packelend
Jan 31, 2022, updated at 09:45:40 (UTC)
view7731
view7
0
Goto Top

Mikrotik Firewall - wie effizient aufbauen?

GermanQuestionMikroTikOther systems
Hallo Administratoren,
ich möchte meine Firewall aufräumen, bzw. neu strukturieren.
Anstatt Detailfragen, möchte ich mal die Meinungen einholen, wie man diese effizient strukturiert, so dass die CPU weitgehendst geschont wird.

  1. allgemeiner Schutz für den Router, gegen z.B. DsS/DDoS Attacken, hierfür RAW
  2. Alles was schon läuft akzeptieren, bzw. gen FastTrack schicken:
    1. add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related    
    2. add action=accept chain=forward comment="default configuration" connection-state=established,related,untracked  
    3. add action=accept chain=input comment="default configuration" connection-state=established,related,untracked
      (das vieleicht zu Router-Zugang schieben?)
  3. website filter, wenn gewünscht
  4. neue Browser-Verbindungen, sowie Email zulassen:
    1. add action=accept chain=forward in-interface=VLANsWithWANAccees-List out-interface=WAN port=(Email ports und 80, 443)
  5. Traffic LAN->WWW filter/checks und dann den rest zulassen
      1. ...?
      2. add action=accept chain=forward in-interface=VLANsWithWANAccees-List out-interface=WAN por
  6. falsche Verbindungen verwerfen:
    1. add action=drop chain=forward connection-state=invalid
  7. Router schützen
  8. Router-Zugang filtern
    1. add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN  
    2.  ...chain=input ...
  9. LAN schützen
    1. Zugang zwischen VLANs einschränken (192.168.0.0/16 sind alle VLANs) 
      add action=drop chain=forward dst-address=192.168.0.0/16 src-address=192.168.0.0/16
    2. nicht NAT'd traffic -> drop
    3. ...
  10. drop rest


ist der Ansatz mal nicht verkehrt?
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 1780137892

Url: https://administrator.de/contentid/1780137892

Printed on: April 26, 2024 at 14:04 o'clock

7 Comments
Latest comment
Goto Top
Member: aqui
aqui Jan 31, 2022 at 09:21:01 (UTC)
Goto Top
Nicht das wir jetzt 2 themengleiche Threads parallel handhaben müssen...
Mikrotik CRS NAT-Performance
Member: PackElend
PackElend Jan 31, 2022 at 09:47:00 (UTC)
Goto Top
Zitat von @aqui:

Nicht das wir jetzt 2 themengleiche Threads parallel handhaben müssen...
Mikrotik CRS NAT-Performance

der ist ja beinahe noch druckfrisch, schaue es mir nachher im Detail an
Member: PackElend
PackElend Jan 31, 2022 at 09:53:14 (UTC)
Goto Top
habe es jetzt doch schnell überflögen, Mikrotik CRS NAT-Performance zielt momentan eher auf VLAN-Performance ab auch wenn Firewall ein Thema ist.
Member: Visucius
Visucius Jan 31, 2022 updated at 10:00:48 (UTC)
Goto Top
der ist ja beinahe noch druckfrisch, schaue es mir nachher im Detail an

Aber Du bist doch Profi?! ... ich putz hier flaniere hier nur und hatte sozusagen ein "Einsteigerproblem", welches Du oben schon nachhaltig gefixt hast.

Ich dachte aber ...
a) Input vor Forward
b) Drop invalid vor allem anderen, wegen "Last"


Funktioniert das FastTrack ohne "hw-offload=yes" überhaupt?! Bei mir ging dann kein Traffic drüber. Mag aber HW-abhängig sein, dass kann ich nicht beurteilen.
heart1
Member: aqui
aqui Jan 31, 2022 at 13:31:37 (UTC)
Goto Top
habe es jetzt doch schnell überflögen
Solange du sie nicht überflötest ist alles gut... 🤣
heart1
Member: PackElend
PackElend Jan 31, 2022 updated at 15:07:59 (UTC)
Goto Top
Zitat von @Visucius:

der ist ja beinahe noch druckfrisch, schaue es mir nachher im Detail an

Aber Du bist doch Profi?! ... ich putz hier flaniere hier nur und hatte sozusagen ein "Einsteigerproblem", welches Du oben schon nachhaltig gefixt hast.
ich komme nicht ganz dahinter was du mir sagen willst, sorry.

Zitat von @Visucius:
Ich dachte aber ...
a) Input vor Forward
b) Drop invalid vor allem anderen, wegen "Last"

a) gibt aber viel mehr Forwardals Input, sprich mehr Traffic wäre damit früher wieder runter von der FW. Habe es da wie in Why do most firewalls have Input rules first? - MikroTik

b) dacht ich mir auch zuerst, ich dachte aber die anderen fälle treten öfters auf, gibt es so viel "invalid"?
Sollt mir mal ne vernünftige Statistik für die FW-Regel aufbauen, um zu sehen, welche am häufigsten zum Zuge kommen.


Funktioniert das FastTrack ohne "hw-offload=yes" überhaupt?! Bei mir ging dann kein Traffic drüber. Mag aber HW-abhängig sein, dass kann ich nicht beurteilen.
Habe es ohne grössere Unterscheidung zwischen den Modellen übernommen, bzw. genauer nachgedacht, wenn es halt nicht hat, dann geht es nicht, wenn hat, dann geht es face-smile.
Jetzt da aber ROS 7.1 da ist und L3 Hardware Offloading möglich ist, sieht die Sachlage evtl. anders aus.
Wenn ich es richtig verstehe, geht dann auch NAT über den Switch-Chip, so kann ich wohl das VLAN Routing auf nem CRS machen und würde.
Ich habe den CCR1009-7G-1C-1S+ als Route, da ist nichts mit HW-off aber bei meinen CRS328-4C-20S-4S+RM und CRS328-24P-4S+RM sieht es schon anders aus.
Ist gerade nur ein Gedanke, es macht evtl. Sinn die VLAN Interfaces auf eines der CRSs zu legen und auf dem CCR die verbleibenden Sachen zu machen, die Konfiguration wird dann nur komplexer (grübel, grübel, ...)


Zitat von @aqui:

habe es jetzt doch schnell überflögen
Solange du sie nicht überflötest ist alles gut... 🤣
da war ich zu schnell beim tippen 🤣
Mitglied: 1795827498
1795827498 Feb 01, 2022 updated at 10:33:42 (UTC)
Goto Top
Zitat von @PackElend:
Zitat von @Visucius:
Ich dachte aber ...
a) Input vor Forward
b) Drop invalid vor allem anderen, wegen "Last"

a) gibt aber viel mehr Forwardals Input, sprich mehr Traffic wäre damit früher wieder runter von der FW. Habe es da wie in Why do most firewalls have Input rules first? - MikroTik

Ob INPUT oder FORWARD Regeln, macht keinen Unterschied bei der Reihenfolge, weil beides komplett unterschiedliche CHAINs sind. Die Entscheidung ob das Paket in den Router hinein fließt (INPUT) oder dieser das Paket nur weiterleitet (FORWARD) wird ja schon vorher getroffen, die Reihenfolge zählt erst innerhalb der unterschiedlichen CHAINs.

Wie immer sollte man sich bei solchen Fragen einfach mal den Flow-Chart ansehen dann erklärt sich vieles von selbst

https://wiki.mikrotik.com/wiki/Manual:Packet_Flow

Gruß /n
heart2
GermanQuestionMikroTikOther systems
More from PackElendPackElendPacket flow from VLAN Host to www - how often routing decision is made?PackElend - 15 CommentsPackElendGlobal Parent for Simple Queue really needed?PackElend