T-2 MikroTiki nimajo nastavljenega firewalla?
Objavljeno: 6. Feb 2013 ob 21:56
Ker v prejšnji temi ni bilo nobenega odgovora, poskusimo še enkrat, ker se mi zdijo te stvari pomembne. Skratka, tole je par dobronamernih vprašanj/komentarjem T-2 tehnikom in inženirjem glede konfiguracije MikroTik-ov RB951-2n, ki jih T-2 daje v paketih svojim naročnikom.
1. Zakaj ni pravil za forward chain v firewallu?
V input chain grejo paketi, namenjenu routerju samemu. Pravila za ta chain obstajajo. Potem je tu še forward chain, v katerega grejo paketi, namenjeni med omrežji (npr. WAN > LAN), v temu chainu pa pravil ni. Ker je default policy za chaine na RouterOS-u ACCEPT, to pomeni, da router spušča vso sranje iz WAN-a v LAN. Firewalla ni. Pa FTP server na portu 21 laufa po defaultu...
Link: http://wiki.mikrotik.com/wiki/How_to_co ... er#Filters
2. Zakaj je dovoljen čisto ves broadcast promet v input chainu?
Torej router dobi vse pakete, broadcastane po T-2 omrežju. Ker se ne ve, kako je jedrno T-2 omrežje skonfigurirano, se ne ve če lahko sosed broadcasta neko sranje skozi WAN port in to moj router sprejme, mogoče nekdo v istem IP rangu, ipd.? Rešitev tukaj je, da bi bil promet dovoljen le z določenih (T-2 management) IP-jev.
2. Zakaj je ntp client vklopljen?
Znana hiba pri RouterOS-u je hitro naraščanje write ciklov na flashu če je ntp client aktiven. Na mojem RB951, ki je v uporabi le 2 meseca, je pod "System > Resources > Total Sector Writes" že 140.000 writov in že 0.6% bad blockov. Če ima še kdo tu MikroTika, naj prosim objavi svoje podatke. T-2jevci pa pazite, da ne boste imeli zaradi tega masovnega odpovedovanja opreme! Poleg tega ntp žre dodatne resource (sicer res da skoraj nič) in ni nujen za delovanje, saj router razen za pisanje logov ne potrebuje vedeti točnega časa. Pa še to se da rešiti tako, da bi se ob rebootu enkrat sinhroniziral prek NTP, ne pa periodično.
Seveda sem lahko tudi kaj falil. Pa tudi pregledal sem le 1 MikroTika, predvidevam pa da ima T-2 enako konfiguracijo na vseh. Kako pa imate drugače rešeno masovno updatanje konfiguracij oziroma tudi updatanje RouterOS-a? Dajte T-2jevci kaj feedbacka oz. vsaj da se ta post pošlje naprej pravim ljudem za to.
1. Zakaj ni pravil za forward chain v firewallu?
V input chain grejo paketi, namenjenu routerju samemu. Pravila za ta chain obstajajo. Potem je tu še forward chain, v katerega grejo paketi, namenjeni med omrežji (npr. WAN > LAN), v temu chainu pa pravil ni. Ker je default policy za chaine na RouterOS-u ACCEPT, to pomeni, da router spušča vso sranje iz WAN-a v LAN. Firewalla ni. Pa FTP server na portu 21 laufa po defaultu...
Link: http://wiki.mikrotik.com/wiki/How_to_co ... er#Filters
2. Zakaj je dovoljen čisto ves broadcast promet v input chainu?
Torej router dobi vse pakete, broadcastane po T-2 omrežju. Ker se ne ve, kako je jedrno T-2 omrežje skonfigurirano, se ne ve če lahko sosed broadcasta neko sranje skozi WAN port in to moj router sprejme, mogoče nekdo v istem IP rangu, ipd.? Rešitev tukaj je, da bi bil promet dovoljen le z določenih (T-2 management) IP-jev.
2. Zakaj je ntp client vklopljen?
Znana hiba pri RouterOS-u je hitro naraščanje write ciklov na flashu če je ntp client aktiven. Na mojem RB951, ki je v uporabi le 2 meseca, je pod "System > Resources > Total Sector Writes" že 140.000 writov in že 0.6% bad blockov. Če ima še kdo tu MikroTika, naj prosim objavi svoje podatke. T-2jevci pa pazite, da ne boste imeli zaradi tega masovnega odpovedovanja opreme! Poleg tega ntp žre dodatne resource (sicer res da skoraj nič) in ni nujen za delovanje, saj router razen za pisanje logov ne potrebuje vedeti točnega časa. Pa še to se da rešiti tako, da bi se ob rebootu enkrat sinhroniziral prek NTP, ne pa periodično.
Seveda sem lahko tudi kaj falil. Pa tudi pregledal sem le 1 MikroTika, predvidevam pa da ima T-2 enako konfiguracijo na vseh. Kako pa imate drugače rešeno masovno updatanje konfiguracij oziroma tudi updatanje RouterOS-a? Dajte T-2jevci kaj feedbacka oz. vsaj da se ta post pošlje naprej pravim ljudem za to.