amper Posted May 13, 2016 Posted May 13, 2016 В данный момент перечень правил примерно такой: 1) Разрешаем все если connection-state established,related 2) Резрешаем с условиями (интерфейсы и/или адрес листы) 3) Запрещаем все Имеет ли смысл выносить разрешающее правило (1) вверх, над другими правилами, в которых описаны более подробные условия, где connection-state=new ? Т.е. тратятся ли ресурсы на проверку всех правил и экономятся ли они, если для уже открытого соединения есть правило разрешающее доступ? Если да, то как оптимально блокировать UDP, чтобы не разводить гору правил? Оно проходит через условие established (1), и соответственно правило (1) описаное выше (2) по умолчанию разрешает UDP всем, если (2) поднять выше (1), то все работает как надо. Вставить ник Quote
DRiVen Posted May 13, 2016 Posted May 13, 2016 (edited) Логика обработки правил стандартна, перебираются правила, пока не будет найдено подходящее под проверяемое соединение/пакет данных, исходя из этого более конкретизированные условия должны проверяться ранее более общих, а разрешающие общие до общих запрещающих. Edited May 13, 2016 by DRiVen Вставить ник Quote
Saab95 Posted May 14, 2016 Posted May 14, 2016 В корне не верно, нужно разрешать все, а запрещать только то, что не нужно. При вашей схеме весь трафик проходит через фильтры, что нагружает оборудование. Вставить ник Quote
amper Posted May 15, 2016 Author Posted May 15, 2016 Наоборот, при моей схеме подавляющее большинство трафика попадает в первое правило Разрешаем все если connection-state established,related -- и проходит через него. А если запрещать не все, то можно что-то не учесть, и в любом случае, прежде чем дойдет до правила разрешено, будет проверено куча правил запрещено. Если в описанной схеме для Разрешаем все если connection-state established,related просто добавить еще одно требование "tcp"? Вставить ник Quote
nur16 Posted May 15, 2016 Posted May 15, 2016 Наоборот, при моей схеме подавляющее большинство трафика попадает в первое правило Разрешаем все если connection-state established,related -- и проходит через него. А если запрещать не все, то можно что-то не учесть, и в любом случае, прежде чем дойдет до правила разрешено, будет проверено куча правил запрещено. Если в описанной схеме для Разрешаем все если connection-state established,related просто добавить еще одно требование "tcp"? Первое правило лишено смысла. Это как ставить дверь посреди дороги. Вставить ник Quote
amper Posted May 15, 2016 Author Posted May 15, 2016 Зачем по вашему его ставят во все прошивки по умолчанию? Вставить ник Quote
pppoetest Posted May 16, 2016 Posted May 16, 2016 Последнее правило тоже не нужно, достаточно полиси выставить в дроп. Если этот девайс так умеет. ))) Вставить ник Quote
Saab95 Posted May 16, 2016 Posted May 16, 2016 Зачем по вашему его ставят во все прошивки по умолчанию? Это типовая конфигурация, которую используют те, кто любит достать из коробки и что бы работало. Если нужно что-то большее, то ее следует сбросить и настраивать с нуля, но некоторые пытаются на ее базе настроить дополнительный функционал и наступают на разные грабли, т.к. часто там НАТ не так настроен, трафик заблокирован и т.п. Вставить ник Quote
roma_good Posted May 16, 2016 Posted May 16, 2016 а можно увидеть ваши конфиги фаервола? Вставить ник Quote
Saab95 Posted May 17, 2016 Posted May 17, 2016 а можно увидеть ваши конфиги фаервола? У меня в файрволе ничего нет, кроме дропа днс и нтп серверов. Есть еще одно правило блокировки абонентов с отрицательным балансом и все. Для защиты от не санкционированного доступа на роутер, указаны IP адреса для подключения администратора, при этом никаких правил дропов на инпут со стороны интернета не требуется. Аналогично и сервисы вроде телнет, ссш ограничиваются подобным способом. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.