Привет всем!
Прохожу курс “Сети и VPN” здесь: yodo.im/courses/seti-i-vpn/, и столкнулся с вопросом по правилам фаервола на Mikrotik, особенно касаемо возвратного трафика от уже установленных соединений.
Я заметил, что в Mikrotik отсутствует явное правило “Implicit Deny”, поэтому я добавил его вручную для цепочек forward и input. Однако после этого возвратный трафик от уже установленных соединений начал блокироваться на WAN-интерфейсе. Сначала я думал, что фаервол Mikrotik ведет себя как простой пакетный фильтр, но документация и логи показывают, что это не так.
Когда я разрешил трафик с состоянием “established” и “related” для входящего трафика на WAN, все заработало как надо. В связи с этим у меня возникло несколько вопросов:
- У других вендоров фаерволов, например OPNsense или Palo Alto, есть ли подразумеваемое разрешение на возвратный трафик для установленных соединений, или это что-то уникальное для Mikrotik?
- Является ли правильным и безопасным разрешать возвратный трафик для уже установленных/связанных соединений на WAN-интерфейсе?
- Что еще стоит учитывать при настройке правил фаервола, чтобы избежать потенциальных рисков?
Буду признателен за любые советы и разъяснения!