Этот скрипт включает базовые настройки безопасности:
- Отключает неиспользуемые сервисы
- Меняет стандартный порт WinBox
- Настраивает файрвол с защитой от основных типов атак
- Ограничивает доступ к управлению только из локальной сети
- Включает защиту от DoS-атак и сканирования портов
- Настраивает безопасный доступ по SSH
- Отключает обнаружение соседей
- Настраивает синхронизацию времени
Перед применением конфигурации:
- Замените '192.168.1.0/24' на ваш реальный диапазон локальной сети
- Измените порт WinBox (9218) на другой, если хотите
- Сохраните резервную копию текущей конфигурации
- Применяйте правила постепенно, проверяя работу после каждого шага
# Отключаем неиспользуемые сервисы
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
# Меняем стандартный порт для WinBox (по умолчанию 8291)
set winbox port=9218
# Настраиваем список разрешенных IP-адресов для доступа к управлению
/ip firewall address-list
add address=192.168.1.0/24 list=allowed_management comment="Локальная сеть"
# Базовые правила брандмауэра
/ip firewall filter
# Удаляем все существующие правила
remove [find]
# Добавляем новые правила
# Разрешаем установленные соединения
add chain=input connection-state=established,related action=accept comment="Разрешить установленные соединения"
# Разрешаем доступ к WinBox только из локальной сети
add chain=input protocol=tcp dst-port=9218 src-address-list=allowed_management action=accept comment="Разрешить WinBox из локальной сети"
# Защита от DoS-атак
add chain=input protocol=tcp psd=21,3s,3,1 action=add-dst-to-address-list address-list=blacklist address-list-timeout=1d comment="Обнаружение Port Scan"
add chain=input src-address-list=blacklist action=drop comment="Блокировать черный список"
# Защита от TCP SYN flood
add chain=input protocol=tcp tcp-flags=syn connection-state=new limit=50,5:packet action=accept comment="Защита от SYN flood"
add chain=input protocol=tcp tcp-flags=syn connection-state=new action=drop comment="Отбрасывать избыточные SYN пакеты"
# Блокируем все остальные входящие подключения
add chain=input action=drop comment="Отбрасывать все остальное"
# Настройка безопасного доступа по SSH (если используется)
/ip ssh
set strong-crypto=yes
set always-allow-password-login=no
# Отключаем обнаружение соседей
/ip neighbor discovery-settings
set discover-interface-list=none
# Настройка NTP для синхронизации времени
/system ntp client
set enabled=yes primary-ntp=0.pool.ntp.org secondary-ntp=1.pool.ntp.org
# Обновление прошивки (рекомендуется выполнить вручную)
#/system package update
#set channel=long-term
#check-for-updates
Понравилась статья? Подпишитесь на наш канал, чтобы не пропустить новые материалы!