Autor: sutrus

Datum: 12 pro 2021 18:31
Kategorie: Zabezpečení routeru

Zobrazení: 213
Komentáře: 0

Vytvoření prvního firewallu

Popis: Building Your First Firewall

Odkaz na článek (bb-code [URL]): Kopírovat

[url=https://spssoftware.cz/knowledgebase/article?k=61]Vytvoření prvního firewallu[/url]

Přímý odkaz: Kopírovat

https://spssoftware.cz/knowledgebase/article?k=61
Přehled
Důrazně doporučujeme ponechat výchozí bránu firewall zapnutou. Zde je několik úprav, které jej učiní bezpečnějším. Ujistěte se, že další změny nakonfigurujete, až zcela pochopíte přínos těchto konkrétních pravidel brány firewall.

Chcete-li zobrazit výchozí pravidla brány firewall prostřednictvím rozhraní CLI, můžete zadat následující příkaz:

Kód: Vybrat vše

/system default-configuration print


Brána firewall IPv4

Ochrana samotného routeru
  • pracovat s novými připojeními(new), aby se snížilo zatížení směrovače
  • vytvořit seznam adres pro IP adresy, které mají povolen přístup ke směrovači
  • povolit přístup ICMP (volitelně)
  • zahoďte vše ostatní, pro protokolování paketů, které narazí na konkrétní pravidlo, může být přidáno log=yes

Kód: Vybrat vše

/ip firewall filter
add action=accept chain=input comment="default configuration" connection-state=established,related
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input protocol=icmp
add action=drop chain=input
/ip firewall address-list
add address=192.168.88.2-192.168.88.254 list=allowed_to_router


Ochrana zařízení v síti LAN
Vytvoříme seznam adres s názvem "not_in_internet", který použijeme pro pravidla filtru brány firewall:

Kód: Vybrat vše

/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet

Stručné vysvětlení pravidla filtru brány firewall:
  • firewall bude pracovat pouze s novými spojeními
  • zahození neplatného spojení a jejich protokolování s prefixem "invalid";
  • zahození pokusů o dosažení neveřejných adres z místní sítě, předtím použijte address-list=not_in_internet, "bridge" je místní síťové rozhraní, logujte=yes pokusy s prefixem "!public_from_LAN";
  • zahození příchozích paketů, které nejsou NATovány, ether1 je veřejné rozhraní, logujte pokusy s prefixem "!NAT";
  • skok do řetězce ICMP pro zahození nechtěných zpráv ICMP
  • zahození příchozích paketů z internetu, které nejsou veřejnými IP adresami, ether1 je veřejné rozhraní, pokusy zaznamenávat s prefixem "!public"
  • zahození paketů z LAN, které nemají LAN IP, 192.168.88.0/24 je podsíť používaná v místní síti

Kód: Vybrat vše

/ip firewall filter
add action=fasttrack-connection chain=forward comment=FastTrack connection-state=established,related
add action=accept chain=forward comment="Established, Related" connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid log=yes log-prefix=invalid
add action=drop chain=forward comment="Drop tries to reach not public addresses from LAN" dst-address-list=not_in_internet in-interface=bridge log=yes log-prefix=!public_from_LAN out-interface=!bridge
add action=drop chain=forward comment="Drop incoming packets that are not NAT`ted" connection-nat-state=!dstnat connection-state=new in-interface=ether1 log=yes log-prefix=!NAT
add action=jump chain=forward protocol=icmp jump-target=icmp comment="jump to ICMP filters"
add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment="Drop packets from LAN that do not have LAN IP" in-interface=bridge log=yes log-prefix=LAN_!LAN src-address=!192.168.88.0/24

Povolit pouze potřebné kódy icmp v řetězci "icmp":

Kód: Vybrat vše

/ip firewall filter
  add chain=icmp protocol=icmp icmp-options=0:0 action=accept \
    comment="echo reply"
  add chain=icmp protocol=icmp icmp-options=3:0 action=accept \
    comment="net unreachable"
  add chain=icmp protocol=icmp icmp-options=3:1 action=accept \
    comment="host unreachable"
  add chain=icmp protocol=icmp icmp-options=3:4 action=accept \
    comment="host unreachable fragmentation required"
  add chain=icmp protocol=icmp icmp-options=8:0 action=accept \
    comment="allow echo request"
  add chain=icmp protocol=icmp icmp-options=11:0 action=accept \
    comment="allow time exceed"
  add chain=icmp protocol=icmp icmp-options=12:0 action=accept \
    comment="allow parameter bad"
  add chain=icmp action=drop comment="deny all other types"



Brána firewall IPv6

Ochrana samotného routeru
Vytvořte seznam adres, ze kterého povolíte přístup k zařízení:

Kód: Vybrat vše

/ipv6 firewall address-list add address=fd12:672e:6f65:8899::/64 list=allowed
Stručné vysvětlení pravidla filtru brány firewall IPv6:
  • pracovat s novými pakety, přijímat established/related pakety
  • zahození link-local adres z internetového (veřejného) rozhraní/seznamu rozhraní
  • povolit přístup k routeru z linkových adres, přijmout vícesměrové adresy pro účely správy, přijmout svůj seznam zdrojových adres pro přístup k routeru
  • zahodit vše ostatní

Kód: Vybrat vše

/ipv6 firewall filter
add action=accept chain=input comment="allow established and related" connection-state=established,related
add chain=input action=accept protocol=icmpv6 comment="accept ICMPv6"
add chain=input action=accept protocol=udp port=33434-33534 comment="defconf: accept UDP traceroute"
add chain=input action=accept protocol=udp dst-port=546 src-address=fe80::/16 comment="accept DHCPv6-Client prefix delegation."
add action=drop chain=input in-interface=sit1 log=yes log-prefix=dropLL_from_public src-address=fe80::/16
add action=accept chain=input comment="allow allowed addresses" src-address-list=allowed
add action=drop chain=input
/ipv6 firewall address-list
add address=fe80::/16 list=allowed
add address=xxxx::/48 list=allowed
add address=ff02::/16 comment=multicast list=allowed


Ochrana zařízení v síti LAN
Povolení IPv6 zpřístupní vaše klienty do veřejných sítí. Nastavte správně firewall, abyste ochránili své zákazníky.
  • povolit established/related a pracovat s novými pakety
  • zahodit neplatné pakety a vložte prefix pro pravidla
  • povolit pakety ICMP
  • povolit nová připojení od vašich klientů k internetu
  • zahodit vše ostatní

Kód: Vybrat vše

/ipv6 firewall filter
add action=accept chain=forward comment=established,related connection-state=established,related
add action=drop chain=forward comment=invalid connection-state=invalid log=yes log-prefix=ipv6,invalid
add action=accept chain=forward comment=icmpv6 in-interface=!sit1 protocol=icmpv6
add action=accept chain=forward comment="local network" in-interface=!sit1 src-address-list=allowed
add action=drop chain=forward log-prefix=IPV6