[amper]

В данный момент перечень правил примерно такой:

 

1) Разрешаем все если connection-state established,related

2) Резрешаем с условиями (интерфейсы и/или адрес листы)

3) Запрещаем все

 

Имеет ли смысл выносить разрешающее правило (1) вверх, над другими правилами, в которых описаны более подробные условия, где connection-state=new ?

Т.е. тратятся ли ресурсы на проверку всех правил и экономятся ли они, если для уже открытого соединения есть правило разрешающее доступ?

 

Если да, то как оптимально блокировать UDP, чтобы не разводить гору правил? Оно проходит через условие established (1), и соответственно правило (1) описаное выше (2) по умолчанию разрешает UDP всем, если (2) поднять выше (1), то все работает как надо.

[DRiVen]

Логика обработки правил стандартна, перебираются правила, пока не будет найдено подходящее под проверяемое соединение/пакет данных, исходя из этого более конкретизированные условия должны проверяться ранее более общих, а разрешающие общие до общих запрещающих.

Изменено 13 мая, 2016 пользователем DRiVen

[Saab95]

В корне не верно, нужно разрешать все, а запрещать только то, что не нужно. При вашей схеме весь трафик проходит через фильтры, что нагружает оборудование.

[amper]

Наоборот, при моей схеме подавляющее большинство трафика попадает в первое правило Разрешаем все если connection-state established,related -- и проходит через него.

 

А если запрещать не все, то можно что-то не учесть, и в любом случае, прежде чем дойдет до правила разрешено, будет проверено куча правил запрещено.

 

Если в описанной схеме для Разрешаем все если connection-state established,related просто добавить еще одно требование "tcp"?

[nur16]

Наоборот, при моей схеме подавляющее большинство трафика попадает в первое правило Разрешаем все если connection-state established,related -- и проходит через него.

 

А если запрещать не все, то можно что-то не учесть, и в любом случае, прежде чем дойдет до правила разрешено, будет проверено куча правил запрещено.

 

Если в описанной схеме для Разрешаем все если connection-state established,related просто добавить еще одно требование "tcp"?

Первое правило лишено смысла. Это как ставить дверь посреди дороги.

[amper]

Зачем по вашему его ставят во все прошивки по умолчанию?

[pppoetest]

Последнее правило тоже не нужно, достаточно полиси выставить в дроп. Если этот девайс так умеет. )))

[Saab95]

Зачем по вашему его ставят во все прошивки по умолчанию?

 

Это типовая конфигурация, которую используют те, кто любит достать из коробки и что бы работало. Если нужно что-то большее, то ее следует сбросить и настраивать с нуля, но некоторые пытаются на ее базе настроить дополнительный функционал и наступают на разные грабли, т.к. часто там НАТ не так настроен, трафик заблокирован и т.п.

[roma_good]

а можно увидеть ваши конфиги фаервола?

[Saab95]

а можно увидеть ваши конфиги фаервола?

 

У меня в файрволе ничего нет, кроме дропа днс и нтп серверов.

Есть еще одно правило блокировки абонентов с отрицательным балансом и все. Для защиты от не санкционированного доступа на роутер, указаны IP адреса для подключения администратора, при этом никаких правил дропов на инпут со стороны интернета не требуется. Аналогично и сервисы вроде телнет, ссш ограничиваются подобным способом.