Hi! Вот так чтобы best practice чтобы оно охватывало, по сути, трафик кучи openvpn (который на mikrotik кастрирован), боюсь что и не будет. Самый best practice, по-моему (хотя я не очень специалист) - дефолтовый конфиг + набор разрешающих правил и адрес-листов к ним, остальное отсечется правилами 7 и 11. Думаю, конкретно в твоем случае, возможно, нужен адрес лист для 5 правила. Еще, возможно, стоит посмотреть в настройках IP на тему RP Filter, accept redirect, tcp syn cookies. И учти, что некоторые фишки с fasttrack несовместимы, к примеру -- ограничение траффика. Думаю, ты и сам все это уже сделал, но раз очень просишь, то вот ;-)
17 дек. 2018 г., в 15:26, Volodymyr Litovka
написал(а): Привіт,
Що, немає best practices?
On Sat, Dec 15, 2018, 01:00 Volodymyr Litovka
mailto:doka.ua@gmail.com wrote: Привет, подскажите, пожалуйста, свои best practices для защиты локальной сети на _пакетном уровне_. Есть микрот, подключенный к инету, который строит несколько VPN-линков к удаленным площадкам. Локальная сеть ходит в интернет через WAN (ether1) и на удаленные площадки - через VPN-линки. NAT настроен на out-interface:ether1, трафик по VPN-линкам не натится.
На микроте есть вот такие правила фильтров (бОльшая их часть - default rules, я добавил только правила 4,5,6) и у меня вопрос - достаточно-ли этого, чтобы быть более-менее спокойным относительно пакетной безопасности локальной сети? То есть, фактически: input безусловно разрешает только ICMP и SSH, ограничивает winbox внутренними портами, остальное - рубится. Форвард на WAN-интерфейсе - только для соединений, инициированных изнутри. Форвард с VPN-линков не регулируется. Посоветуйте, нужно-ли и, если да, то как эти правила можно допараноить :) Мне оно выглядит вроде достаточным, но я херовый безопасник :)
Спасибо.
0 D ;;; special dummy rule to show fasttrack counters chain=forward action=passthrough
1 ;;; defconf: accept established,related,untracked chain=input action=accept connection-state=established,related,untracked
2 ;;; defconf: drop invalid chain=input action=drop connection-state=invalid
3 ;;; defconf: accept ICMP chain=input action=accept protocol=icmp
4 ;;; Allow SSH from everywhere chain=input action=accept protocol=tcp dst-port=[...] log=no log-prefix=""
5 ;;; Allow OSPF on VPN links only chain=input action=accept protocol=ospf in-interface-list=VPN log=no log-prefix=""
6 ;;; Allow Winbox on LAN/VPN only chain=input action=accept protocol=tcp in-interface-list=LAN dst-port=[...] log=no log-prefix=""
7 ;;; defconf: drop all chain=input action=drop log=no log-prefix=""
8 ;;; defconf: fasttrack chain=forward action=fasttrack-connection connection-state=established,related
9 ;;; defconf: accept established,related, untracked chain=forward action=accept connection-state=established,related,untracked
10 ;;; defconf: drop invalid chain=forward action=drop connection-state=invalid
11 ;;; defconf: drop all from WAN not DSTNATed chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN
-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison
_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
-- Victor Cheburkin VC319-RIPE, VC1-UANIC