Ответы пользователя по тегу Firewall
  • Открытые порты Mikrotik после базовой настройки. Есть ли опасность?

    sizaik
    @sizaik
    сисадмин, Витебск
    Последние два похожи на работающий NAT. 443 - веб-сервер Микротика, 8291 - Winbox (программка для управления микротиком), 2000 - см. описание.
    Почему бы в фаерволле не открыть те, которые нужны, а остальные закрыть? Тогда и разбираться не придется.

    Для вас это будет выглядеть как-то так (не тестировал, пишу по памяти):
    /ip firewall filter
    add chain=forward src-address=локальная подсеть
    add chain=input protocol=tcp dst-port=22,1723
    add chain=input protocol=gre
    add chain=forward protocol=tcp dst-port=3389 dst-address=адрес терминального сервера
    add chain=input action=drop
    add chain=forward action=drop

    1. Разрешаем локальным хостам ходить в интернет. Здесь открыто всё, я обычно открываю только http и https, остальное при необходимости.
    2. Разрешаем входящие соединения 1723 (pptp) и 22 (управление Микротиком по SSH). Использовать стандартный порт, кстати, небезопасно, но вот тут подсказали очень крутую штуку.
    3. Для PPTP еще нужен протокол GRE
    4. Доступ по RDP к терминальному серверу, или что там у вас.
    5. Все остальные входящие отбрасываем
    6. Все остальные маршрутизируемые (через NAT, например) тоже.
    Ответ написан
  • Mikrotik, блокировка всего трафика, кроме одного порта?

    sizaik
    @sizaik
    сисадмин, Витебск
    А в чем проблема? Вы так подробно всё расписали, что тут и думать не надо. Только странно как-то, не могу представить кейс, в котором будет нужна такая конфигурация.
    /ip firewall filter
    add chain=forward src-port=12345 dst-port=6336 protocol=tcp src-address=172.16.0.2 dst-address=192.168.0.2
    add action=drop chain=forward src-address=172.16.0.0/24 dst-address=192.168.0.0/24
    Ответ написан
  • Mikrotik Router закрытие порта 53 и дальнейшие проблемы?

    sizaik
    @sizaik
    сисадмин, Витебск
    Коллеги, а почему бы вообще не закрыть всё, оставив только безусловно необходимое - скажем, управление снаружи по Winbox, если вы им пользуетесь?
    /ip firewall action=accept connection-state=new protocol=tcp in-interface=ether1 dst-port=8219 log=no log-prefix=" "
    /ip firewall action=accept connection-state=established in-interface=ether1 log=no log-prefix=" "
    /ip firewall filter add chain=input action=drop connection-state=new in-interface=ether1
    Ответ написан