Optimalizácia firewallu

[eKrajnak]

Zdravím.


Chcel by som vás poprosiť o rady, ako optimalizovať firewall na mikrotiku. Problém je, že pri vyšších dátových tokoch firewall berie 60% aktuálneho vyťaženia CPU. Je tam dosť pravidiel, možno by trebalo niečo vyhodiť alebo premiestniť. Okrem tých blokácii portov sa mi javí ako dosť účinný (hlave odchyt SSH attackerov, port scannerov a pod.). Jedná sa mi iba o IPv4 firewall.


home.ekrajnak.com
meno: ispforum
heslo: ispforum


Vďaka za každý tip

[goblajz]

Prvně bych odinstaloval všechny nepotřebný balíčky co tam máš naládovaný.

Co znamená vyšší datovej tok? Kolik?

[eKrajnak]

Ktoré balíčky myslíš? Veď všetky sa používajú.

Vyšší dátový tok znamenal bandwidth test (127.0.0.1 alebo z iného zariadenia). => 100Mbps+.

[goblajz]

Tyhle tam máš zbytečně: calea, gps, hotspot, mpls, multicast, openflow, ppp, ups, user-manager

[eKrajnak]

A to vadí ak tam sú a sú deaktivované?

[aliney]

napriklad SSH brute force pravidla mas celkem k nicemu,
povoleny rozsah je v /ip services jen vnitrni sit, takze neni proc to mit jeste ve firewallu, a jestli se bojis utoku "z vlastnich rad", tak si prehod SSH na 222,telnet na 233 a usetril si min. 6 pravidel

ty pravidla Drop virus mas zbytecne zdvojene, misto src a dst port zvlast dej do jednoho any port a mas zase usetreno... Nejlepe to vyhod vsechno, takovy virus firewall je celkem useless, navic v tech src portech dropnes akorat sam sebe, kdyz si bude aplikace chtit otevrit spojeni ven na legitimnim portu a ty to zahodis

A taky by me zajimalo kdy se dostane FW na 60% , kdyz tam mas jen par pravidel.

[eKrajnak]

Okej tieto veci beriem

Tak vyťaženie 63% viď. screenshot.

bt - firewall.png (68.76 KiB) Zobrazeno 2473 x

[KoZLiCeK]

Okej tieto veci beriem

Tak vyťaženie 63% viď. screenshot.

bt - firewall.png

ta 2011 te vic neda pro Bteste.

[contofal]

ta 2011 te vic neda pro Bteste.

Ja mam tu prieputstnost na 2011 kus vyssiu ...
Aj ked pravidla FW mam kus inac a menej.

[eKrajnak]

Cim to moze byt? Aj ked som skusil vsetky pravidla FW disablovat, vysledky btestu boli bez vacsich rozdielov.

[contofal]

Ahoj,

Pre istotu napisem, ze pokial cakas odpoved odo mna tak ju neviem a tiez ma zajima v com mas problem.
Iba som si spravil u seba rovnaky test ako robis ty a vysledky som mal ine. Tak som ich tu pre istotu pastol.
Nieco tipujem ale guru nie som ... a dohady tu pisat nechcem.
S mikrotikmi iba zacinam.


PS:
Ak mas zaujem na SZ ti mozem pripadne poslat demo mojej domacej 2011 pripadne skype kontakt.

[aliney]

ono to fakt funguje
tyjo, tak to me treba nikdy nenapadlo zkusit Btest na 127.0.0.1 jako logicky to je "jasne", ale ... no, clovek se porad uci.

[michnzee]

Já bych se možná trochu bál toho L7 filtru, neb tohle žere asi ze všeho nejvíc...jako jo, já L7 filtrování taky používám ale jen v hodně střízlivým rozsahu kdysi jsem tam nasypal taky různý filtrování všeho možnýho ale pak i blbý načtení stránky a každej request žral neskutečně moc prostředků cpu.

[eKrajnak]

To som tam hodil asi predvcerom. Skusal som rozne blbosti. Ale nikde v mangle sa to nepouziva, takze by to cpu brat nemalo. A test bol vykonany bez tychto l7 pravidiel.

[eKrajnak]

Zdravím,


takže s pomocou contofal -a som upravil firewall. Teraz už dosahujem úplne rozdielne výsledky. Myslíte že je lepší, alebo tam je ešte čo doťahovať? Viem ... ten moj virus chain je celý nanič, ale chcem aspoň podľa counterov vydieť, či sa tam niečo chytí.

Vďaka