Přiznám se hned na začátku: jsem úplný začátečník, co se týče Mikrotiků, nemám už taky moc času něco detailně prozkoumávat.
Pořidil jsem si hAP lite (RouterBOARD 941-2nD, RouterOS 6.41), nechal v nastavení pro domácí router, na ether1 je pověšený pppoe-out1 (asi ho přejmenuju, protože out neoznačuje směr a mate mě to), pak mám v nastavení bridge a za ním ether2-4 a wlan1.
Mikrotik mi vyrobil následující pravidla pro firewall:
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; defconf: fasttrack
chain=forward action=fasttrack-connection connection-state=established,related
2 ;;; defconf: accept established,related
chain=forward action=accept connection-state=established,related
3 ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid log=no
4 ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1 log=yes
5 chain=input action=accept protocol=icmp
6 chain=input action=accept connection-state=established
7 chain=input action=accept connection-state=related
8 chain=input action=drop in-interface=pppoe-out1 log=no
Čtu si nahlas: Fast track je nějaké zrychlení u známých spojení, budiž. Povoluje se propouštění skrz router u známých spojení, ale když to neznáme a chce to jít skrz, tak zahodit, ať už přijde odkudkoliv. Taky zahazovat, co přijde zvenku skrz ether1, tj. nezačalo ve vnitřní síti. No a pak povolujeme zvenku k routeru ICMP a známá spojení, ale zahodíme, co neznáme a přichází zvenku k routeru přes pppoe-out1.
Otázka číslo jedna: proč v pravidle č. 4 je zmíněný ether1 a v pravidle 8 pppoe-out1? Neměl bych to zahazovat už na ether1, když pppoe-out1 je interface navěšený na ether1? Nebo spíš naopak, v pravidle č. 4 mít pppoe-out1? Tenhle ppppoe-out1 je interface s IP adresou, ne ether1.
Otázka číslo dvě: kde logovat všechny nežádoucí spojení zvenku, abych věděl, že se skutečně zahazují správně? Ať už zkusím log=yes u pravidla 4 nebo 8, ukazuje se mi málo pokusů, ať mě to překvapuje. Mám na hraní ještě jedno starší Cisco, zapnutý ip inspect a vidím v logu mnohem víc bordelu.
Později bych měl ještě nějaké další dotazy.
Díky moc.