[uanog] mikrotik enough firewall rules

Victor Cheburkin vc at vc.org.ua
Mon Dec 17 17:30:39 EET 2018 

Hi!

Вот так чтобы best practice чтобы оно охватывало, по сути, трафик кучи openvpn (который на mikrotik кастрирован), боюсь что и не будет.
Самый best practice, по-моему (хотя я не очень специалист) - дефолтовый конфиг + набор разрешающих правил и адрес-листов к ним, остальное отсечется правилами 7 и 11. Думаю, конкретно в твоем случае, возможно, нужен адрес лист для 5 правила.
Еще, возможно, стоит посмотреть в настройках IP на тему RP Filter, accept redirect, tcp syn cookies.
И учти, что некоторые фишки с fasttrack несовместимы, к примеру -- ограничение траффика.
Думаю, ты и сам все это уже сделал, но раз очень просишь, то вот ;-)

> 17 дек. 2018 г., в 15:26, Volodymyr Litovka <doka.ua at gmail.com> написал(а):
> 
> Привіт,
> 
> Що, немає best practices?
> 
> On Sat, Dec 15, 2018, 01:00 Volodymyr Litovka <doka.ua at gmail.com <mailto:doka.ua at gmail.com> wrote:
> Привет,
> 
> подскажите, пожалуйста, свои best practices для защиты локальной сети на 
> _пакетном уровне_. Есть микрот, подключенный к инету, который строит 
> несколько VPN-линков к удаленным площадкам. Локальная сеть ходит в 
> интернет через WAN (ether1) и на удаленные площадки - через VPN-линки. 
> NAT настроен на out-interface:ether1, трафик по VPN-линкам не натится.
> 
> На микроте есть вот такие правила фильтров (бОльшая их часть - default 
> rules, я добавил только правила 4,5,6) и у меня вопрос - достаточно-ли 
> этого, чтобы быть более-менее спокойным относительно пакетной 
> безопасности локальной сети? То есть, фактически: input безусловно 
> разрешает только ICMP и SSH, ограничивает winbox внутренними портами, 
> остальное - рубится. Форвард на WAN-интерфейсе - только для соединений, 
> инициированных изнутри. Форвард с VPN-линков не регулируется. 
> Посоветуйте, нужно-ли и, если да, то как эти правила можно допараноить 
> :) Мне оно выглядит вроде достаточным, но я херовый безопасник :)
> 
> Спасибо.
> 
>   0  D ;;; special dummy rule to show fasttrack counters
>        chain=forward action=passthrough
> 
>   1    ;;; defconf: accept established,related,untracked
>        chain=input action=accept 
> connection-state=established,related,untracked
> 
>   2    ;;; defconf: drop invalid
>        chain=input action=drop connection-state=invalid
> 
>   3    ;;; defconf: accept ICMP
>        chain=input action=accept protocol=icmp
> 
>   4    ;;; Allow SSH from everywhere
>        chain=input action=accept protocol=tcp dst-port=[...] log=no 
> log-prefix=""
> 
>   5    ;;; Allow OSPF on VPN links only
>        chain=input action=accept protocol=ospf in-interface-list=VPN 
> log=no log-prefix=""
> 
>   6    ;;; Allow Winbox on LAN/VPN only
>        chain=input action=accept protocol=tcp in-interface-list=LAN 
> dst-port=[...] log=no log-prefix=""
> 
>   7    ;;; defconf: drop all
>        chain=input action=drop log=no log-prefix=""
> 
>   8    ;;; defconf: fasttrack
>        chain=forward action=fasttrack-connection 
> connection-state=established,related
> 
>   9    ;;; defconf: accept established,related, untracked
>        chain=forward action=accept 
> connection-state=established,related,untracked
> 
> 10    ;;; defconf: drop invalid
>        chain=forward action=drop connection-state=invalid
> 
> 11    ;;; defconf:  drop all from WAN not DSTNATed
>        chain=forward action=drop connection-state=new 
> connection-nat-state=!dstnat in-interface-list=WAN
> 
> 
> -- 
> Volodymyr Litovka
>    "Vision without Execution is Hallucination." -- Thomas Edison
> 
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- 
Victor Cheburkin
VC319-RIPE, VC1-UANIC

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20181217/1384ecfd/attachment-0001.html>

More information about the uanog mailing list