RB
А вас ни чего не смущает в ваших правилах?
Size: a a a
2020 November 30
ВВ
Sergey R.
интересный фаервол
7 лет с ним
ВВ
Ramil B
А вас ни чего не смущает в ваших правилах?
например?
RB
например?
Попробуйте для начала самое первое правило access сделать на все и посмотрите, будет работать или нет.
ВВ
Ramil B
А вас ни чего не смущает в ваших правилах?
хм.... богон выключил и поехало
SR
фаервол надо бы переделать
ВВ
Sergey R.
фаервол надо бы переделать
как?
D
как?
Полностью
D
Желательно посмотреть и понять дефолтный
RB
BOGON что такое? Приватные IP?
SR
по классической схеме, на инпут с ВАН разрешаем established related, разрешаем что еще нужно, остальное закрываем, по форвард тоже самое
IS
Полностью
👍
ВВ
Желательно посмотреть и понять дефолтный
где его глянуть
IS
Sergey R.
по классической схеме, на инпут с ВАН разрешаем established related, разрешаем что еще нужно, остальное закрываем, по форвард тоже самое
Не так.
Сначала разрешаем весь established,related, потом инпутфорвард из локалки наружу и в конце запрещаем все остальное.
Ну это в простейшем варианте файра ессно
Сначала разрешаем весь established,related, потом инпутфорвард из локалки наружу и в конце запрещаем все остальное.
Ну это в простейшем варианте файра ессно
RB
Если да то вы просто заблочили все что приходит с приват адресов, у провайдеров мобильного интернета практически всегда назначается ip адреса из приватных диапазонов, если же конечно вы не купили публичный IP.
SR
+если нужно управлять извне - VPN
D
где его глянуть
/system default-configuration print
SR
Не так.
Сначала разрешаем весь established,related, потом инпутфорвард из локалки наружу и в конце запрещаем все остальное.
Ну это в простейшем варианте файра ессно
Сначала разрешаем весь established,related, потом инпутфорвард из локалки наружу и в конце запрещаем все остальное.
Ну это в простейшем варианте файра ессно
тут зависит от параноидальности админа, как правило хватает защиты от атак извне, хотя случаи атаки изнутри тоже имеют место
RB
где его глянуть
На вики миротика есть все статьи, и дефолтный фаервол и доп. настройки к нему со всеми объяснениями
IS
ну я так делаю, что бы разрезать доступ между подсетями. Тогда если есть явный форвард акцепт - он после первого пакета пойдет по established. А если нет явного форварда для данного напривления - дропнется на завершающих правилах