packelend
31.01.2022, aktualisiert um 10:45:40 Uhr
view8690
view7
0
Goto Top

Mikrotik Firewall - wie effizient aufbauen?

FrageSonstige SystemeMikroTik
Hallo Administratoren,
ich möchte meine Firewall aufräumen, bzw. neu strukturieren.
Anstatt Detailfragen, möchte ich mal die Meinungen einholen, wie man diese effizient strukturiert, so dass die CPU weitgehendst geschont wird.

  1. allgemeiner Schutz für den Router, gegen z.B. DsS/DDoS Attacken, hierfür RAW
  2. Alles was schon läuft akzeptieren, bzw. gen FastTrack schicken:
    1. add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related    
    2. add action=accept chain=forward comment="default configuration" connection-state=established,related,untracked  
    3. add action=accept chain=input comment="default configuration" connection-state=established,related,untracked
      (das vieleicht zu Router-Zugang schieben?)
  3. website filter, wenn gewünscht
  4. neue Browser-Verbindungen, sowie Email zulassen:
    1. add action=accept chain=forward in-interface=VLANsWithWANAccees-List out-interface=WAN port=(Email ports und 80, 443)
  5. Traffic LAN->WWW filter/checks und dann den rest zulassen
      1. ...?
      2. add action=accept chain=forward in-interface=VLANsWithWANAccees-List out-interface=WAN por
  6. falsche Verbindungen verwerfen:
    1. add action=drop chain=forward connection-state=invalid
  7. Router schützen
  8. Router-Zugang filtern
    1. add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN  
    2.  ...chain=input ...
  9. LAN schützen
    1. Zugang zwischen VLANs einschränken (192.168.0.0/16 sind alle VLANs) 
      add action=drop chain=forward dst-address=192.168.0.0/16 src-address=192.168.0.0/16
    2. nicht NAT'd traffic -> drop
    3. ...
  10. drop rest


ist der Ansatz mal nicht verkehrt?
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 1780137892

Url: https://administrator.de/contentid/1780137892

Ausgedruckt am: 21.11.2024 um 17:11 Uhr

7 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 31.01.2022 um 10:21:01 Uhr
Goto Top
Nicht das wir jetzt 2 themengleiche Threads parallel handhaben müssen...
Mikrotik CRS NAT-Performance
PackElend
PackElend 31.01.2022 um 10:47:00 Uhr
Goto Top
Zitat von @aqui:

Nicht das wir jetzt 2 themengleiche Threads parallel handhaben müssen...
Mikrotik CRS NAT-Performance

der ist ja beinahe noch druckfrisch, schaue es mir nachher im Detail an
PackElend
PackElend 31.01.2022 um 10:53:14 Uhr
Goto Top
habe es jetzt doch schnell überflögen, Mikrotik CRS NAT-Performance zielt momentan eher auf VLAN-Performance ab auch wenn Firewall ein Thema ist.
Visucius
Visucius 31.01.2022 aktualisiert um 11:00:48 Uhr
Goto Top
der ist ja beinahe noch druckfrisch, schaue es mir nachher im Detail an

Aber Du bist doch Profi?! ... ich putz hier flaniere hier nur und hatte sozusagen ein "Einsteigerproblem", welches Du oben schon nachhaltig gefixt hast.

Ich dachte aber ...
a) Input vor Forward
b) Drop invalid vor allem anderen, wegen "Last"


Funktioniert das FastTrack ohne "hw-offload=yes" überhaupt?! Bei mir ging dann kein Traffic drüber. Mag aber HW-abhängig sein, dass kann ich nicht beurteilen.
heart1
aqui
aqui 31.01.2022 um 14:31:37 Uhr
Goto Top
habe es jetzt doch schnell überflögen
Solange du sie nicht überflötest ist alles gut... 🤣
heart1
PackElend
PackElend 31.01.2022 aktualisiert um 16:07:59 Uhr
Goto Top
Zitat von @Visucius:

der ist ja beinahe noch druckfrisch, schaue es mir nachher im Detail an

Aber Du bist doch Profi?! ... ich putz hier flaniere hier nur und hatte sozusagen ein "Einsteigerproblem", welches Du oben schon nachhaltig gefixt hast.
ich komme nicht ganz dahinter was du mir sagen willst, sorry.

Zitat von @Visucius:
Ich dachte aber ...
a) Input vor Forward
b) Drop invalid vor allem anderen, wegen "Last"

a) gibt aber viel mehr Forwardals Input, sprich mehr Traffic wäre damit früher wieder runter von der FW. Habe es da wie in Why do most firewalls have Input rules first? - MikroTik

b) dacht ich mir auch zuerst, ich dachte aber die anderen fälle treten öfters auf, gibt es so viel "invalid"?
Sollt mir mal ne vernünftige Statistik für die FW-Regel aufbauen, um zu sehen, welche am häufigsten zum Zuge kommen.


Funktioniert das FastTrack ohne "hw-offload=yes" überhaupt?! Bei mir ging dann kein Traffic drüber. Mag aber HW-abhängig sein, dass kann ich nicht beurteilen.
Habe es ohne grössere Unterscheidung zwischen den Modellen übernommen, bzw. genauer nachgedacht, wenn es halt nicht hat, dann geht es nicht, wenn hat, dann geht es face-smile.
Jetzt da aber ROS 7.1 da ist und L3 Hardware Offloading möglich ist, sieht die Sachlage evtl. anders aus.
Wenn ich es richtig verstehe, geht dann auch NAT über den Switch-Chip, so kann ich wohl das VLAN Routing auf nem CRS machen und würde.
Ich habe den CCR1009-7G-1C-1S+ als Route, da ist nichts mit HW-off aber bei meinen CRS328-4C-20S-4S+RM und CRS328-24P-4S+RM sieht es schon anders aus.
Ist gerade nur ein Gedanke, es macht evtl. Sinn die VLAN Interfaces auf eines der CRSs zu legen und auf dem CCR die verbleibenden Sachen zu machen, die Konfiguration wird dann nur komplexer (grübel, grübel, ...)


Zitat von @aqui:

habe es jetzt doch schnell überflögen
Solange du sie nicht überflötest ist alles gut... 🤣
da war ich zu schnell beim tippen 🤣
1795827498
1795827498 01.02.2022 aktualisiert um 11:33:42 Uhr
Goto Top
Zitat von @PackElend:
Zitat von @Visucius:
Ich dachte aber ...
a) Input vor Forward
b) Drop invalid vor allem anderen, wegen "Last"

a) gibt aber viel mehr Forwardals Input, sprich mehr Traffic wäre damit früher wieder runter von der FW. Habe es da wie in Why do most firewalls have Input rules first? - MikroTik

Ob INPUT oder FORWARD Regeln, macht keinen Unterschied bei der Reihenfolge, weil beides komplett unterschiedliche CHAINs sind. Die Entscheidung ob das Paket in den Router hinein fließt (INPUT) oder dieser das Paket nur weiterleitet (FORWARD) wird ja schon vorher getroffen, die Reihenfolge zählt erst innerhalb der unterschiedlichen CHAINs.

Wie immer sollte man sich bei solchen Fragen einfach mal den Flow-Chart ansehen dann erklärt sich vieles von selbst

https://wiki.mikrotik.com/wiki/Manual:Packet_Flow

Gruß /n
heart2
FrageSonstige SystemeMikroTik
Mehr von PackElendPackElendGlobal Parent für Simple Queue wirklich nötig?PackElend - 6 KommentarePackElendMigration von VLAN-Schnittstellen von Router (CCR) zu Switch (CRS) aufgrund von ROS 7.1 L3 HW- off, , sinnvoll und wie?PackElend - 4 KommentarePackElendDynamische VLAN Zuweisung für WLAN nur anhand PPSKPackElend - 15 KommentarePackElendMikroTik: NAT Masquerade kann ungewollt private IP weitergeben aber warum?PackElend - 4 Kommentare
Heiß diskutiert
user217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 Kommentaresuperfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 15 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare