T-2 MikroTiki nimajo nastavljenega firewalla?

Vse o T-2 internetu
Odgovori
Uporabniški avatar
Seeker
Navdušenec
Prispevkov: 646
Pridružen: 29. Avg 2006 ob 21:41
T-2: Še nimam

T-2 MikroTiki nimajo nastavljenega firewalla?

Odgovor Napisal/-a Seeker » 6. Feb 2013 ob 21:56

Ker v prejšnji temi ni bilo nobenega odgovora, poskusimo še enkrat, ker se mi zdijo te stvari pomembne. Skratka, tole je par dobronamernih vprašanj/komentarjem T-2 tehnikom in inženirjem glede konfiguracije MikroTik-ov RB951-2n, ki jih T-2 daje v paketih svojim naročnikom.


1. Zakaj ni pravil za forward chain v firewallu?

V input chain grejo paketi, namenjenu routerju samemu. Pravila za ta chain obstajajo. Potem je tu še forward chain, v katerega grejo paketi, namenjeni med omrežji (npr. WAN > LAN), v temu chainu pa pravil ni. Ker je default policy za chaine na RouterOS-u ACCEPT, to pomeni, da router spušča vso sranje iz WAN-a v LAN. Firewalla ni. Pa FTP server na portu 21 laufa po defaultu...

Link: http://wiki.mikrotik.com/wiki/How_to_co ... er#Filters


2. Zakaj je dovoljen čisto ves broadcast promet v input chainu?

Torej router dobi vse pakete, broadcastane po T-2 omrežju. Ker se ne ve, kako je jedrno T-2 omrežje skonfigurirano, se ne ve če lahko sosed broadcasta neko sranje skozi WAN port in to moj router sprejme, mogoče nekdo v istem IP rangu, ipd.? Rešitev tukaj je, da bi bil promet dovoljen le z določenih (T-2 management) IP-jev.


2. Zakaj je ntp client vklopljen?

Znana hiba pri RouterOS-u je hitro naraščanje write ciklov na flashu če je ntp client aktiven. Na mojem RB951, ki je v uporabi le 2 meseca, je pod "System > Resources > Total Sector Writes" že 140.000 writov in že 0.6% bad blockov. Če ima še kdo tu MikroTika, naj prosim objavi svoje podatke. T-2jevci pa pazite, da ne boste imeli zaradi tega masovnega odpovedovanja opreme! Poleg tega ntp žre dodatne resource (sicer res da skoraj nič) in ni nujen za delovanje, saj router razen za pisanje logov ne potrebuje vedeti točnega časa. Pa še to se da rešiti tako, da bi se ob rebootu enkrat sinhroniziral prek NTP, ne pa periodično.


Seveda sem lahko tudi kaj falil. Pa tudi pregledal sem le 1 MikroTika, predvidevam pa da ima T-2 enako konfiguracijo na vseh. Kako pa imate drugače rešeno masovno updatanje konfiguracij oziroma tudi updatanje RouterOS-a? Dajte T-2jevci kaj feedbacka oz. vsaj da se ta post pošlje naprej pravim ljudem za to.

Uporabniški avatar
lithium
Nadebudnež
Prispevkov: 463
Pridružen: 30. Nov 2006 ob 19:52
T-2: Že imam
Paket: VDSL 8/1

Re: T-2 MikroTiki nimajo nastavljenega firewalla?

Odgovor Napisal/-a lithium » 8. Feb 2013 ob 09:51

> Znana hiba pri RouterOS-u je hitro naraščanje write ciklov na flashu

Kje si pa to zvedel?
Načeloma ima lahko ta flash ogromno write-ov ...

Sam imam svoj Mikrotik (doma RB751U-2HnD, v firmi RB1200) in ja, potrebno je nastaviti (onemogočiti) kar nekaj stvari, preden je zadeva primerna za na net...

Evo, podatki o Write sectors:
RB751U-2HnD: Total 476 978 (0% bad blocks)
RB1200: Total: 1 350 207 (0% bad blocks)
Slika
Neuradni forum Telemacha -> forum070.net

Uporabniški avatar
Seeker
Navdušenec
Prispevkov: 646
Pridružen: 29. Avg 2006 ob 21:41
T-2: Še nimam

Re: T-2 MikroTiki nimajo nastavljenega firewalla?

Odgovor Napisal/-a Seeker » 20. Feb 2013 ob 19:10

Vzel si iz konteksta, saj manjka bistven del stavka: "Znana hiba pri RouterOS-u je hitro naraščanje write ciklov na flashu če je ntp client aktiven." Vir so pa lahko kar MikroTikovi support forumi, Google najde dosti na to temo. Ne razumem kaj ima ntp client sploh za šariti po flashu pri periodičnem posodabljanju ure; prebere parametre in zapiše čas v RAM. Brez enega write cikla na flashu.

Skratka, T-2-jevi MikroTiki bi imeli lahko izključen NTP. Ni pa to bistven problem, firewall nastavljen na "švicarski sir" pa se mi zdi problematičen. Me prav zanima, kako so šele nastavljene naprave kjer ni vpogleda (Innotek al kaj že). Tistega se sam s palico ne bi taknil.

ŽGI
Faca
Prispevkov: 115
Pridružen: 2. Sep 2008 ob 10:30
T-2: Že imam
Paket: 100/100 + IPTV
Kraj: Novo mesto

Re: T-2 MikroTiki nimajo nastavljenega firewalla?

Odgovor Napisal/-a ŽGI » 17. Mar 2013 ob 15:05

Prilagam link do nekaj osnovnih nastavitev in nasvetov za nastavljanje firewall-a mikrotika.

http://wiki.mikrotik.com/wiki/Securing_ ... rOs_Router
Slika

Odgovori