Jump to content
Калькуляторы

Оптимальная настройка правил firewall

В данный момент перечень правил примерно такой:

 

1) Разрешаем все если connection-state established,related

2) Резрешаем с условиями (интерфейсы и/или адрес листы)

3) Запрещаем все

 

Имеет ли смысл выносить разрешающее правило (1) вверх, над другими правилами, в которых описаны более подробные условия, где connection-state=new ?

Т.е. тратятся ли ресурсы на проверку всех правил и экономятся ли они, если для уже открытого соединения есть правило разрешающее доступ?

 

Если да, то как оптимально блокировать UDP, чтобы не разводить гору правил? Оно проходит через условие established (1), и соответственно правило (1) описаное выше (2) по умолчанию разрешает UDP всем, если (2) поднять выше (1), то все работает как надо.

Share this post


Link to post
Share on other sites

Логика обработки правил стандартна, перебираются правила, пока не будет найдено подходящее под проверяемое соединение/пакет данных, исходя из этого более конкретизированные условия должны проверяться ранее более общих, а разрешающие общие до общих запрещающих.

Edited by DRiVen

Share this post


Link to post
Share on other sites

В корне не верно, нужно разрешать все, а запрещать только то, что не нужно. При вашей схеме весь трафик проходит через фильтры, что нагружает оборудование.

Share this post


Link to post
Share on other sites

Наоборот, при моей схеме подавляющее большинство трафика попадает в первое правило Разрешаем все если connection-state established,related -- и проходит через него.

 

А если запрещать не все, то можно что-то не учесть, и в любом случае, прежде чем дойдет до правила разрешено, будет проверено куча правил запрещено.

 

Если в описанной схеме для Разрешаем все если connection-state established,related просто добавить еще одно требование "tcp"?

Share this post


Link to post
Share on other sites

Наоборот, при моей схеме подавляющее большинство трафика попадает в первое правило Разрешаем все если connection-state established,related -- и проходит через него.

 

А если запрещать не все, то можно что-то не учесть, и в любом случае, прежде чем дойдет до правила разрешено, будет проверено куча правил запрещено.

 

Если в описанной схеме для Разрешаем все если connection-state established,related просто добавить еще одно требование "tcp"?

Первое правило лишено смысла. Это как ставить дверь посреди дороги.

Share this post


Link to post
Share on other sites

Последнее правило тоже не нужно, достаточно полиси выставить в дроп. Если этот девайс так умеет. )))

Share this post


Link to post
Share on other sites

Зачем по вашему его ставят во все прошивки по умолчанию?

 

Это типовая конфигурация, которую используют те, кто любит достать из коробки и что бы работало. Если нужно что-то большее, то ее следует сбросить и настраивать с нуля, но некоторые пытаются на ее базе настроить дополнительный функционал и наступают на разные грабли, т.к. часто там НАТ не так настроен, трафик заблокирован и т.п.

Share this post


Link to post
Share on other sites

а можно увидеть ваши конфиги фаервола?

 

У меня в файрволе ничего нет, кроме дропа днс и нтп серверов.

Есть еще одно правило блокировки абонентов с отрицательным балансом и все. Для защиты от не санкционированного доступа на роутер, указаны IP адреса для подключения администратора, при этом никаких правил дропов на инпут со стороны интернета не требуется. Аналогично и сервисы вроде телнет, ссш ограничиваются подобным способом.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.