❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Firewall na GW ?
-
atomic1977
- Příspěvky: 121
- Registrován: 19 years ago
Firewall na GW ?
Co je podle Vás lepší ? Mít na hlavním routeru firewall nebo nemít a zbytečné nezvedat latence ? Pokud ano jak rozsáhly co vše blokovat a co povolit. Bavím se o síti s cca 500 klienty.
0 x
-
sub_zero
- Příspěvky: 1741
- Registrován: 19 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
atomic1977 píše:Co je podle Vás lepší ? Mít na hlavním routeru firewall nebo nemít a zbytečné nezvedat latence ? Pokud ano jak rozsáhly co vše blokovat a co povolit. Bavím se o síti s cca 500 klienty.
firewall zvysuje latenci?
slysim poprvy..
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
taky se přidávám k podivu nad zvýšením latence. Pokud tam máš P3 na 500MHz a běží ti na tom dude a routing, shaping, nat na jednom stoji, tak je jasný že se zvyšujou latence ale to jistě nebude kvůli firewallu.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
-
sub_zero
- Příspěvky: 1741
- Registrován: 19 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
tak zalezi, co vse chces blokovat a v jakym smeru. Napr. FW pro firmy bude trosku jinak nastavenej, nez pro usery, ktery chteji treba public IP.
Ale ty zakladni pravidla na ochranu jsou popsany na webu Mikrotiku http://www.mikrotik.com/testdocs/ros/3.0/qos/filter.php
Ale ty zakladni pravidla na ochranu jsou popsany na webu Mikrotiku http://www.mikrotik.com/testdocs/ros/3.0/qos/filter.php
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
sub_zero píše:tak zalezi, co vse chces blokovat a v jakym smeru. Napr. FW pro firmy bude trosku jinak nastavenej, nez pro usery, ktery chteji treba public IP.
Ale ty zakladni pravidla na ochranu jsou popsany na webu Mikrotiku http://www.mikrotik.com/testdocs/ros/3.0/qos/filter.php
# jan/25/2010 19:02:50 by RouterOS 3.13
# software id = 5508-PTT
#
/ip firewall filter
add action=jump chain=forward comment="" disabled=no dst-address=0.0.0.0/0 \
dst-port=25 jump-target="kontrola spamu" protocol=tcp src-address=\
0.0.0.0/0
add action=accept chain="kontrola spamu" comment=\
"smtp 192.168.12.3 pre voip branu" disabled=no dst-address=192.168.11.3 \
dst-port=25 protocol=tcp src-address=10.0.0.0
add action=log chain="kontrola spamu" comment="" disabled=yes dst-address=\
0.0.0.0/0 dst-port=25 log-prefix="" protocol=tcp src-address=0.0.0.0/0
add action=drop chain="kontrola spamu" comment="" disabled=no dst-address=\
0.0.0.0/0 dst-port=25 protocol=tcp src-address=0.0.0.0/0
add action=drop chain=forward comment="" disabled=no dst-address=0.0.0.0/0 \
dst-port=137 protocol=tcp src-address=0.0.0.0/0
add action=drop chain=forward comment="" disabled=no dst-address=0.0.0.0/0 \
dst-port=138 protocol=tcp src-address=0.0.0.0/0
add action=drop chain=forward comment="" disabled=no dst-address=0.0.0.0/0 \
dst-port=139 protocol=tcp src-address=0.0.0.0/0
add action=drop chain=forward comment="" disabled=no dst-address=0.0.0.0/0 \
dst-port=445 protocol=tcp src-address=0.0.0.0/0
add action=drop chain=forward comment="drop invalid connections" \
connection-state=invalid disabled=no protocol=tcp
add action=accept chain=forward comment=\
"allow already established connections" connection-state=established \
disabled=no
add action=accept chain=forward comment="allow related connections" \
connection-state=related disabled=no
add action=drop chain=forward comment="" disabled=no src-address=0.0.0.0/8
add action=drop chain=forward comment="" disabled=no dst-address=0.0.0.0/8
add action=drop chain=forward comment="" disabled=no src-address=127.0.0.0/8
add action=drop chain=forward comment="" disabled=no dst-address=127.0.0.0/8
add action=drop chain=forward comment="" disabled=no src-address=224.0.0.0/3
add action=drop chain=forward comment="" disabled=no dst-address=224.0.0.0/3
add action=jump chain=forward comment="" disabled=no jump-target=tcp \
protocol=tcp
add action=jump chain=forward comment="" disabled=no jump-target=udp \
protocol=udp
add action=jump chain=forward comment="" disabled=no jump-target=icmp \
protocol=icmp
add action=drop chain=tcp comment="deny TFTP" disabled=no dst-port=69 \
protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" disabled=no dst-port=\
111 protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" disabled=no dst-port=\
135 protocol=tcp
add action=drop chain=tcp comment="deny NBT" disabled=no dst-port=137-139 \
protocol=tcp
add action=drop chain=tcp comment="deny cifs" disabled=no dst-port=445 \
protocol=tcp
add action=drop chain=tcp comment="deny NFS" disabled=no dst-port=2049 \
protocol=tcp
add action=drop chain=tcp comment="deny NetBus" disabled=no dst-port=\
12345-12346 protocol=tcp
add action=drop chain=tcp comment="deny NetBus" disabled=no dst-port=20034 \
protocol=tcp
add action=drop chain=tcp comment="deny BackOriffice" disabled=no dst-port=\
3133 protocol=tcp
add action=drop chain=tcp comment="deny DHCP" disabled=no dst-port=67-68 \
protocol=tcp
add action=drop chain=udp comment="deny TFTP" disabled=no dst-port=69 \
protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" disabled=no dst-port=\
111 protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" disabled=no dst-port=\
135 protocol=udp
add action=drop chain=udp comment="deny NBT" disabled=no dst-port=137-139 \
protocol=udp
add action=drop chain=udp comment="deny NFS" disabled=no dst-port=2049 \
protocol=udp
add action=drop chain=udp comment="deny BackOriffice" disabled=no dst-port=\
3133 protocol=udp
add action=accept chain=icmp comment="drop invalid connections" disabled=no \
icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="allow established connections" \
disabled=no icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="allow already established connections" \
disabled=no icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="allow source quench" disabled=no \
icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="allow echo request" disabled=no \
icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="allow time exceed" disabled=no \
icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" disabled=no \
icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types" disabled=no
add action=accept chain=input comment="" connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=sshaccept
add action=drop chain=input comment="" connection-state=new disabled=no \
dst-port=22 protocol=tcp src-address-list=sshdrop
add action=add-src-to-address-list address-list=sshdrop address-list-timeout=\
0s chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp src-address-list=stage4
add action=add-src-to-address-list address-list=stage4 address-list-timeout=\
20s chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp src-address-list=stage3
add action=add-src-to-address-list address-list=stage3 address-list-timeout=\
20s chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp src-address-list=stage2
add action=add-src-to-address-list address-list=stage2 address-list-timeout=\
20s chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp src-address-list=stage1
add action=add-src-to-address-list address-list=stage1 address-list-timeout=\
20s chain=input comment="" connection-state=new disabled=no dst-port=22 \
protocol=tcp
toto mam ja niekde na nete som to nasiel
0 x