
<div dir="auto"><div>Привіт,</div><div dir="auto"><br></div><div dir="auto">Що, немає best practices?<br><br><div class="gmail_quote" dir="auto"><div dir="ltr">On Sat, Dec 15, 2018, 01:00 Volodymyr Litovka <<a href="mailto:doka.ua@gmail.com">doka.ua@gmail.com</a> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Привет,<br>


<br>


подскажите, пожалуйста, свои best practices для защиты локальной сети на <br>


_пакетном уровне_. Есть микрот, подключенный к инету, который строит <br>


несколько VPN-линков к удаленным площадкам. Локальная сеть ходит в <br>


интернет через WAN (ether1) и на удаленные площадки - через VPN-линки. <br>


NAT настроен на out-interface:ether1, трафик по VPN-линкам не натится.<br>


<br>


На микроте есть вот такие правила фильтров (бОльшая их часть - default <br>


rules, я добавил только правила 4,5,6) и у меня вопрос - достаточно-ли <br>


этого, чтобы быть более-менее спокойным относительно пакетной <br>


безопасности локальной сети? То есть, фактически: input безусловно <br>


разрешает только ICMP и SSH, ограничивает winbox внутренними портами, <br>


остальное - рубится. Форвард на WAN-интерфейсе - только для соединений, <br>


инициированных изнутри. Форвард с VPN-линков не регулируется. <br>


Посоветуйте, нужно-ли и, если да, то как эти правила можно допараноить <br>


:) Мне оно выглядит вроде достаточным, но я херовый безопасник :)<br>


<br>


Спасибо.<br>


<br>


  0  D ;;; special dummy rule to show fasttrack counters<br>


       chain=forward action=passthrough<br>


<br>


  1    ;;; defconf: accept established,related,untracked<br>


       chain=input action=accept <br>


connection-state=established,related,untracked<br>


<br>


  2    ;;; defconf: drop invalid<br>


       chain=input action=drop connection-state=invalid<br>


<br>


  3    ;;; defconf: accept ICMP<br>


       chain=input action=accept protocol=icmp<br>


<br>


  4    ;;; Allow SSH from everywhere<br>


       chain=input action=accept protocol=tcp dst-port=[...] log=no <br>


log-prefix=""<br>


<br>


  5    ;;; Allow OSPF on VPN links only<br>


       chain=input action=accept protocol=ospf in-interface-list=VPN <br>


log=no log-prefix=""<br>


<br>


  6    ;;; Allow Winbox on LAN/VPN only<br>


       chain=input action=accept protocol=tcp in-interface-list=LAN <br>


dst-port=[...] log=no log-prefix=""<br>


<br>


  7    ;;; defconf: drop all<br>


       chain=input action=drop log=no log-prefix=""<br>


<br>


  8    ;;; defconf: fasttrack<br>


       chain=forward action=fasttrack-connection <br>


connection-state=established,related<br>


<br>


  9    ;;; defconf: accept established,related, untracked<br>


       chain=forward action=accept <br>


connection-state=established,related,untracked<br>


<br>


10    ;;; defconf: drop invalid<br>


       chain=forward action=drop connection-state=invalid<br>


<br>


11    ;;; defconf:  drop all from WAN not DSTNATed<br>


       chain=forward action=drop connection-state=new <br>


connection-nat-state=!dstnat in-interface-list=WAN<br>


<br>


<br>


-- <br>


Volodymyr Litovka<br>


   "Vision without Execution is Hallucination." -- Thomas Edison<br>


<br>


</blockquote></div></div></div>