Nejjednodušší rychlý firewall na MikroTiku

Nejjednodušší rychlý firewall na MikroTiku
« kdy: 06. 11. 2024, 10:37:12 »
Prosím všechny znalce Mikrotiku o pomoc s návrhem co nejjednoduššího firewallu na Mikrotiku. Nejsem síťař, není to pro žádnou firmu. Mám dva routery za sebou, bezpečnost mezi internetem a vnitřní sítí je řešena prvním routerem - nyní neřeším.
Na druhém routeru běží WireGuard. Dvě jednoduchá pravidla mezi WireGuard a bridge (LAN), kdy prvním se povolí určité dst porty a druhým zakáže vše ostatní umím, i odchozí src nat z LAN do Wireguard, případně maškarádu něčeho z LAN do WAN na první router. Samozřejmě ještě musí být accept pro port s WireGuard. Co ale ostatní pravidla? co by tam ještě mělo být a co je zbytečné? Chci aby to bylo co nejjednodušší a co nejrychlejší, bezpečnost je řešena již na prvním routeru.

V default firewallu je ještě pro input a forward drop invalid a accept estabilished, related, untracked a drop všeho co nepochází z LAN. Dále je tam fasttrackconnection, významu tohoto pravidla úplně nerozumím. Toto pravidlo vytvoří ještě pravidlo passtrough a to v Rules i v Raw.
Obecně těch pravidel chci co nejméně. Děkuji za pomoc s odladěním.


Re:Nejjednodušší rychlý firewall na MikroTiku
« Odpověď #1 kdy: 06. 11. 2024, 12:49:22 »
S fasttrack přes firewall projde jen první paket navazující spojení, ostatní pakety téhož spojení už firewall obchází.
Na IP4 to snižuje zátež CPU a 4-5x zvýší propustnost routeru. Pro IP6 RouterOS fasttrack neumí.