MikroTik RouterOS (часть 4) - [99] :: В помощь системному администратору

Ребят где что не так, прошу помощи, подскажите, возможно что-то избыточно или наоброт чего-то не хватает.

Взял CrowdInspect и комодо, посмотрел какие приложения какие порты требуют, все остальное запретил, порты соответсвенно для браузера, торент по требованию, проброс трафика что бы исключить фильтрацию на sip, world of tanks и csgo. На входящих, проверка на валидность всего трафика так же на проброшенный трафик и на исходящий. На входящие в ван разрешено только 1701 и только udp и только от провайдера, т.е. с любых других ip вход запрещен и протоколы все запрещены кроме udp. Отдельно фильтруется входящий по wan и по l2tp трафик на входящие на 53 порт, т.е. на dns. Дропаются все левые порты, которыми не пользуются мои проги, из прог тут понятно браузер, вайбер под винду и скайп. Далее в блоклист заносятся все кто приходит к нам не с сервера провайдера и далее режем все что не является разрешенным на ване и на l2tp. ДНС от комодо. Было вычислено, что использование DNS от гугл ведет к 1700 не связанным подключениям на комп в течении уже первых 30 минут, непонятно от кого, т.е. это просто прилетает в л2тп трафик непонятно от кого соединения при использовании днс от гугла. На комодовских днс такое замечено не было. Т.е. это спецслужбы, прости Господи) и те кто как-то слушает трафик на днс серверах гугла, т.е. хакеры, траяны ну и естественно гугловские какие-то мутки)
Ну и дальше уже немного паранои, если заражен телефон - троян не сможет атаковать комп, запрещеные подключения с беспроводных к сетке, тоже самое из сетки к телефону, что бы исключить не прямой уход трафика, т.е. если например троян не может выбраться с компа из-за файера, он ломает по сетке тел и через него уходит. Так же комп не может подрубится к микротику по лану(добавлен в блоклист), конект только по маку, беспровадная сетка не может подключится к микротику - отключен в neigbors > discovery interfaces. Что бы исключить взлом с компа микротика, на случай если на компе троян.

Более подробно в консольном варианте:
0 chain=forward action=jump jump-target=drop_all in-interface=all-ethernet out-interface=all-wireless log=no log-prefix=""
1 chain=forward action=jump jump-target=drop_all in-interface=all-wireless out-interface=all-ethernet log=no log-prefix=""
2 ;;; wot
chain=forward action=jump jump-target=accepted_connections src-address-list=wot_ip log=no log-prefix=""
3 ;;; csgo
chain=forward action=jump jump-target=accepted_connections src-address-list=csgo_list log=no log-prefix=""
4 ;;;
chain=input action=jump jump-target=drop_all connection-state=invalid log=no log-prefix=""
5 chain=forward action=jump jump-target=drop_all connection-state=invalid log=no log-prefix=""
6 chain=output action=jump jump-target=drop_all connection-state=invalid log=no log-prefix=""
7 ;;; icmp & igmp
chain=input action=jump jump-target=drop_all protocol=icmp log=no log-prefix=""
8 chain=input action=jump jump-target=drop_all protocol=igmp log=no log-prefix=""
9 chain=forward action=jump jump-target=drop_all protocol=igmp log=no log-prefix=""
10 chain=input action=jump jump-target=drop_all protocol=udp src-address-list=!dns_list src-port=53 log=no log-prefix=""
11 ;;;
chain=input action=jump jump-target=drop_all src-address-list=droplist log=no log-prefix=""
12 ;;; mikrotik
chain=input action=jump jump-target=accepted_connections dst-address=255.255.255.255 log=no log-prefix=""
13 ;;; IP:: SIP: 78.155.208.95
chain=forward action=jump jump-target=accepted_connections protocol=udp src-address=78.155.208.95 log=no log-prefix=""
14 ;;; wan
chain=input action=add-dst-to-address-list protocol=udp src-address-list=!droplist address-list=droplist address-list-timeout=5w6d15h in-interface=wan-bee src-port=!1701 log=no log-prefix=""
15 chain=input action=jump jump-target=drop_all protocol=udp in-interface=wan-bee src-port=!1701 log=no log-prefix=""
16 chain=input action=jump jump-target=drop_all connection-state=!established,related protocol=udp src-address=85.21.59.236 in-interface=wan-bee src-port=1701 log=no log-prefix=""
17 chain=input action=accept connection-state=established,related protocol=udp src-address=85.21.59.236 in-interface=wan-bee src-port=1701 log=no log-prefix=""
18 chain=input action=add-dst-to-address-list address-list=droplist address-list-timeout=0s log=yes log-prefix=""
19 chain=input action=jump jump-target=drop_all log=no log-prefix=""
20 X ;;;
chain=output action=jump jump-target=accepted_connections protocol=tcp src-port=62000 log=no log-prefix=""
21 ;;; l2tp
chain=forward action=jump jump-target=drop_all src-address-list=droplist in-interface=beeline-l2tp log=no log-prefix=""
22 chain=forward action=jump jump-target=accepted_connections protocol=udp src-address-list=dns_list in-interface=beeline-l2tp src-port=53 log=no log-prefix=""
23 chain=forward action=jump jump-target=drop_all protocol=udp src-address-list=!dns_list in-interface=beeline-l2tp src-port=53 log=no log-prefix=""
24 ;;; l2tp
chain=forward action=accept connection-state=established,related protocol=udp in-interface=beeline-l2tp src-port=80,443,1119,4244,5938,12350 log=no log-prefix=""
25 chain=forward action=drop connection-state=established,related protocol=udp in-interface=beeline-l2tp src-port=1-79,81-442,444-4243,4245-5937,5939-12349,12351-49999 log=no log-prefix=""
26 chain=forward action=accept connection-state=established,related protocol=tcp in-interface=beeline-l2tp src-port=80,443,1119,3389,4244,5938,12350 log=no log-prefix=""
27 chain=forward action=drop connection-state=established,related protocol=tcp in-interface=beeline-l2tp src-port=1-79,81-442,444-3388,3390-4243,4245-5937,5939-12349,12351-49999 log=no log-prefix=""
28 chain=forward action=jump jump-target=drop_all in-interface=beeline-l2tp log=no log-prefix=""
29 ;;; end
chain=accepted_connections action=accept log=no log-prefix=""
30 chain=output action=jump jump-target=drop_all protocol=icmp log=no log-prefix=""
31 chain=output action=jump jump-target=drop_all protocol=igmp log=no log-prefix=""
32 chain=drop_all action=drop log=no log-prefix=""
------------
кто подскажет, где что не так? все ли оптимально?)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)	Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200