Optimalizácia firewallu

ekrajnak

Zdravím.

Chcel by som vás poprosiť o rady, ako optimalizovať firewall na mikrotiku. Problém je, že pri vyšších dátových tokoch firewall berie 60% aktuálneho vyťaženia CPU. Je tam dosť pravidiel, možno by trebalo niečo vyhodiť alebo premiestniť. Okrem tých blokácii portov sa mi javí ako dosť účinný (hlave odchyt SSH attackerov, port scannerov a pod.). Jedná sa mi iba o IPv4 firewall.

home.ekrajnak.com

meno: ispforum

heslo: ispforum

Vďaka za každý tip ;)

goblajz

Prvně bych odinstaloval všechny nepotřebný balíčky co tam máš naládovaný.

Co znamená vyšší datovej tok? Kolik?

ekrajnak

Ktoré balíčky myslíš? Veď všetky sa používajú.

Vyšší dátový tok znamenal bandwidth test (127.0.0.1 alebo z iného zariadenia). => 100Mbps+.

goblajz

Tyhle tam máš zbytečně: calea, gps, hotspot, mpls, multicast, openflow, ppp, ups, user-manager

ekrajnak

A to vadí ak tam sú a sú deaktivované?

aliney

napriklad SSH brute force pravidla mas celkem k nicemu,

povoleny rozsah je v /ip services jen vnitrni sit, takze neni proc to mit jeste ve firewallu, a jestli se bojis utoku "z vlastnich rad", tak si prehod SSH na 222,telnet na 233 a usetril si min. 6 pravidel

ty pravidla Drop virus mas zbytecne zdvojene, misto src a dst port zvlast dej do jednoho any port a mas zase usetreno... Nejlepe to vyhod vsechno, takovy virus firewall je celkem useless, navic v tech src portech dropnes akorat sam sebe, kdyz si bude aplikace chtit otevrit spojeni ven na legitimnim portu a ty to zahodis

A taky by me zajimalo kdy se dostane FW na 60% , kdyz tam mas jen par pravidel.

ekrajnak

Okej tieto veci beriem :)

Tak vyťaženie 63% viď. screenshot.

<--- ia0 -->bt - firewall.png<--- ia0 -->

kozlicek

Okej tieto veci beriem :)

Tak vyťaženie 63% viď. screenshot.

bt - firewall.png

ta 2011 te vic neda pro Bteste.

contofal

ta 2011 te vic neda pro Bteste.

Ja mam tu prieputstnost na 2011 kus vyssiu ...

Aj ked pravidla FW mam kus inac a menej.

ekrajnak

Cim to moze byt? Aj ked som skusil vsetky pravidla FW disablovat, vysledky btestu boli bez vacsich rozdielov.

contofal

Ahoj,

Pre istotu napisem, ze pokial cakas odpoved odo mna tak ju neviem a tiez ma zajima v com mas problem.

Iba som si spravil u seba rovnaky test ako robis ty a vysledky som mal ine. Tak som ich tu pre istotu pastol.

Nieco tipujem ale guru nie som ... a dohady tu pisat nechcem.

S mikrotikmi iba zacinam.

PS:

Ak mas zaujem na SZ ti mozem pripadne poslat demo mojej domacej 2011 pripadne skype kontakt.

aliney

ono to fakt funguje :-D

tyjo, tak to me treba nikdy nenapadlo zkusit Btest na 127.0.0.1 :-D jako logicky to je "jasne", ale ... no, clovek se porad uci.

michnzee

Já bych se možná trochu bál toho L7 filtru, neb tohle žere asi ze všeho nejvíc...jako jo, já L7 filtrování taky používám ale jen v hodně střízlivým rozsahu kdysi jsem tam nasypal taky různý filtrování všeho možnýho ale pak i blbý načtení stránky a každej request žral neskutečně moc prostředků cpu.

ekrajnak

To som tam hodil asi predvcerom. Skusal som rozne blbosti. Ale nikde v mangle sa to nepouziva, takze by to cpu brat nemalo. A test bol vykonany bez tychto l7 pravidiel.

ekrajnak

Zdravím,

takže s pomocou contofal -a som upravil firewall. Teraz už dosahujem úplne rozdielne výsledky. Myslíte že je lepší, alebo tam je ešte čo doťahovať? Viem ... ten moj virus chain je celý nanič, ale chcem aspoň podľa counterov vydieť, či sa tam niečo chytí.

Vďaka