@MrDZ

Оптимизация правил firewall на микротик?

всем привет, хочу разобраться в правилах фаервола на микротиках (удаленных). Как на ваш взгляд вы бы оптимизировали правила.
Все на статическом ip. Есть vpn до офиса (ipsec). Для таких устройств, как ip камера или банковский терминал имеется полный (вроде) доступ к интернету. Для остальных компов ограничен из списка.
192.168.0.0/24 - локалка офиса
192.168.1.0/24 - локалка микротика

/ip firewall filter

#Разрешить ICMP запросы
add action=accept chain=input comment=Ping protocol=icmp
add action=accept chain=forward protocol=icmp

#ipsec
add action=accept chain=input comment="Allow IPsec" dst-port=500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input protocol=ipsec-ah
add action=accept chain=input protocol=udp src-port=4500

#прохождение трафика из локалки в интернет по разрешенному списку
add action=accept chain=forward comment="Local to net" dst-address-list=test \
    in-interface=!ether1-gateway out-interface=ether1-gateway
	
#Разрешение установленных и связанных подключений для входящего и проходящего трафика
add action=accept chain=input comment="Accept connection" connection-state=\
    established,related
add action=accept chain=forward connection-state=established,related

#доступ из всей локалки к данным адресам
add action=accept chain=forward comment="Online kass" dst-address=\
    91.213.144.29
add action=accept chain=forward dst-address=46.17.204.250

# ???
add action=accept chain=input comment="Local network" in-interface=\
    !ether1-gateway src-address=192.168.1.0/24
	
#L2TP, PPTP
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp

# ???
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp

#Доступ извне к микротику
add action=accept chain=input src-address=192.168.0.0/24
add action=accept chain=input src-address=внешний ip офиса

#прохождение трафика из локалки в интернет по разрешенному списку ip по портам
add action=accept chain=forward comment=access_list_global_ip \
    dst-address-list=access_list_global_ip dst-port=\
    80,443,8801,8802,5242,4244,5243,7985 protocol=tcp
add action=accept chain=forward comment=access_list_global_ip \
    dst-address-list=access_list_global_ip dst-port=\
    3478,3479,8801-8810,5242,4244,5243,7985 protocol=udp
	
#прохождение трафика из локалки определенных ip в интернет
add action=accept chain=forward comment=access_list_ip_local \
    src-address-list=access_list_ip_local
#кажется это лишнее правило
add action=accept chain=forward dst-address-list=access_list_ip_local

#прохождение трафика камеры из локалки в интернет - лишнее правило
add action=accept chain=forward comment="IP Cam" src-address=192.168.1.200

#блокировка входящих подключений
add action=drop chain=input comment="Drop incoming" in-interface=\
    ether1-gateway

# ???
add action=accept chain=forward comment="VPN traffic" src-address=\
    192.168.0.0/24
add action=accept chain=forward src-address=192.168.10.0/24
add action=accept chain=forward dst-address=192.168.0.0/24
add action=accept chain=forward dst-address=192.168.10.0/24

#блокировка проходящего трафика по tcp
add action=reject chain=forward comment="Drop all" protocol=tcp reject-with=\
    tcp-reset
  • Вопрос задан
  • 919 просмотров
Пригласить эксперта
Ответы на вопрос 2
@Drno
Для начала я бы закрыл внешний доступ к микротику. или хотя бы ограничил списком разрешенных внешних адресов
Ответ написан
@Tabletko
никого не трогаю, починяю примус
Сначала разрешающие правила established, related (это у вас есть)
Потом разрешающие/запрещающие connection-state=new (у вас же правила для всех стейтов)
В конце правило Drop_ALL

Отдельно правило в raw для блокирования из banlist
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы