Elektromat
Experte
Servus,
nachdem nun alles halbwegs stabil läuft, mal ne frage in richtung Firewall konfig.
Wenn ich das richtig verstanden habe, sollte man darauf achten das man zuerst in der Firewall eine Regel (0) hat
Die Quellen welche ich angesehen habe haben immer auf folgende Regel verwiesen:
input (von außen zum MT) - accept - established, related, new
wenn ich mir die erste Standard Regel ansehe lautet diese aber allow established, related, untracked.
Habt ihr zufällig ein Beispiel was ein untracked Connection state wäre? Bzw. eine new Connection. Ist dies die PPPoE Einwahl? Oder geht es um jegliche neue Port Verbindung, welche nicht folgen auf deny steht?
Established sollte ja schon hergestellt sein, wie auch related Connectionst in entsprechender Abhängigkeit.
Leider verstehe ich es nicht wirklich, zumindest wenn ich denke das es eine new Connection wäre, die dürfte dann ja nicht durch gehen. Bisher habe ich nicht festgestellt das etwas nicht funktioniert..
Die Drops hierzu bzw am Ende der Firewall sollten ja alles andere was nicht benannt ist verhindern. Da ohne Regel alles erlaubt ist, oder?
Sollte man somit die untracked Connections in jedem Falle verbieten?
Ich versuche so langsam etwas mehr Durchblick zu erhalten. Auf Udemy gibt es entsprechend interessante MikroTik Kurse.
Grüße
Elektromat
nachdem nun alles halbwegs stabil läuft, mal ne frage in richtung Firewall konfig.
Wenn ich das richtig verstanden habe, sollte man darauf achten das man zuerst in der Firewall eine Regel (0) hat
Die Quellen welche ich angesehen habe haben immer auf folgende Regel verwiesen:
input (von außen zum MT) - accept - established, related, new
wenn ich mir die erste Standard Regel ansehe lautet diese aber allow established, related, untracked.
Habt ihr zufällig ein Beispiel was ein untracked Connection state wäre? Bzw. eine new Connection. Ist dies die PPPoE Einwahl? Oder geht es um jegliche neue Port Verbindung, welche nicht folgen auf deny steht?
Established sollte ja schon hergestellt sein, wie auch related Connectionst in entsprechender Abhängigkeit.
Leider verstehe ich es nicht wirklich, zumindest wenn ich denke das es eine new Connection wäre, die dürfte dann ja nicht durch gehen. Bisher habe ich nicht festgestellt das etwas nicht funktioniert..
Die Drops hierzu bzw am Ende der Firewall sollten ja alles andere was nicht benannt ist verhindern. Da ohne Regel alles erlaubt ist, oder?
Sollte man somit die untracked Connections in jedem Falle verbieten?
Ich versuche so langsam etwas mehr Durchblick zu erhalten. Auf Udemy gibt es entsprechend interessante MikroTik Kurse.
Grüße
Elektromat