Jump to content

секьюрность в ip firewall filter

RN3DCX
 Share

Recommended Posts

RN3DCX

RN3DCX

Posted
Posted

В мануалах на просторе интернета рекомендуют для повышения секьюрности добавить в начало /ip firewall filter следующие правила:

 

# Разрешаем входящий трафик от уже установленных подключений и связанных
add chain=input action=accept connection-state=established,related

 

# Разрешаем транзитные пакеты от уже установленных соединений
add chain=forward action=accept connection-state=established,related   

 

И вот тут задался вопросом:

INPUT — позволяет модифицировать пакет, предназначенный самому хосту.
FORWARD  — цепочка, позволяющая модифицировать транзитные пакеты.
PREROUTING — позволяет модифицировать пакет до принятия решения о маршрутизации.

OUTPUT — позволяет модифицировать пакеты, исходящие от самого хоста.
POSTROUTING — дает возможность модифицировать все исходящие пакеты, как сгенерированные самим хостом, так и транзитные.

 

 

Так мож правильнее эти два правила объединить в одно правило с chain=prerouting ??? 

add chain=prerouting action=accept connection-state=established,related

 

cbfruui7ydb8lqm19myzozfotbo.png

 

 

И еще есть вопрос по поводу: connection-state=established,related и connection-state=new. Разве это не взаимоисключающие правила?

Т.е. если первым правилом стоит connection-state=established,related то connection-state=new уже по смыслу не нужен!?

Пример:

1-е правило: add chain=prerouting action=accept connection-state=established,related 

2-е правило: add chain=input action=drop protocol=tcp connection-state=new in-interface=WAN dst-port=23 log=no log-prefix=""

               

Или всё же во втором правиле нужен  connection-state=new ???

 

alibek

alibek

Posted
Posted
5 часов назад, RN3DCX сказал:

для повышения секьюрности добавить в начало

Никакого отношения к секьюрности это не имеет.

Это для повышения производительности, чтобы не применять правила к установленным соединениям.

disappointed

disappointed

Posted
Posted
7 часов назад, RN3DCX сказал:

# Разрешаем транзитные пакеты от уже установленных соединений
add chain=forward action=accept connection-state=established,related   

Если это роутер транзита, то там пусто в FORWARD и это правило смысла не имеет.

Да и вообще не нужно трекать транзит.

Jora_Cornev

Jora_Cornev

Posted
Posted
В 24.04.2020 в 08:51, alibek сказал:

Это для повышения производительности, чтобы не применять правила к установленным соединениям.

КЭП - подробности будут?

alibek

alibek

Posted
Posted

Правила выполняются сверху вниз.

Верхние правила выполняются первыми.

Поэтому в начало списка часто посещают те правила, которые срабатывают чаще всего.

Jora_Cornev

Jora_Cornev

Posted
Posted

@alibek , это я думаю всем понятно.

вопрос был про: 

# Разрешаем входящий трафик от уже установленных подключений и связанных
add chain=input action=accept connection-state=established,related

# Разрешаем транзитные пакеты от уже установленных соединений
add chain=forward action=accept connection-state=established,related

мож правильнее эти два правила объединить в одно правило с chain=prerouting ???

add chain=prerouting action=accept connection-state=established,related 

jffulcrum

jffulcrum

Posted
Posted
В 24.04.2020 в 03:49, RN3DCX сказал:

Так мож правильнее эти два правила объединить в одно правило с chain=prerouting ?

Нет. Смотрите официальный packet flow, пакет forward может проходить неоднократно.

 

В 24.04.2020 в 03:49, RN3DCX сказал:

connection-state=established,related и connection-state=new. Разве это не взаимоисключающие правила?

Т.е. если первым правилом стоит connection-state=established,related то connection-state=new уже по смыслу не нужен!?

Пример:

1-е правило: add chain=prerouting action=accept connection-state=established,related 

2-е правило: add chain=input action=drop protocol=tcp connection-state=new in-interface=WAN dst-port=23 log=no log-prefix=""

Смысл второго правила вообще не ясен. Connection-state=new нужен, если вы хотите новые соединения дополнительно проверять, типа port knocking и т.п., или обрабатывать в отдельной chain. В остальных случаях этот признак указывать не надо - то, что уже есть, роутер пропустит первым правилом, новое пойдет по цепочке правил вниз и так.

McSea

McSea

Posted
Posted
On 4/25/2020 at 6:45 PM, Jora_Cornev said:

мож правильнее эти два правила объединить в одно правило с chain=prerouting ???

add chain=prerouting action=accept connection-state=established,related 

 

q.png

RN3DCX

RN3DCX

Posted
  • Author
Posted

@jffulcrum, отдельное спасибо за подробный ответ!

 

 

 @McSea , а вот мысль по поводу add chain=prerouting была навеяна постом сааба:

В 24.03.2020 в 21:30, Saab95 сказал:

достаточно вставить вверху манглов:

  


/ip firewall mangle
add action=accept chain=prerouting connection-state=established

 

Сейчас сам проверил и действительно нету там prerouting'a

image.png.b172fe8f0a561e23fa2d36ec00c819a0.png

 

Saab95

Saab95

Posted
Posted 
/ip firewall mangle

он есть в другом разделе.

 

Вообще заморачиваться с фильтрами это гиблое дело, лучше оставить его пустым, закрыв только нужное и все.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.