Optimalizace pravidel

[hapi]

hap ac wave 2. Za tu cenu převálcuje všechny krabky co sem byly postnutý.

[Myghael]

Tak tak. Pokud trváš na wifině a chceš něco silného za dobrou cenu, pak chceš hAP ac^2 (RBD52G-5HacD2HnD-TC) - https://mikrotik.com/product/hap_ac2.

[ludvik]

OT: zajímalo by mě, jak dlouho bude trvat, než mikrotik evolucí dojde k názvosloví hardware tvořeného pomocí SHA-2.

[Myghael]

Mě se to názvosloví líbí. Pro vyslovování je praktičtější ten "pěkný název" (zde hAP ac^2, jelikož jde od ac wave 2 model z řady hAP), zatímco produkt kód, nebo-li ten "hnusný název" (zde RBD52G-5HacD2HnD-TC krásně obsahuje přesný popis, co je to za zařízení - RB - zařízení z produktové řady RouterBOARD, D - řada D jako 10 (předpokládám, jelikož předtím byla řada 9xx), 52G - 5 ethernetových portů, 2 miniPCI / miniPCIe rozhraní, G jako gigové ethernety, potom 5HacD je 5 GHz rádio, H jako vyšší vysílací výkon, ac podpora normy 802.11ac, D jako Dual, tedy 2x2 MIMO, dále 2HnD je podobné, jen 2,4 GHz a 802.11n no a ve finále TC jako Tower Case, tedy krabička s nožičkami co má/může stát na výšku na stole).

[Radek.Kovacik]

Byly nám ukázány jen mangle pravidla. Ale už ne filter tabulka. Čili nevíme, jak to vlastně je. A je předpoklad, že na MK není DNS resolver a jsou používány přímo DNS z venku. Pak už je priorizace (když už to dělá ...) na místě.

Ale jinak ano. Pokud má zapnutý DNS resolver v ROS (nebo v LAN), musí zároveň zajistit, aby nešel použít přes WAN rozhraní.

DNS resolver v ROS zapnutý mám, ale další DNS server neprovozuji. Jinak pravidla ve firewall mám takto:

Kód: Vybrat vše

/ip firewall filter
add action=accept chain=forward comment="Pravidlo pro omezeni pristupu z Internetu pouze pro spojeni navazana z vnitrni site" connection-state= established,related in-interface=Pripojeni_PPPoE_k_Internetu
add action=accept chain=forward comment= "Pravidlo pro povoleni pristupu k serveru NAS z Internetu" connection-state=established,related,new dst-address=10.0.3.100 dst-port= 80,443 in-interface=Pripojeni_PPPoE_k_Internetu protocol=tcp
add action=accept chain=forward comment= "Pravidla pro povoleni provozu peer to peer" dst-address=10.0.3.1 dst-port=55000 in-interface=Pripojeni_PPPoE_k_Internetu out-interface= Bridge-VLAN_30 protocol=tcp
add action=accept chain=forward dst-address=10.0.3.1 dst-port=55000 in-interface=Pripojeni_PPPoE_k_Internetu out-interface=Bridge-VLAN_30 protocol=udp
add action=jump chain=forward comment="Skok na retez Skenovani_portu z d\F9vod u ochrany s\EDt\EC (forward chain)" disabled=yes in-interface= Pripojeni_PPPoE_k_Internetu jump-target=Skenovani_portu
add action=drop chain=forward in-interface=Pripojeni_PPPoE_k_Internetu log= yes log-prefix="DROP PPoE"
add action=accept chain=forward comment= "Pravidla pro povoleni pristupu k modemu VDSL" connection-state= established,related dst-address=10.0.3.0/24 in-interface= "Port1-VDSL_ modem_ZyXEL" out-interface=Bridge-VLAN_30 src-address= 10.0.0.250
add action=drop chain=forward in-interface="Port1-VDSL_ modem_ZyXEL" log=yes log-prefix="DROP modem"
add action=drop chain=input comment="Pravidla pro ochranu routeru p\F8ed ne\9E \E1douc\EDm p\F8\EDstupem zven\E8\ED" dst-port=53 in-interface= Pripojeni_PPPoE_k_Internetu log=yes log-prefix="Drop DNS z Internetu" protocol=udp
add action=drop chain=input dst-port=53 in-interface= Pripojeni_PPPoE_k_Internetu log=yes log-prefix="Drop DNS z Internetu" protocol=tcp
add action=accept chain=input connection-state=established,related in-interface=Pripojeni_PPPoE_k_Internetu
add action=accept chain=input in-interface=Pripojeni_PPPoE_k_Internetu protocol=icmp
add action=jump chain=input comment= "Skok na retez Skenovani_portu z d\F9vodu ochrany routeru (input chain)" in-interface=Pripojeni_PPPoE_k_Internetu jump-target=Skenovani_portu
add action=drop chain=input in-interface=Pripojeni_PPPoE_k_Internetu log-prefix="DROP PPoE"
add action=accept chain=input comment= "Pravidlo pro povoleni pristupu k modemu DSL" dst-address=255.255.255.255 dst-port=5678 in-interface="Port1-VDSL_ modem_ZyXEL" protocol=udp
add action=accept chain=input in-interface="Port1-VDSL_ modem_ZyXEL" protocol=icmp
add action=drop chain=input in-interface="Port1-VDSL_ modem_ZyXEL" log=yes log-prefix="DROP modem"
add action=add-src-to-address-list address-list=Skenovani_portu address-list-timeout=1w3d chain=Skenovani_portu comment= "Port scanners to list " psd=21,3s,3,1
add action=add-src-to-address-list address-list=Skenovani_portu address-list-timeout=2w chain=Skenovani_portu comment= "NMAP FIN Stealth scan" protocol=tcp tcp-flags= fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=Skenovani_portu address-list-timeout=2w chain=Skenovani_portu comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=Skenovani_portu address-list-timeout=2w chain=Skenovani_portu comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=Skenovani_portu address-list-timeout=2w chain=Skenovani_portu comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=Skenovani_portu address-list-timeout=2w chain=Skenovani_portu comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=Skenovani_portu address-list-timeout=2w chain=Skenovani_portu comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=Skenovani_portu comment="dropping port scanners" log= yes log-prefix="Drop skenovani portu" src-address-list=Skenovani_portu