2021-11-13 10:52:22
МРАКОБЕСИЕ НА MIKROTIK
У меня часто спрашивают, как правильно настраивать файрвол. Если вы не забыли, то я еще и сертифицированный тренер MikroTik и занимаюсь подготовкой инженеров. Я давно уже понял, что помимо того, что надо рассказывать, как надо делать, надо еще и обязательно рассказывать, как НЕ надо делать. Поэтому в этом посте я расскажу, как НЕ надо настраивать файрвол.
Начнем мы сразу с первого места. Блокировка BOGON. На них молятся, из правил для блокировки BOGON'ов делают иконостасы. Но при этом ни один из представителей "Секты любителей блокировки BOGON" не смог ответить мне на вопрос "А что дополнительно вы хотите заблокировать, если будет использоваться самый обычный нормально закрытый файрвол?". После этого вопроса у противоположной стороны вначале обычно наступает легкий шок, после того как шок проходит, говорят что-то из следующего:
1. Так принято делать.
2. Об этом написано в статье...
3. Блокировка BOGON нужна для того, чтобы...
Обратите внимание, что ни один из этих ответов не отвечает на вопрос "А что дополнительно вы хотите заблокировать, если будет использоваться самый обычный нормально закрытый файрвол?".
Блокировка TCP-соединений по флагам. Выглядит ну очень умно. По факту никто внятно не может объяснить, что это и зачем нужно. Все только конфиги друг у друга копипастят.
Правила-пустышки. Правила, которые на самом деле ничего не делают. Вот совсем ничего. Ну разве что нагрузку на процессор увеличивают.
Использование нормально открытого файрвола для трафика, входящего из недоверенных сетей.
Неверный порядок правил.
Некорректное использование Fast Track.
Если вас интересует более подробное описание этих пунктов, то можно ознакомиться с ним в этой статье.
=====
Комментарии пишите не в чате @kursy_po_it, а в комментариях к посту на канале @mikrotik_sensei. Это поможет избежать путаницы и гарантирует, что ваше сообщение будет отнесено туда, куда и следует.
3.3K viewsedited 07:52