Hi!
Вот так чтобы best practice чтобы оно охватывало, по сути, трафик кучи openvpn (который на mikrotik кастрирован), боюсь что и не будет.
Самый best practice, по-моему (хотя я не очень специалист) - дефолтовый конфиг + набор разрешающих правил и адрес-листов к ним, остальное отсечется правилами 7 и 11. Думаю, конкретно в твоем случае, возможно, нужен адрес лист для 5 правила.
Еще, возможно, стоит посмотреть в настройках IP на тему RP Filter, accept redirect, tcp syn cookies.
И учти, что некоторые фишки с fasttrack несовместимы, к примеру -- ограничение траффика.
Думаю, ты и сам все это уже сделал, но раз очень просишь, то вот ;-)
Привіт,
Що, немає best practices?
Привет,
подскажите, пожалуйста, свои best practices для защиты локальной сети на
_пакетном уровне_. Есть микрот, подключенный к инету, который строит
несколько VPN-линков к удаленным площадкам. Локальная сеть ходит в
интернет через WAN (ether1) и на удаленные площадки - через VPN-линки.
NAT настроен на out-interface:ether1, трафик по VPN-линкам не натится.
На микроте есть вот такие правила фильтров (бОльшая их часть - default
rules, я добавил только правила 4,5,6) и у меня вопрос - достаточно-ли
этого, чтобы быть более-менее спокойным относительно пакетной
безопасности локальной сети? То есть, фактически: input безусловно
разрешает только ICMP и SSH, ограничивает winbox внутренними портами,
остальное - рубится. Форвард на WAN-интерфейсе - только для соединений,
инициированных изнутри. Форвард с VPN-линков не регулируется.
Посоветуйте, нужно-ли и, если да, то как эти правила можно допараноить
:) Мне оно выглядит вроде достаточным, но я херовый безопасник :)
Спасибо.
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; defconf: accept established,related,untracked
chain=input action=accept
connection-state=established,related,untracked
2 ;;; defconf: drop invalid
chain=input action=drop connection-state=invalid
3 ;;; defconf: accept ICMP
chain=input action=accept protocol=icmp
4 ;;; Allow SSH from everywhere
chain=input action=accept protocol=tcp dst-port=[...] log=no
log-prefix=""
5 ;;; Allow OSPF on VPN links only
chain=input action=accept protocol=ospf in-interface-list=VPN
log=no log-prefix=""
6 ;;; Allow Winbox on LAN/VPN only
chain=input action=accept protocol=tcp in-interface-list=LAN
dst-port=[...] log=no log-prefix=""
7 ;;; defconf: drop all
chain=input action=drop log=no log-prefix=""
8 ;;; defconf: fasttrack
chain=forward action=fasttrack-connection
connection-state=established,related
9 ;;; defconf: accept established,related, untracked
chain=forward action=accept
connection-state=established,related,untracked
10 ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid
11 ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new
connection-nat-state=!dstnat in-interface-list=WAN
--
Volodymyr Litovka
"Vision without Execution is Hallucination." -- Thomas Edison
_______________________________________________
uanog mailing list
uanog@uanog.kiev.uahttps://mailman.uanog.kiev.ua/mailman/listinfo/uanog
--
Victor Cheburkin
VC319-RIPE, VC1-UANIC