[Betamax]

Kas MikroTiki tulemüüri vaikimisi seadistused on piisavad või peaks veel konfigureerima?
Vaatasin, et MikroTik ise soovitab sellist varianti: https://wiki.mikrotik.com/wiki/Basic_universal_firewall_script
Ma päris võrguekspert pole, seega kõik seal 100% väga arusaadav pole.

See MikroTik läheb pisikese kontori Telia ühenduse ja sisevõrgu vahele, kus on IP telefonid, võrguprinter ja WiFi AP. Mingeid VPN ja võrgukettaid pole, sest kõik on Office365. Ehk siis väga tavaline sisevõrk.
Seega nõuandeid selle tulemüüri osas?

[Etz]

Betamax, default sätted on päris pädevad.
Ainus, mis tasub silmas pidada on see, et ipv6 paki hilisemal installil, default sätteid ipv6 tulemüüri jaoks ei genereerita, kui just karbile resetti ei tee.

Seega, kui kunagi ka ipv6 plaanis, tasuks see pakk ära installida ja siis kohe reset teha ning alles siis kõik muu ära konfida.
Siis saad ka ipv6' ele päris okei default firewalli.

[Betamax]

Väga hea. Tänud!
Hetkel IPv4 ja staatiline IP. Ei näe sellele IPv6 vajadust eriti.

[jaakjaak22]

[Dirty Harry]

Kui Telia siis on ilmselt miski Telia ruuter juba olemas. Mis tüüpi ühendus üldse on, kas avaliku IP'ga või koduühenduse-tüüpi? Sest kui on nö. tavaline kodulahendus siis võiks Telia enda ruuter oma NATiga üsna piisav "müür" olla. Kui aga avaliku IP'ga siis peab IP kuhugi suunama ja müürimine on kas just keerulisem aga...

Igaljuhul tegelikult tahtsin seda ütelda, et igasugune vaikimisi seadistus on ju tore aga ma soovitaks kulutada see väike raha ja osta asjatundjalt tunnikese tööd. Lisaks avastatakse varem või hiljem kusagil mõni auk, siis oleks hea patchida, siis jälle vahepeal on miski loogika muutunud... ei ole täitsa nii, et ostad ja unustad. Või siis saab jah osta ja unustada, kui läheb hästi sisi ei tunta huvi ja ei omata ära.

[Betamax]

Mingi vana Cisco odavam juust, mis vaikselt streikima hakanud. Ei suuda enam igal korral normaalselt käivituda ja vajab kerget resetti (mitte tehase oma). Kunagi Telia pakkus DG301, kui nende ärikliendi ühendus võeti, aga Cisco koos VPN-iga oli pädevam ja odavam tol hetkel. Staatiline IP on.

[Etz]

[Dirty Harry]

Etz, palun täpsusta enda küsimust. Minu mõte oli selles, et kõik on häkitav ning iga vidina juurde käib hooldus.

[Etz]

[Dirty Harry]

Etz, vot-vot, juba tuleb.

[warwas]

Betamax, see Sinu viidatud Tiku näide võiks enamustes olukordades ilusti pädeda.

Hiljuti netiavarustes kolades jäi aga selline asi näppu - https://rickfreyconsulting.com/rfc-mikrotik-firewall-6-1-for-ipv4-free-version/
Esimese hooga paistab nagu see sama Tiku näide aga korralikult üle võlli keeratud. Samas kui kõike ei taha kasutusele võtta, siis vähemalt korra kriitilise pilguga üle käia, äkki jääb midagi huvitavat silma.

[Betamax]

Vaatasin seda nimekirja. Võttis silme eest kirjuks. Tundub pigem nagu kellegi personaliseeritud konf. Või kuidas selgitada seda siin: "Drop all packets on Joshaven Potter".
Ja siis Sasser ja MyDoom? Kas need võivad veel kaasaegsele tarkvarale ohtlikuks osutuda, et neid blokeerima peaks?
Kergem on vist parem mitte torkima minna, sest päris palju on minu jaoks seal nö hiina keel

[jaakjaak22]

Kui admin-liideseid laiale maailmale lahti ei tee, patchimata siseteenuseid laiale maailmale lahti ei portforwardi, admin-kasutajale oskad parooli peale panna (System->Password) ja aeg-ajalt tarkvara ka patchida (System->Packages), siis on keskmiselt kena ja hea küll. Aga jah, kui IPv6 kasutuselevõtt plaanis, siis järjekord selline, et lubad ipv6 paketi, Reset Configuration ja siis omad muudatused peale, sest lihtsalt ipv6 paketti lubades IPv6 vaikimisi tulemüürireegleid pole.

[warwas]

Personaliseeritud ei ole. Need "Joshaven Potter" read on erinevate blacklistide jaoks. Aitavad müüris erinevatele kahtlastele aadressidele kohe tala anda.
Ütlen ausalt, ma pole seda exploitide listi väga põhjalikult läbi töötanud. Esimese hooga kannatakas selle kindlasti välja jätta.