2. Fórumok
  3. Hálózat, szolgáltatók
  4. Otthoni hálózat és internet megosztás
  5. (kiemelt téma)
Keresés

Új hozzászólás Aktív témák

  • #20773 bacus őstag mszl #20771
    Új Válasz #20773
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    bacus

    őstag

    válasz mszl #20771 üzenetére

    Lol. Nincs egyszerü tűzfal beállitás :), vagy inkább :(.
    persze hogy lehet menteni. terminál ablakban /system export file=fajlnev majd a fajlnev.rsc fajt kihuzod a desktopodra...

    A kapcsolatokat vagy eldobod, vagy átengeded. Itt egy szamárvezető:

    0. szabály: mindig a pontos idő beállitása !! (esetleg ntp kliens konfigurálása, kb 3 mp)

    1. Tiltsd a router elérését a wanról (pl ip/firewall input chain-be ha az in az a WAN, akkor drop, vagy tarpit.
    (azért irtam WAN-t, mert én én mindig átnevezem ha dhcp-n jön akkor az eth portot, vagy leginkább a PPPOE kapcsolat beállitásakor létrejött kapcsolatot...)

    1b. kintről minden szolgáltatás letiltása, pl. ssh ha nem használod, vagy telnet !!!

    2. ha a router védve van, akkor engedj át mindent aminek az előzménye már átjutott a tűzfalon,
    forward chain-be established és related packeteknél action accept

    3. aztán jöhetnek az invalid kapcsolatok eldobása. egyéb üzik

    4. majd jönnek a tűzfal szabályok, amiket érdemes chainekbe szervezni.
    használd a jump utasitást, pl port_forward chain felvétele és accept minden port, amit befele szeretnél dst-natolni

    address listek használata, pl. én kitiltottam ázsiát, dél amerikát, stb az irodánkból, a törési kisérletek 1/1000-re estek vissza !

    5. legvégén pedig a legfontosabb, mindent eldobni, amit nem akarsz beengedni.

    6. nat szabályok, src-natod már van, még kellenek a dst-nat szabályok, mit hova akarsz natolni..

    7. kifele menő szabályok, a firewall fülön, pl a 25-ös port közvetlen kimenetének tiltása, ha van smtp szerver akkor csak arrafele mehet, ill. ha szolgáltatónál van smart host akkor azt kell használni.

    8. proxy beállitása a nat fülön. action redirect !

    9. ha több alhálózat van, akkor nyilván minden alhálózatra más szabály lehet vissza a 4. pontba :)

    10. alhálózatok egymás közötti viszonya, pl wendég wifi más alhálózat, az csak net fele mehet.

    11. route tábla feltöltése, (a dinamikus routok mellé kell valami?)

    12 dns beállitása, elérhető e kintről. (pl akkor amikor több szerver megy a cégnél ugyanazon a 80-as porton, és a router aszerint küldi az egyik v. másik felé, hogy mi volt a cél. (www.ceg1.hu egyik szerver, www.ceg2.hu masik szerveren)

    és itt még sorolhatnám, mert van még pár, de mire ide eljutsz már fogod tudni..
    (teljesség igénye nélkül: mangle szabályok- connection mark, simple queue, queue tree, hotpspot, ipsec, upnp, watchdog, scriptek, logok irása más szerverre, tárolóra, vpn szerverek /pptp, openvpn/)

    ilyenek is lehetnek, pl scriptek irása, hogy tiltson minden kapcsolatot hajnali 2 és 3 között ki/be, csak azért, mert akkor pl a szerveren backup v. frissités megy/mehet, amikor a tűzfala letiltásra kerül..
    vagy engedélyezze az openvpn szervert, mert jön egy backup, vagy csináljon egy backupot a configról, és mentse le a szerverre (hiszen a routerboard is tönkremehet, nem kell előlről kezdeni a konfigurálást,
    dyndns update !

    Sajnálom, ha kiábránditottalak, de nincs univerzális tűzfal beállitás, van amit két szabállyal lehet megoldani, van amit 12vel és van amit ha ügyes vagy egy szabály is elég.. :)

    nálam pl ssh port nyitva a szerverem felé, a 22-es, mert van alkalmazás amit nehezebb újraforditanom mint ezt átállitani. pár tűzfal szabály és dinamikusan hozok létre address listeket, amivel az első törési kisérlet után (ez 3x sikertelen bejelentkezést jelent 5 percen belül nálam az ip cim 1 órára tiltva van, ha ezalatt még akár 1x is próbálkozik, akkor megnövelem 1 napra, majd 1 hónapra, majd örökre kitiltom) persze lehet másnap megint próbálkozik, mert új ip cimet kap, de nem baj, mert a tapasztalat az, hogy kevesen vannak már a havi listán is, aki meg az évesre is felkerül az valszeg fix ip cimes.

    ha tudod mit akarsz és nem tudod hogy kell, akkor szólj és ránézek, ha szeretnéd, hogy én konfigoljam fel, ezzel keresem a pénzt napközben :), megadom, hova utalj, de ha különlegeset kérsz, akkor többet nem engedlek be a routeredbe, vagy meg kell öljelek :D

    Kössünk egyezséget, megegyezős egyezséget... https://www.paypal.me/engiman/30

Új hozzászólás Aktív témák