Чек-лист по MikroTik: обратная связь и полезные ссылки
Додано: 30-04-2021 21:51:39
Лженастройки и другие ошибки при настройке файервола
В этом и нескольких следующих постах я расскажу про лженастройки и ошибки при настройке файервола. В тексте будут использованы выдержки из настроек, которые сделаны с помощью командной строки. Если вы привыкли работать с графическим интерфейсом, то просто постарайтесь уделить несколько минут и прочесть, что в них настроено. В своем курсе «Настройка оборудования MikroTik» я учу делать настройки и через графический интерфейс, и через консоль. Но в тексте поста настройки проще описывать в виде выдачи консоли.
На написание этого поста меня навело то, что регулярно, два-три раза в неделю ко мне приходят письма с просьбой оценить настройку файрвола. Как правило, основная масса таких настроек содержит одни и те же ошибки, которые я решил собрать в этом посте. Условно их можно разделить на следующие категории:
Эту категорию лженастроек я характеризую так: "Эта статья в Интернет выглядит умной. Я тоже хочу внедрить у себя такое". Администраторы берут какие-то настройки и абсолютно не понимая, что это, зачем это и с чем это едят копируют настройки к себе. Чаще всего встречаются следующие чудо-настройки.
Лженастройка №1. Блокировка TCP-соединений по флагам
Эта лженастройка имеет много разных вариаций. В общих чертах она выглядит как попытка заблокировать что-то на основании флага TCP-соединения с помощью опции "tcp-flag". Выглядит это очень умно, можно сказать «прикосновение к таинству». Но зачем это делается никто внятно объяснить не может. У этой лженастройки файрвола на MikroTik много разных вариаций. Обычно их объединяет то, что есть несколько правил в которых обязательно будет встречаться что-то на подобие:
В следующем посте я расскажу Вам о своей любимой лженастройке файервола под названием «Блокируем BOGON сети».
С уважением, Дмитрий Скоромнов.,
сертифицированный тренер MikroTik,
автор проекта «Курсы-по-ит.рф»
https://курсы-по-ит.рф
+7 499 653-76-01
Чат в Телеграме по MikroTik и не только: @kursy_po_it
В этом и нескольких следующих постах я расскажу про лженастройки и ошибки при настройке файервола. В тексте будут использованы выдержки из настроек, которые сделаны с помощью командной строки. Если вы привыкли работать с графическим интерфейсом, то просто постарайтесь уделить несколько минут и прочесть, что в них настроено. В своем курсе «Настройка оборудования MikroTik» я учу делать настройки и через графический интерфейс, и через консоль. Но в тексте поста настройки проще описывать в виде выдачи консоли.
На написание этого поста меня навело то, что регулярно, два-три раза в неделю ко мне приходят письма с просьбой оценить настройку файрвола. Как правило, основная масса таких настроек содержит одни и те же ошибки, которые я решил собрать в этом посте. Условно их можно разделить на следующие категории:
- Лженастройки. Как правило, такие правила никак не влияют на работоспособность сети. Только замусоривают конфигурацию и этим затрудняют ее дальнейший анализ. Иногда могут и навредить. Основной признак этой категории – использование каких-то замысловатых параметров. Иногда такие правила называют "фуфломицином".
- Правила пустышки. Как правило ничего не делают. Ни хуже, ни лучше. Разве, что потребляют ресурсы процессора на обработку бессмысленных правил. Принципиальное отличие от лженастроек это отсутствие использования замысловатых параметров. Такие правила очень хорошо описываются определением "масло масляное".
- Ошибки. Название говорит само за себя. Условно можно разбить на подкатегории:
- Результат, который дают такие настройки не соответствует тому, что изначально ожидалось.
- Отсутствие понимания того как должен быть настроен файрвол. В результате получается то, что хотели получить изначально, но могут быть проблемы или уязвимости.
Эту категорию лженастроек я характеризую так: "Эта статья в Интернет выглядит умной. Я тоже хочу внедрить у себя такое". Администраторы берут какие-то настройки и абсолютно не понимая, что это, зачем это и с чем это едят копируют настройки к себе. Чаще всего встречаются следующие чудо-настройки.
Лженастройка №1. Блокировка TCP-соединений по флагам
Эта лженастройка имеет много разных вариаций. В общих чертах она выглядит как попытка заблокировать что-то на основании флага TCP-соединения с помощью опции "tcp-flag". Выглядит это очень умно, можно сказать «прикосновение к таинству». Но зачем это делается никто внятно объяснить не может. У этой лженастройки файрвола на MikroTik много разных вариаций. Обычно их объединяет то, что есть несколько правил в которых обязательно будет встречаться что-то на подобие:
Код: Виділити все
... protocol=tcp tcp-flags=fin,syn
... protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
... protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
С уважением, Дмитрий Скоромнов.,
сертифицированный тренер MikroTik,
автор проекта «Курсы-по-ит.рф»
https://курсы-по-ит.рф
+7 499 653-76-01
Чат в Телеграме по MikroTik и не только: @kursy_po_it