<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Hi!<div class=""><br class=""></div><div class="">Вот так чтобы best practice чтобы оно охватывало, по сути, трафик кучи openvpn (который на mikrotik кастрирован), боюсь что и не будет.</div><div class="">Самый best practice, по-моему (хотя я не очень специалист) - дефолтовый конфиг + набор разрешающих правил и адрес-листов к ним, остальное отсечется правилами 7 и 11. Думаю, конкретно в твоем случае, возможно, нужен адрес лист для 5 правила.</div><div class="">Еще, возможно, стоит посмотреть в настройках IP на тему RP Filter, accept redirect, tcp syn cookies.</div><div>И учти, что некоторые фишки с fasttrack несовместимы, к примеру -- ограничение траффика.</div><div class="">Думаю, ты и сам все это уже сделал, но раз очень просишь, то вот ;-)<br class=""><div><br class=""></div><div><blockquote type="cite" class=""><div class="">17 дек. 2018 г., в 15:26, Volodymyr Litovka <<a href="mailto:doka.ua@gmail.com" class="">doka.ua@gmail.com</a>> написал(а):</div><br class="Apple-interchange-newline"><div class=""><div dir="auto" class=""><div class="">Привіт,</div><div dir="auto" class=""><br class=""></div><div dir="auto" class="">Що, немає best practices?<br class=""><br class=""><div class="gmail_quote" dir="auto"><div dir="ltr" class="">On Sat, Dec 15, 2018, 01:00 Volodymyr Litovka <<a href="mailto:doka.ua@gmail.com" class="">doka.ua@gmail.com</a> wrote:<br class=""></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Привет,<br class="">
<br class="">
подскажите, пожалуйста, свои best practices для защиты локальной сети на <br class="">
_пакетном уровне_. Есть микрот, подключенный к инету, который строит <br class="">
несколько VPN-линков к удаленным площадкам. Локальная сеть ходит в <br class="">
интернет через WAN (ether1) и на удаленные площадки - через VPN-линки. <br class="">
NAT настроен на out-interface:ether1, трафик по VPN-линкам не натится.<br class="">
<br class="">
На микроте есть вот такие правила фильтров (бОльшая их часть - default <br class="">
rules, я добавил только правила 4,5,6) и у меня вопрос - достаточно-ли <br class="">
этого, чтобы быть более-менее спокойным относительно пакетной <br class="">
безопасности локальной сети? То есть, фактически: input безусловно <br class="">
разрешает только ICMP и SSH, ограничивает winbox внутренними портами, <br class="">
остальное - рубится. Форвард на WAN-интерфейсе - только для соединений, <br class="">
инициированных изнутри. Форвард с VPN-линков не регулируется. <br class="">
Посоветуйте, нужно-ли и, если да, то как эти правила можно допараноить <br class="">
:) Мне оно выглядит вроде достаточным, но я херовый безопасник :)<br class="">
<br class="">
Спасибо.<br class="">
<br class="">
0 D ;;; special dummy rule to show fasttrack counters<br class="">
chain=forward action=passthrough<br class="">
<br class="">
1 ;;; defconf: accept established,related,untracked<br class="">
chain=input action=accept <br class="">
connection-state=established,related,untracked<br class="">
<br class="">
2 ;;; defconf: drop invalid<br class="">
chain=input action=drop connection-state=invalid<br class="">
<br class="">
3 ;;; defconf: accept ICMP<br class="">
chain=input action=accept protocol=icmp<br class="">
<br class="">
4 ;;; Allow SSH from everywhere<br class="">
chain=input action=accept protocol=tcp dst-port=[...] log=no <br class="">
log-prefix=""<br class="">
<br class="">
5 ;;; Allow OSPF on VPN links only<br class="">
chain=input action=accept protocol=ospf in-interface-list=VPN <br class="">
log=no log-prefix=""<br class="">
<br class="">
6 ;;; Allow Winbox on LAN/VPN only<br class="">
chain=input action=accept protocol=tcp in-interface-list=LAN <br class="">
dst-port=[...] log=no log-prefix=""<br class="">
<br class="">
7 ;;; defconf: drop all<br class="">
chain=input action=drop log=no log-prefix=""<br class="">
<br class="">
8 ;;; defconf: fasttrack<br class="">
chain=forward action=fasttrack-connection <br class="">
connection-state=established,related<br class="">
<br class="">
9 ;;; defconf: accept established,related, untracked<br class="">
chain=forward action=accept <br class="">
connection-state=established,related,untracked<br class="">
<br class="">
10 ;;; defconf: drop invalid<br class="">
chain=forward action=drop connection-state=invalid<br class="">
<br class="">
11 ;;; defconf: drop all from WAN not DSTNATed<br class="">
chain=forward action=drop connection-state=new <br class="">
connection-nat-state=!dstnat in-interface-list=WAN<br class="">
<br class="">
<br class="">
-- <br class="">
Volodymyr Litovka<br class="">
"Vision without Execution is Hallucination." -- Thomas Edison<br class="">
<br class="">
</blockquote></div></div></div>
_______________________________________________<br class="">uanog mailing list<br class=""><a href="mailto:uanog@uanog.kiev.ua" class="">uanog@uanog.kiev.ua</a><br class="">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</div></blockquote></div><br class=""><div class="">
-- <br class="">Victor Cheburkin<br class="">VC319-RIPE, VC1-UANIC
</div>
<br class=""></div></body></html>