IPB

Здравствуйте, гость ( Вход | Регистрация )

-->
 
Ответить в эту темуОткрыть новую тему
> Построение списка правил IP - Firewall - Filter Rules
iFFgen
сообщение 24.11.2015, 14:44
Сообщение #1


Новичок
*

Группа: Пользователи
Сообщений: 4
Регистрация: 24.11.2015
Пользователь №: 6 599




Подскажите, пожалуйста, есть ли смысл в такой форме построения списка правил Filter Rules:
Код

/ip firewall filter

add chain=forward action=jump jump-target=ForwardChains
add chain=input action=jump jump-target=InputChains

add chain=ForwardChains action=accept comment="Accept established connections" connection-state=established
add chain=ForwardChains action=accept comment="Accept related connections" connection-state=related
add chain=ForwardChains action=drop comment="Drop invalid connections" connection-state=invalid
# другие правила в цепочке forward

add chain=InputChains action=accept comment="Accept established connections" connection-state=established
add chain=InputChains action=accept comment="Accept related connections" connection-state=related
add chain=InputChains action=drop comment="Drop invalid connections" connection-state=invalid
add chain=InputChains action=accept comment="Accept packets only from Lan" src-address=192.168.1.0/24
add chain=InputChains action=drop comment="Drop everything else"
# другие правила в цепочке input



Или все-таки при попадании пакета input будут проверяться только правила 'input', хотя они будут стоять ниже forward в списке? (надеюсь более-менее понятно написал)
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Vasia
сообщение 24.11.2015, 17:24
Сообщение #2


Активный участник
***

Группа: Пользователи
Сообщений: 295
Регистрация: 8.4.2011
Пользователь №: 1 154



Что то вы тут не хорошее задумали smile.gif
Filter работает так, все правила по очереди просматриваются в таблице фильтр до первого совпадения, если правило сработало, то дальше правила не просматриваются.
Вам поможет эксперимент, у каждого правила есть статистика попаданий, вот по ней и смотрите что происходит
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
iFFgen
сообщение 24.11.2015, 22:01
Сообщение #3


Новичок
*

Группа: Пользователи
Сообщений: 4
Регистрация: 24.11.2015
Пользователь №: 6 599




Цитата(Vasia @ 24.11.2015, 17:24) *

Что то вы тут не хорошее задумали smile.gif
Filter работает так, все правила по очереди просматриваются в таблице фильтр до первого совпадения, если правило сработало, то дальше правила не просматриваются.
Вам поможет эксперимент, у каждого правила есть статистика попаданий, вот по ней и смотрите что происходит

В том то и дело что правил может быть много (и 50, и 100)... и получается если будет то условие, которое должно сработать 97-ым, то перед эти пакет должен пройти 96 ненужных проверок - уж очень накладно, как мне кажется будет.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Vasia
сообщение 24.11.2015, 23:36
Сообщение #4


Активный участник
***

Группа: Пользователи
Сообщений: 295
Регистрация: 8.4.2011
Пользователь №: 1 154



В tools есть profiles который показывает чем занят процессор. Вот вам поле для опытов. И что за такие 100 правил?
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
iFFgen
сообщение 25.11.2015, 0:11
Сообщение #5


Новичок
*

Группа: Пользователи
Сообщений: 4
Регистрация: 24.11.2015
Пользователь №: 6 599



Цитата(Vasia @ 24.11.2015, 23:36) *

В tools есть profiles который показывает чем занят процессор. Вот вам поле для опытов. И что за такие 100 правил?


Вот вам все надо расспросить biggrin.gif
Как вариант, какое-то количество запретов для различных групп пользователей, фильтры и т.д. (это не суть важно).
Главное, все-таки хотелось бы знать (не могу нигде про это прочитать что-то): если пришел пакет в цепочку input, будет ли он "прогнан" по всем вышестоящим правилам (даже не-input), до того как дойдет до подпадающего под него правила? Или input проверяется только в input-правилах, игнорируя forward и иные?

Своим первоначальным вопросом целесообразности хотел просто узнать надо ли "ловить" пакет input и сразу отправлять его в группу правил только для input, forward - соответственно в группу forward-правил.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
iFFgen
сообщение 25.11.2015, 11:11
Сообщение #6


Новичок
*

Группа: Пользователи
Сообщений: 4
Регистрация: 24.11.2015
Пользователь №: 6 599




Все, вопрос снимается. Нашел где оговаривается сей момент:
https://www.mikrotik.com/testdocs/ros/2.9/ip/filter.php
Цитата

There are three predefined chains, which cannot be deleted:
input - used to process packets entering the router through one of the interfaces with the destination IP address which is one of the router's addresses. Packets passing through the router are not processed against the rules of the input chain
forward - used to process packets passing through the router
output - used to process packets originated from the router and leaving it through one of the interfaces. Packets passing through the router are not processed against the rules of the output chain.

Пакеты, проходящие через маршрутизатор не обрабатываются по правилам input цепи.
Т.е. нет смысла в такой записи как я предполагал.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
« Предыдущая тема · Фаервол · Следующая тема »
 

Ответить в эту темуОткрыть новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



Текстовая версия Сейчас: 18.7.2019, 3:26