Hi!

Вот так чтобы best practice чтобы оно охватывало, по сути, трафик кучи openvpn (который на mikrotik кастрирован), боюсь что и не будет.

Самый best practice, по-моему (хотя я не очень специалист) - дефолтовый конфиг + набор разрешающих правил и адрес-листов к ним, остальное отсечется правилами 7 и 11. Думаю, конкретно в твоем случае, возможно, нужен адрес лист для 5 правила.

Еще, возможно, стоит посмотреть в настройках IP на тему RP Filter, accept redirect, tcp syn cookies.

И учти, что некоторые фишки с fasttrack несовместимы, к примеру -- ограничение траффика.

Думаю, ты и сам все это уже сделал, но раз очень просишь, то вот ;-)

17 дек. 2018 г., в 15:26, Volodymyr Litovka <doka.ua@gmail.com> написал(а):

Привіт,

Що, немає best practices?

On Sat, Dec 15, 2018, 01:00 Volodymyr Litovka <doka.ua@gmail.com wrote:

Привет,

подскажите, пожалуйста, свои best practices для защиты локальной сети на
_пакетном уровне_. Есть микрот, подключенный к инету, который строит
несколько VPN-линков к удаленным площадкам. Локальная сеть ходит в
интернет через WAN (ether1) и на удаленные площадки - через VPN-линки.
NAT настроен на out-interface:ether1, трафик по VPN-линкам не натится.

На микроте есть вот такие правила фильтров (бОльшая их часть - default
rules, я добавил только правила 4,5,6) и у меня вопрос - достаточно-ли
этого, чтобы быть более-менее спокойным относительно пакетной
безопасности локальной сети? То есть, фактически: input безусловно
разрешает только ICMP и SSH, ограничивает winbox внутренними портами,
остальное - рубится. Форвард на WAN-интерфейсе - только для соединений,
инициированных изнутри. Форвард с VPN-линков не регулируется.
Посоветуйте, нужно-ли и, если да, то как эти правила можно допараноить
:) Мне оно выглядит вроде достаточным, но я херовый безопасник :)

Спасибо.

  0  D ;;; special dummy rule to show fasttrack counters
       chain=forward action=passthrough

  1    ;;; defconf: accept established,related,untracked
       chain=input action=accept
connection-state=established,related,untracked

  2    ;;; defconf: drop invalid
       chain=input action=drop connection-state=invalid

  3    ;;; defconf: accept ICMP
       chain=input action=accept protocol=icmp

  4    ;;; Allow SSH from everywhere
       chain=input action=accept protocol=tcp dst-port=[...] log=no
log-prefix=""

  5    ;;; Allow OSPF on VPN links only
       chain=input action=accept protocol=ospf in-interface-list=VPN
log=no log-prefix=""

  6    ;;; Allow Winbox on LAN/VPN only
       chain=input action=accept protocol=tcp in-interface-list=LAN
dst-port=[...] log=no log-prefix=""

  7    ;;; defconf: drop all
       chain=input action=drop log=no log-prefix=""

  8    ;;; defconf: fasttrack
       chain=forward action=fasttrack-connection
connection-state=established,related

  9    ;;; defconf: accept established,related, untracked
       chain=forward action=accept
connection-state=established,related,untracked

10    ;;; defconf: drop invalid
       chain=forward action=drop connection-state=invalid

11    ;;; defconf:  drop all from WAN not DSTNATed
       chain=forward action=drop connection-state=new
connection-nat-state=!dstnat in-interface-list=WAN


--
Volodymyr Litovka
   "Vision without Execution is Hallucination." -- Thomas Edison

_______________________________________________
uanog mailing list
uanog@uanog.kiev.ua
https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- 
Victor Cheburkin
VC319-RIPE, VC1-UANIC

-- 
Volodymyr Litovka
  "Vision without Execution is Hallucination." -- Thomas Edison