[uanog] mikrotik enough firewall rules
Victor Cheburkin
vc at vc.org.ua
Mon Dec 17 17:30:39 EET 2018
Hi!
Вот так чтобы best practice чтобы оно охватывало, по сути, трафик кучи openvpn (который на mikrotik кастрирован), боюсь что и не будет.
Самый best practice, по-моему (хотя я не очень специалист) - дефолтовый конфиг + набор разрешающих правил и адрес-листов к ним, остальное отсечется правилами 7 и 11. Думаю, конкретно в твоем случае, возможно, нужен адрес лист для 5 правила.
Еще, возможно, стоит посмотреть в настройках IP на тему RP Filter, accept redirect, tcp syn cookies.
И учти, что некоторые фишки с fasttrack несовместимы, к примеру -- ограничение траффика.
Думаю, ты и сам все это уже сделал, но раз очень просишь, то вот ;-)
> 17 дек. 2018 г., в 15:26, Volodymyr Litovka <doka.ua at gmail.com> написал(а):
>
> Привіт,
>
> Що, немає best practices?
>
> On Sat, Dec 15, 2018, 01:00 Volodymyr Litovka <doka.ua at gmail.com <mailto:doka.ua at gmail.com> wrote:
> Привет,
>
> подскажите, пожалуйста, свои best practices для защиты локальной сети на
> _пакетном уровне_. Есть микрот, подключенный к инету, который строит
> несколько VPN-линков к удаленным площадкам. Локальная сеть ходит в
> интернет через WAN (ether1) и на удаленные площадки - через VPN-линки.
> NAT настроен на out-interface:ether1, трафик по VPN-линкам не натится.
>
> На микроте есть вот такие правила фильтров (бОльшая их часть - default
> rules, я добавил только правила 4,5,6) и у меня вопрос - достаточно-ли
> этого, чтобы быть более-менее спокойным относительно пакетной
> безопасности локальной сети? То есть, фактически: input безусловно
> разрешает только ICMP и SSH, ограничивает winbox внутренними портами,
> остальное - рубится. Форвард на WAN-интерфейсе - только для соединений,
> инициированных изнутри. Форвард с VPN-линков не регулируется.
> Посоветуйте, нужно-ли и, если да, то как эти правила можно допараноить
> :) Мне оно выглядит вроде достаточным, но я херовый безопасник :)
>
> Спасибо.
>
> 0 D ;;; special dummy rule to show fasttrack counters
> chain=forward action=passthrough
>
> 1 ;;; defconf: accept established,related,untracked
> chain=input action=accept
> connection-state=established,related,untracked
>
> 2 ;;; defconf: drop invalid
> chain=input action=drop connection-state=invalid
>
> 3 ;;; defconf: accept ICMP
> chain=input action=accept protocol=icmp
>
> 4 ;;; Allow SSH from everywhere
> chain=input action=accept protocol=tcp dst-port=[...] log=no
> log-prefix=""
>
> 5 ;;; Allow OSPF on VPN links only
> chain=input action=accept protocol=ospf in-interface-list=VPN
> log=no log-prefix=""
>
> 6 ;;; Allow Winbox on LAN/VPN only
> chain=input action=accept protocol=tcp in-interface-list=LAN
> dst-port=[...] log=no log-prefix=""
>
> 7 ;;; defconf: drop all
> chain=input action=drop log=no log-prefix=""
>
> 8 ;;; defconf: fasttrack
> chain=forward action=fasttrack-connection
> connection-state=established,related
>
> 9 ;;; defconf: accept established,related, untracked
> chain=forward action=accept
> connection-state=established,related,untracked
>
> 10 ;;; defconf: drop invalid
> chain=forward action=drop connection-state=invalid
>
> 11 ;;; defconf: drop all from WAN not DSTNATed
> chain=forward action=drop connection-state=new
> connection-nat-state=!dstnat in-interface-list=WAN
>
>
> --
> Volodymyr Litovka
> "Vision without Execution is Hallucination." -- Thomas Edison
>
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20181217/1384ecfd/attachment-0001.html>
More information about the uanog
mailing list