрес источника не равен подсетям телефонии, то делать дроп. Теперь ваша АТС защищена, ведь вирусов для телефонных аппаратов еще не изобрели, а те, кто попадает на большие деньги из-за того, что какой-то вирус с компа подобрал пароли на АТС и нагенерил много голосового трафика, сами себе виноваты, что не привели свое телефонное хозяйство в порядок. Теперь про интернет - в этих случаях целесообразно его гнать через центр, для этого выделяете там отдельный микротик для блокировки всего и вся, который не связан с тем, который туннели создает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...