Почему могут удаляться правила firewall?

Question

[MrDZ]

Почему-то удаляются часть фильтров фаервола на удаленных mikrotik rb750r2, прошивки разные. Конкретно удаляются правила input.

/ip firewall filter
add action=accept chain=input comment=Ping protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input comment="Allow IPsec" dst-port=500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input protocol=ipsec-ah
add action=accept chain=input protocol=udp src-port=4500
add action=accept chain=forward comment="Local to net" dst-address-list=test \
in-interface=!ether1-gateway out-interface=ether1-gateway
add action=accept chain=input comment="Accept connection" connection-state=\
established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward comment="Online kass" dst-address=\
91.213.144.29
add action=accept chain=forward dst-address=46.17.204.250
add action=accept chain=input comment="Local network" in-interface=\
!ether1-gateway src-address=192.64.1.0/24
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=accept chain=input src-address=192.168.2.0/23
add action=accept chain=input src-address=внешний адрес офиса
add action=accept chain=forward comment="Bank Terminal" src-address=\
192.64.1.2-192.64.1.10
add action=accept chain=forward dst-address=192.64.1.2-192.64.1.10
add action=accept chain=forward src-address=185.170.204.91
add action=accept chain=forward dst-address=185.170.204.91
add action=drop chain=input comment="Drop incoming" in-interface=\
ether1-gateway
add action=accept chain=forward comment="VPN traffic" src-address=\
192.168.2.0/23
add action=accept chain=forward dst-address=192.168.2.0/23
add action=reject chain=forward comment="Drop all" protocol=tcp reject-with=\
tcp-reset

Comments

[MrDZ]

удаляются правила, скорее всего, из-за настройки через quickset

Answer 1

[dmb_1945]

На сколько знаю, правила созданные в ручном режиме не могу сами по себе удалятся.
Их кто то намерено гасит, скрипт или руки.
Проверте логи, проверте скрипты, шедулер, настройте оповещение по e-mail если кто то залогинелся, отключите не используемые сервисы, ограничите вход с определенных портов.
Я думаю что на 90% вас кто то ломает.
Короче идите в сторону повышения уровня безопастности!

Comments

[MrDZ]

в том то и дело, что скриптов, шедулеров лишних нет и сокс отключен. в логах ни чего страшного нет....смотрел правда на микроте который всего три дня был в сети.
вот оповещение надо сделать

[dmb_1945]

Совет, продумай по безопасности более жесткие правила.
Иди от запретить все нах, и открыть только необходимо-очень аккуратно и ограничено, отключить все что хоть как то может показать, что за устройсто стоит и по каким портам может принимать подключение:
access только то что нужно
drop all

Answer 2

[MrDZ]

долго мучился почему удаляются правила, так и не понял.....то что это делает злой хакер я сильно сомневаюсь.
Сегодня почти на глазах пропали эти правила инпута. Меняли провадера, запустил винбокс у себя на компе и на удаленном, сменил настройки, ребутнул микротик и они пропали. Может одновременно нельзя открывать винбокс на один микротик...или фиг его знает