Jump to content
Калькуляторы

FireWall rules и IP/Services приоритет

В настройках FierWall'а Mikrotik'а есть вкладка IP ->services, на ней задаются сервиcы управления и разрешенные IP

если настойки этой вкладки будут противоречить правилам INPUT межсетевого экрана, какие правила будут применяться ? Какая логика работы ?

Share this post


Link to post
Share on other sites

Простая, если нет IP в списке, то не будет доступа. На файрвол это не влияет. Там своя система.

Share this post


Link to post
Share on other sites

Saab95

Т.е. ограничения будут просуммированы ?

Что-бы было "можно" нужно чтоб было разрешено и тут и в input ?

Share this post


Link to post
Share on other sites

Вообще если в сервисах и в настройках админов указали ограничения по IP, то они работают своим образом и никто из других сетей туда не попадет и никаких дополнительных правил на инпут не нужно. Лишние правила только вредят работе.

Поэтому создавать вторые ограничения нет никакой надобности. Естественно, если сделаете вторые правила, то нужно в них настроить аналогичные разрешения доступа.

Самое смешное это разные ограничения на перебор паролей и т.п., когда помечают соединения, для чего требуется включать контрак, а это снижает производительность роутера.

Share this post


Link to post
Share on other sites

Saab95

Т.е. ограничения будут просуммированы ?

Что-бы было "можно" нужно чтоб было разрешено и тут и в input ?

это совершенно разные вещи. Если в фаерволе допустим полностью запретить in на 22/tcp, то уже не важно что у вас прописано в acl на сервисе, доступа по ssh не будет. Если в фаерволе разрешить всем in на 22/tcp, но в acl сервиса прописать 192.168.0.0/24, то доступ по ssh будет только с этой сети. Пакет сначала обрабатывается фаерволом, только потом службами

Share this post


Link to post
Share on other sites

это совершенно разные вещи. Если в фаерволе допустим полностью запретить in на 22/tcp, то уже не важно что у вас прописано в acl на сервисе, доступа по ssh не будет. Если в фаерволе разрешить всем in на 22/tcp, но в acl сервиса прописать 192.168.0.0/24, то доступ по ssh будет только с этой сети. Пакет сначала обрабатывается фаерволом, только потом службами

 

Это все удобно, когда на роутере один IP, а если их много, то блокировать надо только извне на белые адреса, которых может быть несколько и они могут изменяться. Тогда нужно несколько правил по IP или по адрес листу. Либо блокировать все, а потом разрешать на определенные IP. Получается солянка из правил.

 

Другой подход это использование нескольких микротиков, когда на пограничных сразу заблокирован доступ на SSH, тогда и на остальных ничего не надо делать.

Это же касается и DNS - выгодно поднимать свой ДНС на микротике на сером IP, тогда не придется закрывать на него доступ извне.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this