Привет, подскажите, пожалуйста, свои best practices для защиты локальной сети на _пакетном уровне_. Есть микрот, подключенный к инету, который строит несколько VPN-линков к удаленным площадкам. Локальная сеть ходит в интернет через WAN (ether1) и на удаленные площадки - через VPN-линки. NAT настроен на out-interface:ether1, трафик по VPN-линкам не натится. На микроте есть вот такие правила фильтров (бОльшая их часть - default rules, я добавил только правила 4,5,6) и у меня вопрос - достаточно-ли этого, чтобы быть более-менее спокойным относительно пакетной безопасности локальной сети? То есть, фактически: input безусловно разрешает только ICMP и SSH, ограничивает winbox внутренними портами, остальное - рубится. Форвард на WAN-интерфейсе - только для соединений, инициированных изнутри. Форвард с VPN-линков не регулируется. Посоветуйте, нужно-ли и, если да, то как эти правила можно допараноить :) Мне оно выглядит вроде достаточным, но я херовый безопасник :) Спасибо. 0 D ;;; special dummy rule to show fasttrack counters chain=forward action=passthrough 1 ;;; defconf: accept established,related,untracked chain=input action=accept connection-state=established,related,untracked 2 ;;; defconf: drop invalid chain=input action=drop connection-state=invalid 3 ;;; defconf: accept ICMP chain=input action=accept protocol=icmp 4 ;;; Allow SSH from everywhere chain=input action=accept protocol=tcp dst-port=[...] log=no log-prefix="" 5 ;;; Allow OSPF on VPN links only chain=input action=accept protocol=ospf in-interface-list=VPN log=no log-prefix="" 6 ;;; Allow Winbox on LAN/VPN only chain=input action=accept protocol=tcp in-interface-list=LAN dst-port=[...] log=no log-prefix="" 7 ;;; defconf: drop all chain=input action=drop log=no log-prefix="" 8 ;;; defconf: fasttrack chain=forward action=fasttrack-connection connection-state=established,related 9 ;;; defconf: accept established,related, untracked chain=forward action=accept connection-state=established,related,untracked 10 ;;; defconf: drop invalid chain=forward action=drop connection-state=invalid 11 ;;; defconf: drop all from WAN not DSTNATed chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN -- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison