Как настроить Firewall Mikrotik с Fasttrack?

Question

[unt0njs]

Товарищи, помогите настроить Firewall на RB2011.
Спрашивал на spw.ru, прокурил каждый сайт с его настройкой, прочитал этот вопрос. Но все равно боюсь лепить "отсебятину".

1. За все это время не раз встречал упоминание флуда на 53 порту WAN-интерфейса. Настраивал я его "с нуля". Сделал WAN-интерфейсом ether10, изначально им был гигабитный ether1. Где-то вычитал, что дефолтная конфигурация опускает этот флуд, но что делать, если у меня своя конфигурация?
2. Недавно узнал про fasttrack, кое-как прикрутил. Вроде бы работает и нагрузка на CPU снизилась в несколько раз. НО! Здесь говорится, что Fasttrack нужно убрать, а к цепи forward относиться очень серьезно.

Вот мой FW на настоящий момент.

/ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
/ip firewall filter
add action=drop chain=input comment="Drop BOGON" in-interface=pppoe-out1 src-address-list=BOGON
add action=accept chain=input comment="Accept estabilished" connection-state=established
add action=accept chain=input comment="Accept related" connection-state=related
add action=accept chain=input comment="Accept ping" protocol=icmp
add action=drop chain=input comment="Drop INPUT from WAN" connection-state=new in-interface=!bridge-local
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward comment="Accept forward estabilished" connection-state=established
add action=accept chain=forward comment="Accept forward related" connection-state=related
add action=drop chain=forward connection-state=invalid
add action=jump chain=forward in-interface=pppoe-out1 jump-target=WAN-LAN out-interface=bridge-local
add action=jump chain=forward in-interface=bridge-local jump-target=LAN-WAN out-interface=pppoe-out1
add action=accept chain=LAN-WAN
add action=drop chain=WAN-LAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1

Что можете посоветовать?

Answer 1

[Александр Романов]

Здравствуйте! Ваш фаервол достаточно полон, но немного не оптимален. Обратите внимание, fasttrack у Вас относится к etsablished и related подключениям (что абсолютно верно), а в input для этого два правила. Их можно свести в одно. Под правилом fasttrack техподдержка микротик рекомендует добавить точно такое же правило с действием accept для тех пакетов, которые идут по slowpath. Invalid'ы дропаем, тут всё верно. А дальше Вы немного нагромоздили. Если микротик не запрещает что-то в фаерволе – значит, трафик разрешён. Поэтому разрешение lan-wan – лишнее. Чтобы защититься от попадания в Вашу локалку можно использовать параметр connection-nat-state. Если у Вас более одного wan-интерфейса – сделайте interface-list и добавьте их туда, если один – это не обязательно. А правило такое:

/ip firewall filter
add chain=forward in-interface-list=WANs connection-nat-state=!dst action=drop

Этим правилом Вы защищаетесь от попыток маршрутизации в Вашу локалку. При этом, если Вы пробрасываете порты с помощью dst-nat, проброс произойдёт. Интерфейс-лист можно заменить на in-interface=<имя одного wan>.
А Ваши jump'ы – это избыточное, хотя не неправильное решение.