Bonjour tout le monde
je vais passer sur un router Mikrotik pour mon acces web , un hac2
j'ai préconfiguré tout cela en gardant les regles firewall de la conf par défaut .
A votre connaissance , sont elle suffisantes pour être tranquille ?
j'ai modifié le no de port ssh pendant mes configuration
les régles par défaut sont les suivantes :
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; defconf: accept established,related,untracked
chain=input action=accept connection-state=established,related,untracked
2 ;;; defconf: drop invalid
chain=input action=drop connection-state=invalid
3 ;;; defconf: accept ICMP
chain=input action=accept protocol=icmp
4 ;;; defconf: accept to local loopback (for CAPsMAN)
chain=input action=accept dst-address=127.0.0.1
5 ;;; defconf: drop all not coming from LAN
chain=input action=drop in-interface-list=!LAN log=no log-prefix=""
6 ;;; defconf: accept in ipsec policy
chain=forward action=accept ipsec-policy=in,ipsec
7 ;;; defconf: accept out ipsec policy
chain=forward action=accept ipsec-policy=out,ipsec
8 ;;; defconf: fasttrack
chain=forward action=fasttrack-connection hw-offload=yes connection-state=established,related
9 ;;; defconf: accept established,related, untracked
chain=forward action=accept connection-state=established,related,untracked
10 ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid
11 ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN
si je comprends bien tout ça , la règle importante est que toutes les connections vers le routeur 'input' sont bloquées si elles arrivent par le port WAN (ether1).
et que toute connection transitant par le routeur qui ne serait pas en Nat sont aussi drop .
y a t il des choses en plus à rajouter pour un usage standard, sans redirection de port ?
merci