Перейти к содержимому
Калькуляторы

FireWall rules и IP/Services приоритет

Ответить

grifin.ru   

grifin.ru
Опубликовано · Жалоба

В настройках FierWall'а Mikrotik'а есть вкладка IP ->services, на ней задаются сервиcы управления и разрешенные IP

если настойки этой вкладки будут противоречить правилам INPUT межсетевого экрана, какие правила будут применяться ? Какая логика работы ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Saab95   

Saab95
Опубликовано · Жалоба

Простая, если нет IP в списке, то не будет доступа. На файрвол это не влияет. Там своя система.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

grifin.ru   

grifin.ru
Опубликовано · Жалоба

Saab95

Т.е. ограничения будут просуммированы ?

Что-бы было "можно" нужно чтоб было разрешено и тут и в input ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Saab95   

Saab95
Опубликовано · Жалоба

Вообще если в сервисах и в настройках админов указали ограничения по IP, то они работают своим образом и никто из других сетей туда не попадет и никаких дополнительных правил на инпут не нужно. Лишние правила только вредят работе.

Поэтому создавать вторые ограничения нет никакой надобности. Естественно, если сделаете вторые правила, то нужно в них настроить аналогичные разрешения доступа.

Самое смешное это разные ограничения на перебор паролей и т.п., когда помечают соединения, для чего требуется включать контрак, а это снижает производительность роутера.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

kaist   

kaist
Опубликовано · Жалоба

Saab95

Т.е. ограничения будут просуммированы ?

Что-бы было "можно" нужно чтоб было разрешено и тут и в input ?

это совершенно разные вещи. Если в фаерволе допустим полностью запретить in на 22/tcp, то уже не важно что у вас прописано в acl на сервисе, доступа по ssh не будет. Если в фаерволе разрешить всем in на 22/tcp, но в acl сервиса прописать 192.168.0.0/24, то доступ по ssh будет только с этой сети. Пакет сначала обрабатывается фаерволом, только потом службами

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Saab95   

Saab95
Опубликовано · Жалоба

это совершенно разные вещи. Если в фаерволе допустим полностью запретить in на 22/tcp, то уже не важно что у вас прописано в acl на сервисе, доступа по ssh не будет. Если в фаерволе разрешить всем in на 22/tcp, но в acl сервиса прописать 192.168.0.0/24, то доступ по ssh будет только с этой сети. Пакет сначала обрабатывается фаерволом, только потом службами

 

Это все удобно, когда на роутере один IP, а если их много, то блокировать надо только извне на белые адреса, которых может быть несколько и они могут изменяться. Тогда нужно несколько правил по IP или по адрес листу. Либо блокировать все, а потом разрешать на определенные IP. Получается солянка из правил.

 

Другой подход это использование нескольких микротиков, когда на пограничных сразу заблокирован доступ на SSH, тогда и на остальных ничего не надо делать.

Это же касается и DNS - выгодно поднимать свой ДНС на микротике на сером IP, тогда не придется закрывать на него доступ извне.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Mikrotik коммутаторы и маршрутизаторы