RN3DCX Опубликовано 24 апреля, 2020 · Жалоба В мануалах на просторе интернета рекомендуют для повышения секьюрности добавить в начало /ip firewall filter следующие правила: # Разрешаем входящий трафик от уже установленных подключений и связанных add chain=input action=accept connection-state=established,related # Разрешаем транзитные пакеты от уже установленных соединений add chain=forward action=accept connection-state=established,related И вот тут задался вопросом: INPUT — позволяет модифицировать пакет, предназначенный самому хосту. FORWARD — цепочка, позволяющая модифицировать транзитные пакеты. PREROUTING — позволяет модифицировать пакет до принятия решения о маршрутизации. OUTPUT — позволяет модифицировать пакеты, исходящие от самого хоста. POSTROUTING — дает возможность модифицировать все исходящие пакеты, как сгенерированные самим хостом, так и транзитные. Так мож правильнее эти два правила объединить в одно правило с chain=prerouting ??? add chain=prerouting action=accept connection-state=established,related И еще есть вопрос по поводу: connection-state=established,related и connection-state=new. Разве это не взаимоисключающие правила? Т.е. если первым правилом стоит connection-state=established,related то connection-state=new уже по смыслу не нужен!? Пример: 1-е правило: add chain=prerouting action=accept connection-state=established,related 2-е правило: add chain=input action=drop protocol=tcp connection-state=new in-interface=WAN dst-port=23 log=no log-prefix="" Или всё же во втором правиле нужен connection-state=new ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 24 апреля, 2020 · Жалоба 5 часов назад, RN3DCX сказал: для повышения секьюрности добавить в начало Никакого отношения к секьюрности это не имеет. Это для повышения производительности, чтобы не применять правила к установленным соединениям. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 24 апреля, 2020 · Жалоба 7 часов назад, RN3DCX сказал: # Разрешаем транзитные пакеты от уже установленных соединений add chain=forward action=accept connection-state=established,related Если это роутер транзита, то там пусто в FORWARD и это правило смысла не имеет. Да и вообще не нужно трекать транзит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 25 апреля, 2020 · Жалоба В 24.04.2020 в 08:51, alibek сказал: Это для повышения производительности, чтобы не применять правила к установленным соединениям. КЭП - подробности будут? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 25 апреля, 2020 · Жалоба Правила выполняются сверху вниз. Верхние правила выполняются первыми. Поэтому в начало списка часто посещают те правила, которые срабатывают чаще всего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jora_Cornev Опубликовано 25 апреля, 2020 · Жалоба @alibek , это я думаю всем понятно. вопрос был про: # Разрешаем входящий трафик от уже установленных подключений и связанных add chain=input action=accept connection-state=established,related # Разрешаем транзитные пакеты от уже установленных соединений add chain=forward action=accept connection-state=established,related мож правильнее эти два правила объединить в одно правило с chain=prerouting ??? add chain=prerouting action=accept connection-state=established,related Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 26 апреля, 2020 · Жалоба В 24.04.2020 в 03:49, RN3DCX сказал: Так мож правильнее эти два правила объединить в одно правило с chain=prerouting ? Нет. Смотрите официальный packet flow, пакет forward может проходить неоднократно. В 24.04.2020 в 03:49, RN3DCX сказал: connection-state=established,related и connection-state=new. Разве это не взаимоисключающие правила? Т.е. если первым правилом стоит connection-state=established,related то connection-state=new уже по смыслу не нужен!? Пример: 1-е правило: add chain=prerouting action=accept connection-state=established,related 2-е правило: add chain=input action=drop protocol=tcp connection-state=new in-interface=WAN dst-port=23 log=no log-prefix="" Смысл второго правила вообще не ясен. Connection-state=new нужен, если вы хотите новые соединения дополнительно проверять, типа port knocking и т.п., или обрабатывать в отдельной chain. В остальных случаях этот признак указывать не надо - то, что уже есть, роутер пропустит первым правилом, новое пойдет по цепочке правил вниз и так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 27 апреля, 2020 · Жалоба On 4/25/2020 at 6:45 PM, Jora_Cornev said: мож правильнее эти два правила объединить в одно правило с chain=prerouting ??? add chain=prerouting action=accept connection-state=established,related Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 28 апреля, 2020 · Жалоба @jffulcrum, отдельное спасибо за подробный ответ! @McSea , а вот мысль по поводу add chain=prerouting была навеяна постом сааба: В 24.03.2020 в 21:30, Saab95 сказал: достаточно вставить вверху манглов: /ip firewall mangle add action=accept chain=prerouting connection-state=established Сейчас сам проверил и действительно нету там prerouting'a Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 29 апреля, 2020 · Жалоба /ip firewall mangle он есть в другом разделе. Вообще заморачиваться с фильтрами это гиблое дело, лучше оставить его пустым, закрыв только нужное и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...