Zdravim,
sem tam zajdu sem ,na RouterOS Diskuzní fórum ,a něco zajímavého si přečtu ,avšak když už se u různých témat dostávám ke konci celkem mi uteká podstat slova Diskuzní fórum.Stále vidím nějaké "mám problém s...",atp. a popřípadě nějakou tu odpověd.Ne že by to bylo špatně(pro mně ,jakožto začátečníka a kevšemu nepříliš znalého cízích jazyků je to spíše hodně dobrá věc) ,avšak podle mňe zde chybý nějaké vášnivé diskuze typu "Hen to je lepší než to..." ,ostříleno milonem argumentů proč je zrovna ta určitá věc je lepší než tam ta nebo něco ve smyslu ankety "Jak by mělo podle vás..." a tak něco.No a abych si zametl před vlastním ,tak mě napdlo skusit nahodit nějaké to téma.
No a jelikož mám zrovna nahozený Firewall ,tak mě nenapadá nic lepšího než "Jak by podle vás měl vypadat neprůstřelný firewall"?
Samozřejmě že se nikdy nedá nastavit firewall tak aby zabránil všem utokům a všemu nekalému a přitom skvěle nechal projíždět vše co je potřeba ,ale alespoň se k nějakému takovému ideálu pokusit dobelhat.Je mi jasné že administrátoři tady nebudou vypouštět svoje tajné zbraně jak se bráni proti té havěti (proto asi mají na stole tu cedulku Admin) ,avšak skusit něco málo a mají takové ty začátečnické povahy (typu mně) nějakou tu představu co do toho políčka "input" nacvakat.
A trochu upřesním si situaci ,že máme od poskitovatele přidělenu jednu veřejnou adresu(rozhraní )...např.( ).
Myslíte že ten základ z manuálu k MikroTiku či z té "Mikrotik Wiki"ny(http://wiki.mikrotik.com/wiki/Securing_your_router) bude vystačující?Převzato z RouterOS_Reference_Manual_v2.9:
/ ip firewall filter
add chain=input connection-state=invalid action=drop \
comment="Drop Invalid connections"
add chain=input connection-state=established action=accept \
comment="Allow Established connections"
add chain=input protocol=udp action=accept \
comment="Allow UDP"
add chain=input protocol=icmp action=accept \
comment="Allow ICMP"
add chain=input src-address=192.168.0.0/24 action=accept \
comment="Allow access to router from known network"
add chain=input action=drop comment="Drop anything else"
Převzato z Mikrotik Wiki:
/ ip firewall filter
add chain=input connection-state=established comment="Accept established connections"
add chain=input connection-state=related comment="Accept related connections"
add chain=input connection-state=invalid action=drop comment="Drop invalid connections"
add chain=input protocol=udp action=accept comment="UDP" disabled=no
add chain=input protocol=icmp limit=50/5s,2 comment="Allow limited pings"
add chain=input protocol=icmp action=drop comment="Drop excess pings"
add chain=input protocol=tcp dst-port=22 comment="SSH for secure shell"
add chain=input protocol=tcp dst-port=8291 comment="winbox"
# Edit these rules to reflect your actual IP addresses! #
add chain=input src-address=159.148.172.192/28 comment="From Mikrotikls network"
add chain=input src-address=10.0.0.0/8 comment="From our private LAN"
# End of Edit #
add chain=input action=log log-prefix="DROP INPUT" comment="Log everything else"
add chain=input action=drop comment="Drop everything else"[/url]
Podle mě je ta koncepce myšlena celkem dobře(něco podobného už sem četl v knížce a viděl už na pár jiných stránkách) a řekl bych že jakoto nějaký odrazový můstek je to dostačující avšak řekl bych že zde chybý něco proti IP Spoofingu(typu nebo možná by bylo lepší filtrovat vše co jde do naší sítě(samozřejmě vše co jde do naší sítě a nepatří to k tomu co je z naší sítě navázáno)).Dále tomu chybý něco co by zakazovalo akce typu portscan,a pokusy o přetížení (DoS).No a samozřejmě by němělo chybět něco ve smyslu IDS ,avšak zatim sem nedošel na to jak varovat Adminy v případě že se něco chytne.
Zatim mě čekají bohužel nějaké jiné povinnosti ,ale jakmile se dopídim pokusim se tuto myšlenku sepsat do nějkého toho kódu.Zatím prosím polemizujte co dále tomu chybý či co je špatně...