[uanog] mikrotik enough firewall rules

[Volodymyr Litovka]

Привет,

подскажите, пожалуйста, свои best practices для защиты локальной сети на 
_пакетном уровне_. Есть микрот, подключенный к инету, который строит 
несколько VPN-линков к удаленным площадкам. Локальная сеть ходит в 
интернет через WAN (ether1) и на удаленные площадки - через VPN-линки. 
NAT настроен на out-interface:ether1, трафик по VPN-линкам не натится.

На микроте есть вот такие правила фильтров (бОльшая их часть - default 
rules, я добавил только правила 4,5,6) и у меня вопрос - достаточно-ли 
этого, чтобы быть более-менее спокойным относительно пакетной 
безопасности локальной сети? То есть, фактически: input безусловно 
разрешает только ICMP и SSH, ограничивает winbox внутренними портами, 
остальное - рубится. Форвард на WAN-интерфейсе - только для соединений, 
инициированных изнутри. Форвард с VPN-линков не регулируется. 
Посоветуйте, нужно-ли и, если да, то как эти правила можно допараноить 
:) Мне оно выглядит вроде достаточным, но я херовый безопасник :)

Спасибо.

  0  D ;;; special dummy rule to show fasttrack counters
       chain=forward action=passthrough

  1    ;;; defconf: accept established,related,untracked
       chain=input action=accept 
connection-state=established,related,untracked

  2    ;;; defconf: drop invalid
       chain=input action=drop connection-state=invalid

  3    ;;; defconf: accept ICMP
       chain=input action=accept protocol=icmp

  4    ;;; Allow SSH from everywhere
       chain=input action=accept protocol=tcp dst-port=[...] log=no 
log-prefix=""

  5    ;;; Allow OSPF on VPN links only
       chain=input action=accept protocol=ospf in-interface-list=VPN 
log=no log-prefix=""

  6    ;;; Allow Winbox on LAN/VPN only
       chain=input action=accept protocol=tcp in-interface-list=LAN 
dst-port=[...] log=no log-prefix=""

  7    ;;; defconf: drop all
       chain=input action=drop log=no log-prefix=""

  8    ;;; defconf: fasttrack
       chain=forward action=fasttrack-connection 
connection-state=established,related

  9    ;;; defconf: accept established,related, untracked
       chain=forward action=accept 
connection-state=established,related,untracked

10    ;;; defconf: drop invalid
       chain=forward action=drop connection-state=invalid

11    ;;; defconf:  drop all from WAN not DSTNATed
       chain=forward action=drop connection-state=new 
connection-nat-state=!dstnat in-interface-list=WAN


-- 
Volodymyr Litovka
   "Vision without Execution is Hallucination." -- Thomas Edison