Jump to content
Калькуляторы

FireWall rules и IP/Services приоритет

Reply to this topic

grifin.ru   

grifin.ru
Posted

В настройках FierWall'а Mikrotik'а есть вкладка IP ->services, на ней задаются сервиcы управления и разрешенные IP

если настойки этой вкладки будут противоречить правилам INPUT межсетевого экрана, какие правила будут применяться ? Какая логика работы ?

Share this post

Link to post
Share on other sites

grifin.ru   

grifin.ru
Posted

Saab95

Т.е. ограничения будут просуммированы ?

Что-бы было "можно" нужно чтоб было разрешено и тут и в input ?

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

Вообще если в сервисах и в настройках админов указали ограничения по IP, то они работают своим образом и никто из других сетей туда не попадет и никаких дополнительных правил на инпут не нужно. Лишние правила только вредят работе.

Поэтому создавать вторые ограничения нет никакой надобности. Естественно, если сделаете вторые правила, то нужно в них настроить аналогичные разрешения доступа.

Самое смешное это разные ограничения на перебор паролей и т.п., когда помечают соединения, для чего требуется включать контрак, а это снижает производительность роутера.

Share this post

Link to post
Share on other sites

kaist   

kaist
Posted

Saab95

Т.е. ограничения будут просуммированы ?

Что-бы было "можно" нужно чтоб было разрешено и тут и в input ?

это совершенно разные вещи. Если в фаерволе допустим полностью запретить in на 22/tcp, то уже не важно что у вас прописано в acl на сервисе, доступа по ssh не будет. Если в фаерволе разрешить всем in на 22/tcp, но в acl сервиса прописать 192.168.0.0/24, то доступ по ssh будет только с этой сети. Пакет сначала обрабатывается фаерволом, только потом службами

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

это совершенно разные вещи. Если в фаерволе допустим полностью запретить in на 22/tcp, то уже не важно что у вас прописано в acl на сервисе, доступа по ssh не будет. Если в фаерволе разрешить всем in на 22/tcp, но в acl сервиса прописать 192.168.0.0/24, то доступ по ssh будет только с этой сети. Пакет сначала обрабатывается фаерволом, только потом службами

 

Это все удобно, когда на роутере один IP, а если их много, то блокировать надо только извне на белые адреса, которых может быть несколько и они могут изменяться. Тогда нужно несколько правил по IP или по адрес листу. Либо блокировать все, а потом разрешать на определенные IP. Получается солянка из правил.

 

Другой подход это использование нескольких микротиков, когда на пограничных сразу заблокирован доступ на SSH, тогда и на остальных ничего не надо делать.

Это же касается и DNS - выгодно поднимать свой ДНС на микротике на сером IP, тогда не придется закрывать на него доступ извне.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Mikrotik коммутаторы и маршрутизаторы