amper Posted May 13, 2016 · Report post В данный момент перечень правил примерно такой: 1) Разрешаем все если connection-state established,related 2) Резрешаем с условиями (интерфейсы и/или адрес листы) 3) Запрещаем все Имеет ли смысл выносить разрешающее правило (1) вверх, над другими правилами, в которых описаны более подробные условия, где connection-state=new ? Т.е. тратятся ли ресурсы на проверку всех правил и экономятся ли они, если для уже открытого соединения есть правило разрешающее доступ? Если да, то как оптимально блокировать UDP, чтобы не разводить гору правил? Оно проходит через условие established (1), и соответственно правило (1) описаное выше (2) по умолчанию разрешает UDP всем, если (2) поднять выше (1), то все работает как надо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted May 13, 2016 (edited) · Report post Логика обработки правил стандартна, перебираются правила, пока не будет найдено подходящее под проверяемое соединение/пакет данных, исходя из этого более конкретизированные условия должны проверяться ранее более общих, а разрешающие общие до общих запрещающих. Edited May 13, 2016 by DRiVen Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted May 14, 2016 · Report post В корне не верно, нужно разрешать все, а запрещать только то, что не нужно. При вашей схеме весь трафик проходит через фильтры, что нагружает оборудование. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
amper Posted May 15, 2016 · Report post Наоборот, при моей схеме подавляющее большинство трафика попадает в первое правило Разрешаем все если connection-state established,related -- и проходит через него. А если запрещать не все, то можно что-то не учесть, и в любом случае, прежде чем дойдет до правила разрешено, будет проверено куча правил запрещено. Если в описанной схеме для Разрешаем все если connection-state established,related просто добавить еще одно требование "tcp"? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nur16 Posted May 15, 2016 · Report post Наоборот, при моей схеме подавляющее большинство трафика попадает в первое правило Разрешаем все если connection-state established,related -- и проходит через него. А если запрещать не все, то можно что-то не учесть, и в любом случае, прежде чем дойдет до правила разрешено, будет проверено куча правил запрещено. Если в описанной схеме для Разрешаем все если connection-state established,related просто добавить еще одно требование "tcp"? Первое правило лишено смысла. Это как ставить дверь посреди дороги. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
amper Posted May 15, 2016 · Report post Зачем по вашему его ставят во все прошивки по умолчанию? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted May 16, 2016 · Report post Последнее правило тоже не нужно, достаточно полиси выставить в дроп. Если этот девайс так умеет. ))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted May 16, 2016 · Report post Зачем по вашему его ставят во все прошивки по умолчанию? Это типовая конфигурация, которую используют те, кто любит достать из коробки и что бы работало. Если нужно что-то большее, то ее следует сбросить и настраивать с нуля, но некоторые пытаются на ее базе настроить дополнительный функционал и наступают на разные грабли, т.к. часто там НАТ не так настроен, трафик заблокирован и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
roma_good Posted May 16, 2016 · Report post а можно увидеть ваши конфиги фаервола? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted May 17, 2016 · Report post а можно увидеть ваши конфиги фаервола? У меня в файрволе ничего нет, кроме дропа днс и нтп серверов. Есть еще одно правило блокировки абонентов с отрицательным балансом и все. Для защиты от не санкционированного доступа на роутер, указаны IP адреса для подключения администратора, при этом никаких правил дропов на инпут со стороны интернета не требуется. Аналогично и сервисы вроде телнет, ссш ограничиваются подобным способом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...