Asesoramiento sobre reglas Firewall

Buenas noches, tras tiempo leyendo de aqui y allí, me he montado estas reglas. ¿Qué opinión merecen? No se si en las ultimas versiones de firmware de Mikrotik han puesto por defecto algunas mejores o no.
Fibra Jazztel con ONT uFiber Loco
Varios usuarios para IPSec
Dos sedes por IPsec/IKE2
Una red virtual wifi para invitados aislada

Código:
/ip firewall filter
add action=accept chain=forward comment="Acceso permitido - Forward" \
    in-interface=vlan1074 src-address-list=ListaBlanca
add action=accept chain=input comment="Acceso permitido - Input" \
    in-interface=vlan1074 src-address-list=ListaBlanca
add action=drop chain=input comment="Bloqueo acceso Hosts al Router" \
    in-interface=vlan1074 src-address-list=ListaNegra
add action=drop chain=forward comment="Bloqueo acceso Hosts a traves Router" \
    in-interface=vlan1074 src-address-list=ListaNegra
add action=drop chain=input comment="Bloqueo conexion IPsec" in-interface=\
    vlan1074 src-address-list=ListaNegraIPSEC
add action=add-src-to-address-list address-list=ListaNegra \
    address-list-timeout=1w chain=input comment="ListaNegra Brute Forcers" \
    dst-port=21-23,53,88,135-139,389,445,1433,3306,3389,5900,6667 \
    in-interface=vlan1074 protocol=tcp
add action=add-src-to-address-list address-list=ListaNegra \
    address-list-timeout=1w chain=input comment=\
    "ListaNegra UDP WAN DNS Lookups to prevent DDoS" dst-port=53 \
    in-interface=vlan1074 protocol=udp
add action=add-src-to-address-list address-list=ListaNegra \
    address-list-timeout=1w chain=input comment="ListaNegra Port Scanners" \
    in-interface=vlan1074 protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=ListaNegra \
    address-list-timeout=30m chain=input comment=\
    "ListaNegra SYN Flood Attacks" connection-limit=30,32 in-interface=\
    vlan1074 protocol=tcp tcp-flags=syn
add action=accept chain=forward comment="Accept established,related" \
    connection-state=established,related
add action=accept chain=input comment="Accept established,related" \
    connection-state=established,related
add action=accept chain=input comment="Conexion L2TP-IPsec" dst-port=\
    500,1701,4500 in-interface=vlan1074 protocol=udp
add action=drop chain=input comment="Accept ICMP, prevent flood" \
    icmp-options=8:0 limit=1,5:packet protocol=icmp
add action=drop chain=input comment="Drop all from WAN" in-interface=vlan1074
add action=drop chain=forward comment="Drop invalid" connection-state=invalid
add action=drop chain=forward comment=\
    "Drop comunicaci\F3n de LAN a Invitados" dst-address=192.168.20.0/24 \
    src-address=192.168.12.0/24
add action=drop chain=forward comment=\
    "Drop comunicaci\F3n de Invitados a LAN" dst-address=192.168.12.0/24 \
    src-address=192.168.20.0/24

Salu2!! ;)
 
Haz un backup de lo que tienes. Dale un reset al equipo, sin marcar el “no default configuration” y tendrás las reglas que monta él por defecto. Así las analizas y comparas.

En mi opinión, las que monta él mismo y que trabajan con listas de interfaces son muy buenas, a la par que versátiles, en cuanto a que valen para prácticamente cualquier tipo de conexión.

Saludos!
 
Arriba