LINUX.ORG.RU
ФорумAdmin

Подскажите по правилам файрвола

 ,


0

1

Здравствуйте.

Есть один роутер, Mikrotik 2011. У него внутри линукс и очень навороченный интерфейс a'la «циска для бедных». Если ему сделать reset, он автоматически заливает в роутер минимальную дефолтную конфигурацию (на собственном скриптовом языке).

Часть этой конфигурации - настройка файрвола (предположительно, iptables). Дело в том, что я совершенно не разбираюсь в настройках файрволла и понятия не имею, что именно делают эти строки.

Если не трудно, будте добры, хотя бы в общих чертах опишите что делают эти строки:

/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
 
/ip firewall {
  filter add chain=input action=accept protocol=icmp

  filter add chain=input action=accept connection-state=established,related

  filter add chain=input action=drop in-interface=ether1

  filter add chain=forward action=fasttrack-connection connection-state=established,related 

  filter add chain=forward action=accept connection-state=established,related

  filter add chain=forward action=drop connection-state=invalid

  filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1
}
★★★★★

Ты знаком с iptables? Если нет, рекомендую прочитать это. Оно старенькое, но общие понятия там до сих пор те же.

Правила применяются в порядке объявления

ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Делаем source NAT для трафика выходящего через ether1

filter add chain=input action=accept protocol=icmp

Разрешаем icmp отовсюду. Нужно в основном для ping, но не только. Лучше не трогать, если не знаешь как зааналить более плотно.

filter add chain=input action=accept connection-state=established,related

Разрешаем пакеты для уже установленных соединений. Соединение здесь - это термин iptables, например они есть для UDP, хотя сам протокол их как бы не имеет.

filter add chain=input action=drop in-interface=ether1

Запрещаем входящий трафик с ether1

filter add chain=forward action=fasttrack-connection connection-state=established,related
filter add chain=forward action=accept connection-state=established,related

Пропускаем транзитные установленные соединения. Что такое fasttrack-connection - хз, скорее всего микротиковская фича.

filter add chain=forward action=drop connection-state=invalid

Соединения, незарегистрированные в conntrack(что это такое - смотри ман, что я тебе выше кинул) или помеченные как «неправильные» - блокируем

filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1

Всё, что не касается проброса портов внутри сети, приходящее с ether1 - блокируем

Как-то примерно так. Анализ делал полагаясь на факт, что микротиковский firewall - это iptables. Если это не так, знатоки Mikrotik - поправьте меня пожалуйста

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Turbid

Спасибо. Про Fast path я слышал, но т.к. файрвол в Mikrotik до этого не щупал особо, не распарсил что fasttrack относится к нему

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Спасибо огромное. Читаю опеннетовский ман

makoven ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.