Версия для печати темы

Нажмите сюда для просмотра этой темы в обычном формате

PCROUTER.RU Форум _ Фаервол _ Не могу заблокировать левый трафик по forward

Автор: dssdfsdaf 24.2.2018, 14:04

Всем привет, у меня не самая простая настройка файервола, по этой причине не могу разобраться как правильно выстроить правила, что бы заблокировать левый трафик по forward, в типичной настройке мы разрешаем established и related а так же все пакеты из нашей локалки в Интернет, ну и дальше блокируем все по forward, после чего все левое должно дропаться, но когда я это делают, у меня все равно блочится Интернет. И я не могу понять что за трафик у меня в итоге в forward дропается, dns запросов в нем нет, возможно это трафик в виде новых подключений, но если у нас разрешены все исходящие из локальной, то по идее новые блочится не будут. Возможно этот трафик это ответ который прилетает к нам после запроса о dns, но тогда как его правильно промаркеровать? Ну и буду признателен, если укажете на какие-то еще косяки в конфиге, они явно могут быть.

Изображение

Изображение

Изображение

Трафик если я его блокирую по forward, Интернет в этот момент пропадает, хотя исходящие из локальной сети в Интернет разрешены:
Изображение

Изображение

Автор: Vasia 24.2.2018, 17:54

Не увидел настройки маршрутов, не увидел настройки нат, вероятно это не настроено, поэтому и не работает

Автор: dssdfsdaf 24.2.2018, 19:34

Цитата(Vasia @ 24.2.2018, 17:54) *

Не увидел настройки маршрутов, не увидел настройки нат, вероятно это не настроено, поэтому и не работает

Извиняюсь smile.gif

Изображение

Изображение

Автор: Vasia 25.2.2018, 0:29

Ваши марки в роутах не используются. Все настраивается по другому.

Автор: dssdfsdaf 25.2.2018, 1:27

Цитата(Vasia @ 25.2.2018, 0:29) *

Ваши марки в роутах не используются. Все настраивается по другому.

Подскажете как? Мои марки используются в приотеризации.

Автор: Vasia 25.2.2018, 3:06

В фильтрах делаете правила разрешающие прохождение трафика в примере разрешен 443 порт tcp 1 правило
Надо разрешить днс и другие сервисы

Код

/ip firewall filter> print
......
1    chain=forward action=accept protocol=tcp dst-port=443 log=no log-prefix=""
......Тут много разрешенных соединений...........
30 X  chain=forward action=reject reject-with=icmp-net-prohibited log=no
      log-prefix=""
.........32-33 правило дублируете для wan...........
32    chain=input action=reject reject-with=tcp-reset connection-state=new
      protocol=tcp in-interface=byfly log=no log-prefix=""
33    chain=input action=drop connection-state=new in-interface=byfly log=no
      log-prefix=""

Весь разрешенный трафик проходит через forward а остальной блокируется 30м правилом