Jump to content
Калькуляторы

Прокомментируйте настройку Firewall

Доброго времени суток!

Имеется ROS x86.

Сеть офисов, около 500 машин.

Интернет канал 1гбит.

Приходит по GRE тунелю (такое вот извращение от провайдера).

2 внешних ай-пи (оба навешаны на тунель).

5 локальных сетей, 192.168.0 -- 192.168.4

Клиенты двух видов - Client (офисные машины с интернетом) и Service (офисное оборудование, камеры и т д - только доступ к сети и друг другу, без инета).

 

Вот так настроен НАТ:

/ip firewall nat
add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=tunnel \
    src-address=192.168.0.0/24 src-address-list=Client to-addresses=\
    1**.1**.1**.51
add action=src-nat chain=srcnat dst-address=!192.168.1.0/16 out-interface=tunnel \
    src-address=192.168.0.0/24 src-address-list=Client to-addresses=\
    1**.1**.1**.51
add action=src-nat chain=srcnat dst-address=!192.168.2.0/16 out-interface=tunnel \
    src-address=192.168.0.0/24 src-address-list=Client to-addresses=\
    1**.1**.1**.51
add action=src-nat chain=srcnat dst-address=!192.168.3.0/16 out-interface=tunnel \
    src-address=192.168.0.0/24 src-address-list=Client to-addresses=\
    1**.1**.1**.52
add action=src-nat chain=srcnat dst-address=!192.168.4.0/16 out-interface=tunnel \
    src-address=192.168.0.0/24 src-address-list=Client to-addresses=\
    1**.1**.1**.52
add action=redirect chain=dstnat dst-address=!192.168.0.0/16 dst-port=53 \
    in-interface-list=Local protocol=udp src-address=192.168.0.0/16

Созданы 5 правил для 5 локальных подсетей, с указанием разных внешних ай-пи.

Так же создано правило для редиректа 53 порта на наш ДНС, чтобы не было смысла менять на левый.

Больше ничего нет.

Всё ли верно сделано?

 

Вот так настроен Фаервол:

/ip firewall filter
add action=accept chain=input comment="Client Input" in-interface-list=Local \
    src-address-list=Abonent
add action=accept chain=forward comment="Client Forward" in-interface-list=\
    Local src-address-list=Abonent
add action=accept chain=input comment="Service Input" in-interface-list=Local \
    src-address-list=Service
add action=accept chain=forward comment="Service Forward" in-interface-list=\
    Local src-address-list=Service
add action=accept chain=input comment="ICMP Input" protocol=icmp
add action=drop chain=input comment="Drop Input All" connection-state=new
add action=drop chain=forward comment="Drop Forward All" connection-state=new

Первые 2 правила разрешают входящие и транзит для машин с интернетом, указан локальный адрес-лист.

Вторые 2 правила разрешают входящие и транзит для всяких девайсов без инета (в НАТ для них не даётся интернет), указан так же локальный адрес-лист.

Пятое правило разрешает пинг изо всех сетей.

И последние 2 правила дропают все новые соединения на вход и на транзит, для всех интерфейсов, в том числе и внешних.

Получается, что established и иже с ними не запрещены, инет работает.

Если в адрес листе погасить айпишник, то правило 1 и 2 не отрабатывают и все новые соединения для этой машины рубаются.

 

Всё ли верно сделано тут?

 

Иногда бывают жалобы от пользователей, что странички подвисают.

Вот решил узнать, можно ли как-то всё сделать более грамотно и компактно.

Edited by Trueno

Share this post


Link to post
Share on other sites

1 hour ago, Trueno said:

Иногда бывают жалобы от пользователей, что странички подвисают.

Так и вы говорите (C) анекдот

 

Если проблемы регулярные, надо разбираться конкретно - какой сайт, в какое время, что открывают и т.д.

Может на вашей стороне вообще нет проблем, а они где-то по дороге, если вообще есть.

 

MSS для туннеля уменьшаете ?

Share this post


Link to post
Share on other sites

Общая картина - сайты открываются не так шустро, как если бы тупо подключить порт аплинка в комп.

Получается, что мой шлюз вносит некую задержку.

При этом потери пакетов нет, ЦП не более 20%.

ДНС сервер даёт ответы моментально.

 

17 минут назад, McSea сказал:

MSS для туннеля уменьшаете ?

Всё что сделано по туннелю: по-умолчанию мту выдается 1476, поставил вручную на туннеле 1400, вроде шустрее работает, но не так, как напрямую.

Остальные настройки туннеля по-умолчанию.

 

Share this post


Link to post
Share on other sites

6 часов назад, zhenya` сказал:

Mss!=mtu 

Да я понял.

Там в настройках туннеля галочка Clamp TCP MSS стоит, если что.

Ещё, я так понял, надо в мангле что-то городить?

 

Остальное в фарволе всё правильно?

 

Да, кстати, ещё.

Неоднократно читал, что нужно вверху ставить 2 запрещающих правила на вход и на транзит для connection state = invalid.

Насколько это верно? Практическая польза есть, или просто хороший тон, так сказать?

Edited by Trueno

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.