Co vše dát do Firewallu na Mikrotiku na veřejné IP adrese

[Selič]

Mám konfiguraci, kde je několik RB450G jako GW na veřejných IP třetího poskytovatele internetu. Nastaveno jako vzdálený přístup pro kamerový systém, vzdálenou správu a přenos dat. Teď je požadavek na jeden port každého mikrotiku připojit hotspot pro přítomnou ochranku a návštěvy. Provoz pujde mimo firemní VPN přímo do internetu. Otázka je, co všechno mám ve firewallu blokovat, kromě blokování přístupu do firemní sítě.
Teď tam byl pouze filtr, který povoloval vybrané porty pro vzdálené přípojení, VPN a skript, který házel ip, které se snažily hacknout ssh nebo winbox na blacklist.
Mám strach hlavně z lidí z ochranky, když vidím jejich permanentně zavirované notebooky...

[ludvik]

No já ti nevím ... směrem ven ať si dělají, co chtějí, ne?
Pro klid duše můžeš omezit SMTP (to už se tu několikrát objevilo) a porty rpc a samby (135-139,445). I když 445 asi nechat můžeš.
Případně kontrola konexí obecně, ať si tam nějak extrémně nehoní torrenta.

[aliney]

Kdyz je to Klient-Domaci tak nechavam vse ven otevrene, ale kdyz je to Klient-Firemni, tak navrhuji nechat ven jen web, pripadne mail, protoze bla bla bla bla... a neni problem cokoli pozdeji povolit, pac je to tak z hlediska te firmy bezpecnejsi (na to vetsinou slysi), ale at se rozhodne sam. Kdyz je to Klient-Rozumny tak se zajima o rizika, nebo se aspon zepta laicky proc, a kdyz je mu to jedno, tak je to jedno i me
V pripade hotspotu pro navstevy a sekuritaky bych to tam narval... je to navsteva, nema tam co delat krome hlidani a brouzdani na youpornu.