3
FastTrack nutzen?
Hallo alle zusammen,
ich bastle gerade an meinen neuen Firewallregeln. Bislang habe ich um das Thema "FastTrack" einen Bogen gemacht, habe aber nun (vor dem Zurücksetzen auf "no default configuration") gesehen, dass bei der default-Konfiguration FastTrack generell bei established, related und untracked aktiv ist. Gegen mehr Performance und weniger Stromverbrauch würde ich mich nicht wehren, allerdings habe ich kein gutes Gefühl, wenn die Firewall-Filter einfach übergangen werden. Andererseits muss für das tracken ja mind. einmal ein entsprechender Filter gezogen haben. Zudem habe ich hier die Aussage gefunden, wenn NAT verwendet wird, ist das ganze wohl relativ unkritisch und in meinem Fall hängt der Mikrotik ja per NAT hinter der FritzBox.
Mich würde interessieren, wie ihr das einschätzt. Finger weg, kein Problem oder irgendwie begrenzen?
VG
wimaflix
ich bastle gerade an meinen neuen Firewallregeln. Bislang habe ich um das Thema "FastTrack" einen Bogen gemacht, habe aber nun (vor dem Zurücksetzen auf "no default configuration") gesehen, dass bei der default-Konfiguration FastTrack generell bei established, related und untracked aktiv ist. Gegen mehr Performance und weniger Stromverbrauch würde ich mich nicht wehren, allerdings habe ich kein gutes Gefühl, wenn die Firewall-Filter einfach übergangen werden. Andererseits muss für das tracken ja mind. einmal ein entsprechender Filter gezogen haben. Zudem habe ich hier die Aussage gefunden, wenn NAT verwendet wird, ist das ganze wohl relativ unkritisch und in meinem Fall hängt der Mikrotik ja per NAT hinter der FritzBox.
Mich würde interessieren, wie ihr das einschätzt. Finger weg, kein Problem oder irgendwie begrenzen?
VG
wimaflix
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672459
Url: https://administrator.de/forum/fasttrack-nutzen-672459.html
Ausgedruckt am: 15.04.2025 um 03:04 Uhr
3 Kommentare
Neuester Kommentar
kein Problem
Jo absolut, works as designed, im aktuellen RouterOS übrigens jetzt auch mit IPv6 nutzbar....
allerdings habe ich kein gutes Gefühl, wenn die Firewall-Filter einfach übergangen werden.
Die Firewall wird nicht umgangen, nur der Folgetraffic einer bereits vorher durch die Firewall erlaubten Verbindung nimmt dann eine Abkürzung.Andererseits muss für das tracken ja mind. einmal ein entsprechender Filter gezogen haben
Eben.Rezepte zur korrekten Anwendung wie immer hier nachzulesen.
https://help.mikrotik.com/docs/spaces/ROS/pages/328513/Building+Advanced ...
1
Hallo,
das hängt von den Sicherheitsanforderungen ab, da die Funktion mit allen Risiken des State-Trackings behaftet ist. Zu möglichen Fehlern und deren Ausnutzung bei Stateful-Inspection gibt es umfassende Literatur. Bei entsprechenden Anforderungen würde man ebenso "FastTrack"/flowtable und vergleichbare Verfahren nur selektiv konfigurieren und architektonisch berücksichtigen (z.B. Trennung von Perimeter-Firewall und interner Segmentierung).
Grüße
Richard
das hängt von den Sicherheitsanforderungen ab, da die Funktion mit allen Risiken des State-Trackings behaftet ist. Zu möglichen Fehlern und deren Ausnutzung bei Stateful-Inspection gibt es umfassende Literatur. Bei entsprechenden Anforderungen würde man ebenso "FastTrack"/flowtable und vergleichbare Verfahren nur selektiv konfigurieren und architektonisch berücksichtigen (z.B. Trennung von Perimeter-Firewall und interner Segmentierung).
Grüße
Richard
