Добавить в корзинуПозвонить
Найти в Дзене
IT-WorkSpace
63 подписчика

MikroTik: настраиваем Firewall

1278
2 мин
В данной статье я расскажу вам, как грамотно обезопасить свою сеть от всего лишнего. Firewall в MikroTik является аналогом линуксового iptables. Он гибок в настройке, имеет массу возможностей для отражения атак извне. Контроллирует трафик по всем направлениям относительно MikroTik. Итак, начнем, базовая настройка файрволла не так сложна для понимания. Я объясню средствами терминальных команд и скриншотов. Открываем IP => Firewall => Filter rules, а также New Terminal (он понадобится для того, чтобы настраивать файрволл командами). В терминале пишем команду: /ip firewall filter Тем самым мы переходим в ветку файрволла и можем добавлять в него новые правила. Добавим первые 2 правила в цепочку INPUT и FORWARD. Эти правила будут пропускать пакеты в статусе Established/Related Добавим следующими командами в терминале: add action=accept chain=forward comment=Established/Related connection-state=established,related src-address-list="" add action=accept chain=input connection-state=establish

В данной статье я расскажу вам, как грамотно обезопасить свою сеть от всего лишнего.

Firewall в MikroTik является аналогом линуксового iptables. Он гибок в настройке, имеет массу возможностей для отражения атак извне. Контроллирует трафик по всем направлениям относительно MikroTik.

Итак, начнем, базовая настройка файрволла не так сложна для понимания. Я объясню средствами терминальных команд и скриншотов.

Открываем IP => Firewall => Filter rules, а также New Terminal (он понадобится для того, чтобы настраивать файрволл командами).

В терминале пишем команду:

/ip firewall filter
-2

Тем самым мы переходим в ветку файрволла и можем добавлять в него новые правила.

Добавим первые 2 правила в цепочку INPUT и FORWARD. Эти правила будут пропускать пакеты в статусе Established/Related

Добавим следующими командами в терминале:

add action=accept chain=forward comment=Established/Related connection-state=established,related src-address-list=""
add action=accept chain=input connection-state=established,related src-address-list=""

Правила будут выглядеть так:

-3

Мы с вами добавили 2 разрешающих правила в цепочки INPUT и FORWARD, которые разрешают прохождение исходящих и входящих пакетов в статусе Established/Related.

Далее необходимо добавить правила, которые будут отбрасывать пакеты которые приходят в статусе Invalid:

add action=drop chain=input comment=Invalid connection-state=invalid in-interface-list=WAN
add action=drop chain=forward connection-state=invalid in-interface-list=WAN

Добавили, что получилось:

-4

Добавляем еще несколько правил, а именно правило на ICMP - чтобы роутер отвечал на пинги и разрешающее правило с Winbox/SSH портами.

add action=accept chain=input comment=Winbox/SSH dst-port=8291,22 in-interface-list=WAN protocol=tcp
add action=accept chain=input comment=Icmp in-interface-list=WAN protocol=icmp

Добавили, как выглядит:

-5

Здесь важное уточнение. Открываем вкладку Address Lists, нажимаем + и создаём ново правило под названием SafeNet, диапазон адресов пишем тот, с которого хотим иметь доступ на MikroTik.

-6

Далее, чтобы правило знало об этом листе, заходим в правило Winbox/SSH на вкладку Advanced и в Src. Address List и выбираем созданный нами лист:

-7

Нажимаем ОК.

И осталось добавить 2 правила, которые будут отбрасывать все лишнее и ненужное.

add action=drop chain=input comment=Drop in-interface-list=WAN
add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=WAN

-8

На этом настройка файрволла завершена. В следующей статье я расскажу как делать пробросы портов и настраивать NAT.

Спасибо за внимание! Подписывайтесь на мой канал, будет интересно!

2