Porovnat verze

Stará verze 4

changes.mady.by.user Vena

Uloženo na

v porovnání s

Nová verze 5

changes.mady.by.user Vena

Uloženo na

Klíč

  • Tento řádek byl přidán.
  • Tento řádek byl odstraněn.
  • Formátování bylo změněno.

...

  1. Allow estabilished and related – propustí již navázané sessions a související pakety (např. pokud si FTP otevře další sessions, je to související k té prvotní navázané)
    add action=accept chain=forward comment="Allow estabilished and related" connection-state=established,related
  2. Allow access to internet – propustí cokoli z  vnitřní sítě (nebo vnitřních sítí) ven
    //address list místo in interface používám pro případ, kdy máme na boardu natovaných více sítí, není třeba povolovat pro každou z nich 
  3. add action=accept chain=forward comment="Allow all networks to internet" src-address-list=NAT 
  4. Drop to forward – co není povolené v  pravidlech výše – zablokuje
    add action=drop chain=forward comment="Drop to forward"


Input

/ip firewall filter

  1. Allow estabilished, related, untracked – povolí veškeré navázané sessions, související sessions a pakety, které jsou označeny jako untracked, tzn. tak, aby se neobjevovaly v  listu navázaných sessions (IP firewall connections)
    add action=accept chain=input comment="Allow estabilished, related, untracked" connection-state=established,related,untracked

  2. Allow Winbox from HKfree – povolí přístup na Winbox pouze z rozsahů HKF
    add action=accept chain=input comment="Allow Winbox from HKfree" dst-port=8291 protocol=tcp src-address-list=HKfreerozsahy

  3. Allow SSH from HKfree – povolí přístup na Winbox pouze z  rozsahů HKF
    add action=accept chain=input comment="Allow SSH from HKfree" dst-port=22 protocol=tcp src-address-list=HKfreerozsahy

  4. Allow Sojka, UserDB and Wewimo – povolí veškeré dohledové servery add action=accept chain=input comment="Allow HKF - dohled to input" src-address-list="HKFdohled" 
  5. Drop invalid to input – zahodí neplatné pakety
    add action=drop chain=input comment="Drop invalid to input" connection-state=invalid
  6. Allow ICMP to input – povolí ICMP (aby fungoval třeba ping)
    add action=accept chain=input comment="Allow ICMP to input" protocol=icmp
  7. Allow DNS to input – povolí DNS dotazy na RB
    add action=accept chain=input comment="Allow DNS to input" dst-port=53 protocol=udp
  8. Port scanners to list for one week – odhalí port scannery a jejich IP přidá do dynamického address listu na týden 
    add action=add-src-to-address-list address-list="Port scanners" address-list-timeout=1w chain=input comment="Port scanners to list for one week" protocol=tcp psd=21,3s,3,1
  9. Drop port scanners – na input zakáže přístup adresám z address listu port scannerů
    add action=drop chain=input comment="Drop port scanners" src-address-list="Port scanners" 
  10. Drop to input except internal network – zablokuje co není povolené výše kromě čehokoli z vnitřní sítě
    add action=drop comment="Drop to input except internal network" chain=input src-address-list=!NAT

...