Alex_Buzz:
Тогдла, опять же, бэкап конфигов, сносите все правила фильтра и настраиваете только его. Можно по этому скрипту, но разбирая каждую его строчку.
Наиболее вероятно, что бОльшая его часть вам просто не нужна, но в любом случае полезно.
//я, в частности, вынес для себя тот факт, что при большом количестве правил использование jump-target дико удобно :)
Alex_Buzz:
Всё не так страшно и не так сложно, как кажется на первый взгляд - сам всё это года три назад всего проходил :) Тогда доков по тикам было значительно меньше в рунете.
Alex_Buzz:
В скрипте есть много больше, чем Вы указали в первом комментарии.
На счёт вопроса - я бы на вашем месте забэкапил конфиги, грохнул их, и настроил с нуля, разбераяя по пунктам pptp, nat и firewall.
На игры в угадайку мы больше времени можем потратить :)
Alex_Buzz:
Гугл -> мануал по iptables
+ https://habrahabr.ru/post/188718/
QoS Вам пока не нужен, но в статье подробно разжёвано как что куда и откуда ходит внутри микротика.
А пока попробуйте временно отключить
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
А лучше дайте ссылку на скрипт... может он помимо фильтра ещё и в мангл лезет...
Alex_Buzz:
Вот вижу я в приведённом листинге правил фаервола последнее правило, дропающее все <прочие> входящие подключения, но не вижу перед ним что-либо, разрешающее входящий icmp
Вячеслав Николаев: кстати на счёт 53 udp - если по вышеописанной схеме днс на AD DC и в качестве сервера пересылки, то на форвард udp 53 открывать не нужно - только на output. И редиректить ничего не обязательно.
Вячеслав Николаев:
Зависит от степени использованияф интеренета в вашем офисе.
В простейшем случае открыть в chain=forward и out-interface=wan tcp 80, 443, udp 53, 123, + почту остальное в reject
Вячеслав Николаев:
Проще покопаться в gpo и найти способ запретить устанавливать все браузеры подряд. Посадить всех на хром, например. А хром, на сколько я знаю, можно жёстко залочить на установку всяких там плагинов и прочей ереси.
На крайняк, если уж совсем критично - IE и белые списки софта.
Вячеслав Николаев:
Да зачем, если прецедентов пока не было? Это не критичный насущный вопрос же, а, скорее, гипотетическая ситуация.
Вот кто из простых смерт... пользователей, простите, слышал о днскрипт?
Вячеслав Николаев:
Я о том и толкую. Физически невозможно будет отследить все подобные плагины etc.
Единственный путь - ещё больше ограничивать пользователя в правах :)
Александр:
Вообще надо просто подробнее смотреть как и на каком dst-port работает яндексовая реализация днскрипт. На udp/53 его, в теории, ничто не ограничивает и ограничивать не может.
Тут дело банально в том, что для установки браузера права локального администратора не нужны, для установки плагина на этот браузер - тем более, а в пределах самого себя этот браузер с его плагинами может творить практически всё что ему вздумается.
Александр:
Завернуть то завернёт, но.
DNSCrypt, строго говоря, не днс-протокол. Вернее не стандартный. И работает поверх стандартного. И в теории может юзать любой протокол/порт.
На данный момент, судя по всему, если его придушить фаерволом - dnscrypt-клиент будет юзать стандартный системный резольвер, но они работают над этой проблемой. Кхм.
Тогдла, опять же, бэкап конфигов, сносите все правила фильтра и настраиваете только его. Можно по этому скрипту, но разбирая каждую его строчку.
Наиболее вероятно, что бОльшая его часть вам просто не нужна, но в любом случае полезно.
//я, в частности, вынес для себя тот факт, что при большом количестве правил использование jump-target дико удобно :)