snow1eopard
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:
Если уж ICMP разрешаешь, то нужно трафик по ICMP фильтровать, существует атака по этому протоколу, я его вообще отрубил, он мне не нужен)
5 и 7ые пункты полностью одинаковые, поэтому 1 снести, либо, если они как-то отличаются, добавь столбик с другими значениями в отображение. Тоже самое 8,9,14,15. вообще трафик режут в начале, и в конце, что бы левые пакеты не гуляли по роутеру. так же не вижу у тебя invalid правила, я бы их рекомендовал вставить, просто потому что не валидные пакеты должны рубиться сразу, кто их знает, что в этих пакетах.
соответсвенно:
вместо первого пункта: Input, Connection state: Invalid, Drop
вместо второго правила: : Output, Connection state: Invalid, Drop
дальше идут твои: 0,1 правила со скрина, дальше
дальше идут разрешенные icmp
дальше: input drop
т.е. тебе надо разрешить трафик от провайдера, тот который тебе дает интернет потом разрешить icmp и сразу после этого рубить все входящие, т.е. то что разрешено он пропустит, все остальное отсечет и вот то что я инвалиды посаветовал вставить.
кто бы что не говорил, невалидный трафик может юзать дыры в самом микротике, по этой причине я его отрубаю принудительно на стадии входа в микротик.
Если интересно то вот мой монстрик 
общий список:
1 список разрешенных IP: http://s22.postimg.org/q2msjx15t/screenshot_272.png
2 список разрешенных IP: http://s22.postimg.org/sxzvqs55t/screenshot_273.png
Но тут фактически у меня закрыты все порты, т.е. напрямую на меня атака исключена вообще в принципе, можно атаковать только взломав 1 из разрешенных IP с которых у меня идет трафик. Геморно в плане того, что постоянно приходится что-то подкручивать, т.е. добавлять новые разрешенные IP, ибо все сразу добавить не получится, проги используют только часть из всего что у них обычно есть, кое где не видны коменты на сайтах, на форуме ворлд оф танкс не видны лайки например, но больше вроде ничего такого по проблемам, зато сейчас мусора в трафике нет совсем, сижу балдею) интернет так у меня еще не летал, как и игры в плане трафика) и кстати опера у меня только по 443 порту, т.е. 80 порт у меня закрыт.
Если коротко: Есть жесткий список IP с жестким списком портов, все остальное, как с этих же и IP так и со всех остальных - блочиться. Ну и все сделано на джампах, что бы трафик не бегал по микротику лишнее время, если этот трафик гарантировано не нужен, я просто его сбрасываю сразу в конец (метка drop_all), а если трафик гарантированно нужен и дальше его не надо как-то обрабатывать, то он сразу улетает в конец в "accepted_connections", ибо если нет джампов и маркировки пакетов, то пакет проходит сверху вниз все правила, одно за другим пока не дойдет до конца, а если мы его джампим, то микротик меньше нагружается, а сам трафик проходит быстрее. Опера работает через внутренний VPN, локация нидерланды и данный IP список именно для нидерландских впн серверов оперы.
http://s22.postimg.org/lw1y4l1k1/screenshot_274.png
а, да, в дроплисте у меня все то, что является внутренней сетью провайдера, т.е. я разрешаю вход с того узла с которого ко мне прилетает интернет, а все остальное что влитает ко мне в микроти: те списки которые можно было я забил в дроп лист, а все остальное просто дропаю, там прилетает очень много трафика с левых маршрутизаторов и от других левых компов провайдера, весь этот хлам я рублю.
ICMP и IGMP и DNS я сделал отдельными правилами, на случай атаки на них, так, можно было бы просто все рубить без заморочек. |
Всего записей: 129 | Зарегистр. 26-01-2006 | Отправлено: 14:32 07-05-2017 | Исправлено: snow1eopard, 19:01 07-05-2017 |
|
