Базовая настройка брандмауэра Mikrotik

Обновлено: 22.11.2024

Следующие шаги являются рекомендациями по защите маршрутизатора. Мы настоятельно рекомендуем оставить брандмауэр по умолчанию, он может быть исправлен другими правилами, которые соответствуют вашим требованиям к настройке. Другие настройки и параметры конфигурации для повышения безопасности вашего маршрутизатора описаны позже. Чтобы узнать, какие методы безопасности используются внутри RouterOS, прочитайте статью о безопасности.

Содержание

Версия RouterOS

Начните с обновления версии RouterOS. Некоторые старые выпуски имели определенные недостатки или уязвимости, которые были исправлены. Обновляйте свое устройство, чтобы быть уверенным в его безопасности. Нажмите «Проверить наличие обновлений» в Winbox или Webfig для обновления. Мы предлагаем вам следить за объявлениями в нашем блоге объявлений о безопасности, чтобы получать информацию о любых новых проблемах безопасности.

Доступ к маршрутизатору

Доступ к имени пользователя

Измените имя пользователя по умолчанию admin на другое имя, пользовательское имя поможет защитить доступ к вашему маршрутизатору, если кто-то получит прямой доступ к вашему маршрутизатору.

Предупреждение. Используйте безопасный пароль и другое имя для имени пользователя маршрутизатора.

Пароль доступа

Маршрутизаторы MikroTik требуют настройки пароля, мы рекомендуем использовать pwgen или другой генератор паролей для создания безопасных и неповторяющихся паролей,

Еще один вариант установки пароля

Мы настоятельно рекомендуем использовать второй метод или интерфейс Winbox для установки нового пароля для вашего маршрутизатора, просто чтобы обезопасить его от несанкционированного доступа.

Доступ по IP-адресу

Помимо того, что брандмауэр по умолчанию защищает ваш маршрутизатор от несанкционированного доступа из внешних сетей, вы можете ограничить доступ по имени пользователя для определенного IP-адреса

x.x.x.x/yy — ваш IP-адрес или подсеть, которой разрешен доступ к вашему маршрутизатору.

Примечание. Войдите на маршрутизатор с новыми учетными данными, чтобы убедиться, что имя пользователя и пароль работают.

Службы маршрутизатора

Все производственные маршрутизаторы должны администрироваться с помощью SSH, защищенных служб Winbox или HTTPs. Используйте последнюю версию Winbox для безопасного доступа. Обратите внимание, что в новейших версиях Winbox «Безопасный режим» включен по умолчанию и больше не может быть отключен.

Службы RouterOS

Большинство инструментов администрирования RouterOS настроены в

Оставляйте только безопасные,

а также изменить порт по умолчанию, это немедленно остановит большинство случайных попыток входа в SSH методом перебора:

Кроме того, каждый объект службы /ip может быть защищен разрешенным IP-адресом (на который будет отвечать служба адресов)

MAC-доступ RouterOS

В RouterOS есть встроенные опции для простого управления доступом к сетевым устройствам. Конкретные службы должны быть отключены в рабочих сетях.

MAC-Telnet

Отключить службы mac-telnet,

MAC-Winbox

Отключить службы mac-winbox,

MAC-пинг

Отключить службу mac-ping,

Обнаружение соседей

Протокол обнаружения соседей MikroTik используется для отображения и распознавания других маршрутизаторов MikroTik в сети, отключения обнаружения соседей на всех интерфейсах

Сервер пропускной способности

Сервер пропускной способности используется для проверки пропускной способности между двумя маршрутизаторами MikroTik. Отключите его в производственной среде.

Кэш DNS

На маршрутизаторе может быть включен кеш DNS, что сокращает время обработки DNS-запросов от клиентов к удаленным серверам. Если на вашем роутере не требуется кеш DNS или для этих целей используется другой роутер, отключите его.

Другие услуги для клиентов

В RouterOS могут быть включены другие службы (они отключены в конфигурации RouterOS по умолчанию). кеширующий прокси MikroTik,

Socks-прокси MikroTik,

Сервис MikroTik UPNP,

Служба динамических имен MikroTik или облако IP,

Более безопасный доступ по SSH

RouterOS использует более надежную криптографию для SSH, большинство новых программ используют ее, чтобы включить надежную криптографию SSH:

Интерфейс маршрутизатора

Интерфейсы Ethernet/SFP

Рекомендуется отключать все неиспользуемые интерфейсы на вашем маршрутизаторе, чтобы уменьшить несанкционированный доступ к вашему маршрутизатору.

Некоторые RouterBOARD имеют ЖК-модуль для информационных целей, установите PIN-код или отключите его.

Брандмауэр

Мы настоятельно рекомендуем не отключать брандмауэр по умолчанию. Вот несколько настроек, чтобы сделать его более безопасным, обязательно применяйте правила, когда понимаете, что они делают.

Брандмауэр IPv4 для подключения к маршрутизатору

  • работа с новыми подключениями для снижения нагрузки на маршрутизатор;
  • создайте список адресов для IP-адресов, которым разрешен доступ к вашему маршрутизатору;
  • включить доступ ICMP (необязательно);
  • отбросить все остальное, log=yes может быть добавлено для протоколирования пакетов, соответствующих определенному правилу;

Брандмауэр IPv4 для клиентов

  • Установленные/связанные пакеты добавляются в ускоренный режим для более быстрой передачи данных, брандмауэр будет работать только с новыми подключениями;
  • удалить недействительные соединения и зарегистрировать их с недопустимым префиксом;
  • отбрасывать попытки доступа к непубличным адресам из вашей локальной сети, перед этим примените address-list=not_in_internet, bridge1 – это локальный сетевой интерфейс, регистрируйте попытки с помощью !public_from_LAN;
  • отбрасывать входящие пакеты, которые не прошли NAT, ether1 является общедоступным интерфейсом, попытки регистрировать с префиксом !NAT;
  • отбрасывать входящие пакеты из Интернета, которые не являются общедоступными IP-адресами, ether1 является общедоступным интерфейсом, логировать попытки с префиксом !public;
  • отбрасывать пакеты из локальной сети, у которой нет сетевого IP-адреса, 192.168.88.0/24 – это подсеть, используемая локальной сетью;

В настоящее время пакет IPv6 отключен по умолчанию. Включайте пакет с осторожностью, так как RouterOS в настоящее время не будет создавать правила брандмауэра по умолчанию для IPv6.

IPv6 НД

Отключить обнаружение соседей IPv6

Брандмауэр IPv6 для подключения к маршрутизатору

  • работа с новыми пакетами, прием установленных/связанных пакетов;
  • удалить локальные адреса ссылок из интернет-интерфейса;
  • разрешить доступ к маршрутизатору с локальных адресов, принять многоадресные адреса для целей управления, принять ваш адрес для доступа к маршрутизатору;
  • отбросить что-либо еще;

Брандмауэр IPv6 для клиентов

Включенный IPv6 делает ваших клиентов доступными для общедоступных сетей, установите надлежащий брандмауэр для защиты ваших клиентов.

Пн, 11 июня 2018 г., 16:10

Во-первых, еще раз спасибо Anav за помощь в настройке маршрутизатора. Сегодня мне просто нужно запустить брандмауэр, и я думаю, что все в порядке.

Теперь, как я уже говорил в своем последнем посте, у меня есть 3 сети. Две из этих сетей будут иметь еще один маршрутизатор (один маршрутизатор является домашним маршрутизатором Linksys, а другой — маршрутизатором Fortinet, управляемым другой компанией). Третья сеть — это в основном открытый Wi-Fi для гостей. Так что на самом деле мне не нужно ничего слишком жесткого для настройки брандмауэра, только основы.

Просто для справки, это мой другой пост с настройкой, с которой мне помог Anav. viewtopic.php?f=13&t=135387

Пн, 11 июня 2018 г., 17:32

Нет, не рекомендую. С одной стороны, это старо.
Как обсуждалось в предыдущей теме, список богонов не беспокоит владельцев домов, и правила удаления по умолчанию в любом случае соблюдаются.

Остальное тоже много шума.
простота предназначена для цепочек ввода и пересылки.

- принять установленные, связанные, неотслеживаемые
- удалить недействительные
- разрешить необходимые правила (цепочка ввода для администратора на маршрутизатор, цепочка переадресации для локальной сети в Интернет)
- удалить все остальное

Жюри все еще не решило, лучше поставить недействительным первое или второе. Любые берущие, которые умнее (например, 95% постеров здесь LOL)

Если вы хотите пофантазировать, найдите хороший источник черных списков в виде списка адресов и
/ip raw add chain=prerouting in-interface(-list)=WAN action=drop

Что касается ICMP, то можно либо включить, либо отключить простое правило, когда вы хотите, чтобы оно использовалось.
/ip firewall filter add chain=input protocol=1-icmp action=accept (отключить, если не требуется)

Я предпочитаю управлять крысами, а не программным обеспечением. Следуйте моим советам на свой страх и риск! (Sob & mkx вынудили меня написать это!)
Сертификат MTUNA от Ascerbic Llama!

Пн, 11 июня 2018 г., 19:01

Это правила брандмауэра по умолчанию на устройствах SOHO Mikrotik. Их достаточно для всех основных целей:

Вы можете отключить правила ICMP и IPSEC, особенно ICMP, если глобальная сеть устройства находится в Интернете.

@anav, относительно легко определить, где правило должно быть размещено по умолчанию. Правила обрабатываются сверху вниз, поэтому, если вы не настраиваете исключение для другого правила, находящегося ниже (или какой-либо другой зависимости между правилами), порядок по умолчанию всегда должен быть таким, какое правило соответствует большинству пакетов, перечисленных перед другими. Это сводит к минимуму время, затрачиваемое ЦП на стадию медленного брандмауэра, и, следовательно, снижает нагрузку на ЦП. Таким образом, практически для любой конфигурации или контекста установленных соединений должно быть намного больше, чем недействительных пакетов, что делает установленные более высокие приоритеты.

Пн, 11 июня 2018 г., 19:36

Спасибо, сжимаю, но я так плохо разбираюсь в сети, что большинство моих пакетов недействительны, LOL.

Что касается базовой настройки, то микротик предоставляет ее по умолчанию, и она довольно хороша.

Как уже отмечалось, я предпочитаю и тяготел к отказу от всего подхода и разрешению трафика вместо того, что предоставляется
по умолчанию, что основано на предпосылке принятия всего, кроме того, что блокируется одним!

В конце концов, в худшем случае я блокирую требуемый трафик, а с помощью ведения журнала и т. д. я могу это выяснить и настроить.
В разрешенной модели я содрогаюсь от последствий,

Я предпочитаю управлять крысами, а не программным обеспечением. Следуйте моим советам на свой страх и риск! (Sob & mkx заставили меня это написать!)
Сертификат MTUNA от Ascerbic Llama!

Вт, 12 июня 2018 г., 17:20

Брандмауэр по умолчанию достаточно приличный. Я переписал его по своему вкусу, но в основе лежал здравый смысл в сочетании с этим.

Если вы хотите попробовать это самостоятельно, используйте основные настройки по умолчанию и постарайтесь заблокировать все, принимая только то, что хотите.

Вт, 12 июня 2018 г., 17:29

И последнее. Я хотел бы сделать так, чтобы только подключившись к порту 5, вы могли получить доступ к функциям администратора маршрутизатора. Таким образом, люди, такие как случайные гости, не могут получить доступ к веб-интерфейсу, просто угадывая правильный IP-адрес или что-то в этом роде.

Я помню, что видел что-то об этом в той старой вики-записи, но, поскольку вы говорите, что это старо, возможно, есть лучший способ сделать это.

Вт, 12 июня 2018 г., 19:07

У вас за вашим маршрутизатором работают страшные люди, которые хотят причинить такой вред!!

Во-первых, я предполагаю, что ваш компьютер администратора находится в «дружественной локальной сети», а не в гостевой подсети Wi-Fi или в менее конфиденциальной сети,
во-вторых, я предполагаю, что вы заблокировали доступ Winbox к ssh сильно и winbox в INPUT CHAIN ​​RULES только для подсети, где администратор использует ПК
Третий - это под IP-сервисами, вы сузили фактические IP-адреса компьютеров администратора, которым требуется доступ к winbox ssh (вы можете сделать это также в цепочке ввода
В-четвертых, я предполагаю, что у вас есть статическая аренда для компьютеров администратора (у меня есть статическая аренда для всех устройств в моих подсетях).

Наконец, также нет ничего плохого в том, чтобы оставить порт 5 для отдельного интерфейса с пулом IP-адресов, равным одному, для подключения вашего ПК для администрирования сети.
Однако в этом отношении вы ограничиваете себя одним физическим местоположением, тогда как, если один из ваших компьютеров администратора является ноутбуком, вы не можете перемещаться и подключаться к сети.

Я предпочитаю управлять крысами, а не программным обеспечением. Следуйте моим советам на свой страх и риск! (Sob & mkx вынудили меня написать это!)
Сертификат MTUNA от Ascerbic Llama!

Вт, 12 июня 2018 г., 21:55

Это не страшные люди, это случайные люди. Вы никогда не знаете, что люди могут попытаться сделать, потому что они пытаются быть злонамеренными или они просто тупые.

Просто для ясности и чтобы я не блокировался. В списке пользователей у него есть администратор по умолчанию (имя и пароль которого я изменил), и когда вы открываете его, вы можете ввести «Разрешенный адрес». Итак, если бы я сделал указанный адрес 192.168.6.0/24, это позволило бы любому адресу, такому как 192.168.6.52/24, получить доступ к маршрутизатору, но что-либо еще, нет?
Таким образом, я мог бы сделать адрес порта 5 192.168.6.1/24 и иметь возможность войти в маршрутизатор только при подключении к этому порту, верно?

У нас здесь небольшой офис, и я все равно живу рядом. На самом деле мне не нужно входить удаленно, так что это не должно быть проблемой.

Вт, 12 июня 2018 г., 23:16

Это не страшные люди, это случайные люди. Вы никогда не знаете, что люди могут попытаться сделать, потому что они пытаются быть злонамеренными или они просто тупые.

Просто для ясности и чтобы я не блокировался. В списке пользователей у него есть администратор по умолчанию (имя и пароль которого я изменил), и когда вы открываете его, вы можете ввести «Разрешенный адрес». Итак, если бы я сделал указанный адрес 192.168.6.0/24, это позволило бы любому адресу, такому как 192.168.6.52/24, получить доступ к маршрутизатору, но что-либо еще, нет?
Таким образом, я мог бы сделать адрес порта 5 192.168.6.1/24 и иметь возможность войти в маршрутизатор только при подключении к этому порту, верно?

У нас здесь небольшой офис, и я все равно живу рядом. На самом деле мне не нужно входить удаленно, так что это не должно быть проблемой.

Я быстро теряюсь в подсетях, но если ваш список доступа администратора включает 192.168.6.0/24, то 192.168.6.2-192.168.6.254 будут разрешены.
Если вы определяете адрес для интерфейса для этой подсети, а также разрешаете пул из 1, то только один компьютер может получить доступ к интерфейсу через Ethernet, и, поскольку существует только один фактический порт, ограниченный также одним физическим соединением.

Я предпочитаю управлять крысами, а не программным обеспечением. Следуйте моим советам на свой страх и риск! (Sob & mkx вынудили меня написать это!)
Сертификат MTUNA от Ascerbic Llama!

Вс, 03 ноября 2019 г., 3:57

Ребята, я ненавижу быть занозой, но у меня есть вопрос, на который мне нужно ответить, и после поиска в Интернете это для меня абсолютная загадка. Я не эксперт по брандмауэрам, очевидно. Я использую ccr1009 (это была кража) для домашней среды, и я только что понял после всего этого времени, что мой список правил брандмауэра абсолютно ПУСТОЙ. Сначала я настроил свой маршрутизатор с помощью страницы начальной настройки на странице документации Mikrotik. (Я не использовал страницу быстрого доступа, но, возможно, мне стоило?) На начальной странице конфигурации никогда не упоминалось о добавлении каких-либо правил брандмауэра. У меня также есть DHCP-сервер для моей одной сети, и к нему подключен коммутатор Mikrotik. Возможно, слишком много информации, но в основном везде, где я читал, говорится, что эти маршрутизаторы предназначены для работы «из коробки» и готовы к работе.Ну, я предположил, что брандмауэр по умолчанию включен, но в списке нет абсолютно никаких правил, поэтому, насколько мне известно, он может быть отключен. Почему у моего роутера не было правил? Мой вопрос заключается в том, как я могу добавить основные правила в свой брандмауэр. Я не хочу ничего лишнего или особенного. Я просто хочу, чтобы это было просто, скудно и подло. Это базовая домашняя обстановка. Как я могу получить базовый сценарий этих готовых правил по умолчанию, чтобы я мог добавить их через терминал. Или я ошибаюсь и есть какие-то базовые правила, которые просто автоматически включаются и я их не вижу? Или, черт возьми, мне нужно добавить какие-либо правила, так как я нахожусь в простой домашней среде и получаю динамический адрес от своего интернет-провайдера? Я супер нуб, так что, пожалуйста, простите меня.

Пн, 04 ноября 2019 г., 20:57

Теперь вам нужно вручную добавить правила брандмауэра.
Вы найдете несколько примеров на вики-странице mikrotik.

Пн, 04 ноября 2019 г., 21:26

Несколько раз упоминалось, в том числе Нормисом из MT, что линейка устройств Routerboard (в том числе CCR) по умолчанию поставляется с пустым брандмауэром. Ожидается, что профессиональными устройствами будут управлять профессиональные администраторы, которые знают, как выполнять свою работу.

Нам, остальной любительской толпе, остается скопировать правила по умолчанию откуда-то еще. Лучше всего было бы завладеть маршрутизатором SOHO и проверить вывод /system default-configuration print . Не поддавайтесь искушению обращаться к руководствам на YouTube, большинство из них ужасно устарели и в лучшем случае неполны. или прямо неправильно в худшем случае. Некоторые из них, однако, высокого качества. Проблема в том, что средний любитель не может сказать, хороши они или нет.

Пн, 04 ноября 2019 г., 22:17

В основном это то, чем является брандмауэр SOHO с удаленным правилом fasttrack (вам не нужно использовать CCR в домашней среде):

Это позволяет пинговать ваш маршрутизатор извне, получать к нему доступ с интерфейсов в interface-list=LAN и отбрасывать все из interface-list=WAN, что не было подвергнуто dst-nat (переадресации портов).
Чтобы использовать его, вам нужно сначала убедиться, что вы добавили необходимые интерфейсы в соответствующие списки интерфейсов: интерфейс(ы) WAN - в список WAN, интерфейс(ы) LAN - в список LAN.
Иначе вас посадят в тюрьму.

Пн, 04 ноября 2019 г., 23:11

Большое спасибо всем за информацию! Я еще раз извиняюсь за свое невежество, и ваша помощь очень ценится! Я бы пожал всем руки здесь, если бы мог! В этом месте много знаний и мудрости. Считаю этот вопрос РЕШЕННЫМ! Еще раз спасибо.

Чт, 02 апреля 2020 г., 21:14

В основном это то, чем является брандмауэр SOHO с удаленным правилом fasttrack (вам не нужно использовать CCR в домашней среде):

Это позволяет пинговать ваш маршрутизатор извне, получать к нему доступ с интерфейсов в interface-list=LAN и отбрасывать все из interface-list=WAN, что не было подвергнуто dst-nat (переадресации портов).
Чтобы использовать его, вам нужно сначала убедиться, что вы добавили необходимые интерфейсы в соответствующие списки интерфейсов: интерфейс(ы) WAN - в список WAN, интерфейс(ы) LAN - в список LAN.
Иначе вас посадят в тюрьму.

Правильно ли указаны правила фильтрации брандмауэра выше?
Я имею в виду
например, это правило номер 1

добавить action=accept chain=input comment="принять установленное, связанное, неотслеживаемое" connection-state=установленное, связанное, неотслеживаемое

Чт, 02 апреля 2020 г., 21:53

Не буду отвечать прямо.

  1. правильная фильтрация . если пакет должен быть отброшен, то правило отбрасывания должно стоять перед правилом, разрешающим пакет. Это означает, что более конкретное правило должно иметь более высокий приоритет, чем более общее правило, ЕСЛИ их действие отличается.
  2. производительность. идея состоит в том, чтобы либо принять, либо отбросить пакет как можно скорее. Следовательно, выше в списке правил должны находиться фильтры, которые применяются к большему количеству пакетов.

28 апреля 2021 г., 19:11

Быстрый вопрос. После настройки брандмауэра для входной цепочки из приведенного выше примера:

Можем ли мы получить icmp-ответ от интерфейса локальной сети маршрутизатора (если мы отправляем его также и из локальной сети)?

28 апреля 2021 г., 19:27

в измененной последней строке вы блокируете устройство и не можете настроить его снова без полного сброса, но оно отвечает на ping

Одна ОС Docker, чтобы управлять ими всеми.

28 апреля 2021 г., 19:32

Установив правило таким образом, возможно, пользователь вставит его и заблокирует маршрутизатор:
Список LAN: пуст или нет?
Список WAN: пустой или нет?

add action=drop chain=input comment="удалить все не из локальной сети" in-interface-list=!LAN
= удалить все не из локальной сети

но если список локальных сетей пуст,
= удалить все входные данные на маршрутизатор (кроме ping)

но просто повторите ping

Одна ОС Docker, чтобы управлять ими всеми.

Чт, 29 апреля 2021 г., 0:44

Правила по умолчанию, а затем как получить более адаптированный набор правил, который гарантирует, что только АДМИН имеет полный доступ к маршрутизатору в цепочке ввода, а только разрешенный администратором трафик обслуживается в цепочке пересылки.

DEFAULT
/ip firewall filter
add action=accept chain=input connection-state=installed,related,untracked
add action=drop chain=forward comment="defconf: drop invalid "connection-state=invalid
add action=accept chain=input protocol=icmp
add action=drop chain=input in-interface-list=!LAN
++++++++ +++++++++++++++++++++++++++++++++++++++++++++++
добавить action=accept chain=forward comment="defconf: принять политику ipsec" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: принять политику ipsec" ipsec-policy=out, ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=installed,related
add action=accept chain=forward comment="defconf: accept created,related, untracked "connection-state=\
установлено, связано, неотслеживается
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward комментарий = "defconf: удалить все из WAN без DSTNAT" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN

Посмотрите на это, чтобы понять, понимаете ли вы и хотите ли чего-то достичь.
Правила INPUT предназначены для трафика, входящего и исходящего от самого маршрутизатора.
Правила FORWARD предназначены для трафика через маршрутизатор (от wan к lan, от lan к wan, от lan к lan).
Правила вывода используются редко.
Правила NAT обычно используются для переадресации портов (dst nat) и назначения общедоступных IP-адресов частным IP-адресам перед отправкой исходящего трафика (src nat), однако в языке MT их можно использовать в самых разных ситуациях.
IP-маршруты используются для определения исходящего пути пакетов.

Вот моя минималистичная, но безопасная установка.
(1) Идея заключается в том, чтобы, как указано, перейти от настроек по умолчанию (которые безопасны, но не являются целевыми) и имеет концепцию разрешить все и заблокировать то, что вам не нужно.
К чему Предыдущий автор и большинство, которые предпочитают изменить настройку на БЛОКИРОВАТЬ ВСЕ по умолчанию, а затем указать, что разрешено.

(2) Правильно в том смысле, что цель цепочки ввода в целях безопасности состоит в том, чтобы разрешить доступ к маршрутизатору только администратору, но пользователям/устройствам могут потребоваться некоторые службы, обычно DNS.

(3) Для защиты VLAN-VLAN и любого трафика, входящего и исходящего из локальных сетей, в игру вступают правила брандмауэра в цепочке пересылки.
Применяется та же концепция, что и выше, измените правила по умолчанию на концепцию блокировки всего, кроме того, что вы хотите разрешить.
Все правила над строкой +++++ являются правилами по умолчанию, которые мы хотим сохранить, а правила ниже добавляются администратором.
ПРИМЕЧАНИЕ. В цепочке ввода не добавляйте ПОСЛЕДНЕЕ ПРАВИЛО правило DROP до тех пор, пока не будет установлено правило разрешения доступа администратора, иначе оно будет заблокировано!

МОДИФИКАЦИЯ
ip firewall filter

add action=accept chain=input comment=\
"defconf: accept created,related,untracked" connection-state=\
/>установленный, связанный, неотслеживаемый
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" протокол = icmp
++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++
add action=accept chain=input comment="Разрешить АДМИНИСТРАТОРУ доступ к маршрутизатору" =\
in-interface-list=MGMT src-address- list=adminaccess
add action=accept chain=input comment="Разрешить DNS-запросы локальной сети - TCP" \
connection-state=new dst-port=53 in-interface-list=LAN protocol=tcp < br />add action=accept chain=input comment="Разрешить LAN DNS-запросы-UDP" \
connection-state=new dst-port=53 in-interface-list=LAN protocol=udp
add action=drop chain=input comment="Отбросить все остальное"
.

add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment= "defconf: принять политику ipsec" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=installed ,related
add action=accept chain=forward comment=\
"defconf: accept created,related, untracked" connection-state=\
installed,related,untracked
добавить действие =drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
+++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++
добавить action=accept chain=forward comment="разрешить локальную сеть к трафику WAN"
in-interface-list=LAN out-interface-list=WAN
add action=accept chain=forward comment="Разрешить переадресацию портов" \
connection-nat-state =dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="dro п все остальное"

(4) Правило входной цепочки, требующее списка адресов брандмауэра с правами администратора, гарантирует, что только идентифицированные LANIP имеют доступ к маршрутизатору (например, через winbox). Как правило, IP-адреса устанавливаются через маршрутизаторы, которые dhcp арендует, как статические фиксированные IP-адреса.
/список адресов брандмауэра ip
добавить адрес=ip_admin-desktop list=adminaccess
добавить адрес=ip_admin-ноутбук list=adminaccess
добавить адрес=ip_admin-smartphone list=adminaccess< /p>

(5) Другой частью этого правила, как вы могли заметить, является interface-list=MGMT
Обычно это сценарий.

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=MGMT (необязательно)
add name=VlansWith-Internet ( необязательно, но если вы не разрешаете всем вланам доступ в Интернет, это обеспечивает простой способ настройки)

/interface list member
add comment=defconf interface=Ether1 list=WAN
add interface=bridge list=LAN
add interface=vlan10 list-MGMT (обычно это определяет локальную сеть управления домашняя локальная сеть, на которой находится администратор)
+++++++++++++++++++++++++++++++++++++++++
add interface=ether5 list=LAN (если у вас есть порт аварийного доступа на маршрутизаторе, чтобы получить доступ к нему для целей конфигурации, если мост или основная LAN перестанут работать)
add interface=ether5 list=MGMT (чтобы чтобы иметь возможность получить доступ к маршрутизатору из аварийного доступа для целей настройки)

(6) Можете ли вы догадаться, где еще мы используем MGMT?
Правильный взгляд на ИНСТРУМЕНТЫ MACSERVER.
Установите интерфейс сервера WINBOX-MAC=MGMT.

(7) Перейдите к IP-службам и отключите все службы, кроме WINBOX и, возможно, SSH в качестве резервной копии
a. измените порт по умолчанию на что-то другое, но запишите его!
б. в поле «Доступно из» укажите подсети выше, которые применимы (подсеть vlan10 и подсеть ether5)

(8) Перейдите к системным пользователям и для логинов, разрешенных для доступа к winbox, поместите те же подсети, что и в b.

Таким образом, у вас есть ограниченный доступ к маршрутизатору (в целях настройки)
правилами входа в систему (имя пользователя и пароль и подсети)
доступом winbox (номер порта и подсети)
посредством правила брандмауэра, которые ограничивают доступ к серверу winbox mac
правилами брандмауэра, которые ограничивают доступ по подсетям и IP-адресам.
Я лучше управляюсь с крысами, чем с программами. Следуйте моим советам на свой страх и риск! (Sob & mkx вынудили меня это написать!)

Я предпочитаю управлять крысами, а не программным обеспечением. Следуйте моим советам на свой страх и риск! (Sob & mkx вынудили меня написать это!)
Сертификат MTUNA от Ascerbic Llama!

Брандмауэр реализует фильтрацию пакетов и, таким образом, предоставляет функции безопасности, которые используются для управления потоком данных к маршрутизатору, от него и через него. Наряду с трансляцией сетевых адресов он служит инструментом предотвращения несанкционированного доступа к напрямую подключенным сетям и самому маршрутизатору, а также фильтром исходящего трафика.

Сетевые брандмауэры защищают внешние угрозы от доступа к конфиденциальным данным, доступным внутри сети. Всякий раз, когда разные сети объединяются, всегда существует угроза того, что кто-то извне вашей сети проникнет в вашу локальную сеть. Такие взломы могут привести к краже и распространению личных данных, изменению или уничтожению ценных данных или полному удалению жестких дисков. Брандмауэры используются как средство предотвращения или минимизации рисков безопасности, связанных с подключением к другим сетям. Правильно настроенный брандмауэр играет ключевую роль в эффективном и безопасном развертывании сетевой инфраструктуры.

MikroTik RouterOS имеет очень мощную реализацию брандмауэра с такими функциями, как:

  • проверка пакетов с отслеживанием состояния
  • Обнаружение протокола уровня 7
  • фильтрация одноранговых протоколов
  • классификация трафика по:
  • MAC-адрес источника
  • IP-адреса (сетевые или список) и типы адресов (широковещательные, локальные, многоадресные, одноадресные)
  • порт или диапазон портов
  • IP-протоколы
  • параметры протокола (поля типа и кода ICMP, флаги TCP, параметры IP и MSS)
  • интерфейс, через который пришел или ушел пакет
  • внутренние метки потока и соединения
  • Байт DSCP
  • содержимое пакета
  • скорость поступления пакетов и порядковые номера
  • размер пакета
  • время прибытия пакета
  • и многое другое!

Цепочки

Брандмауэр работает с помощью правил брандмауэра. Каждое правило состоит из двух частей: сопоставителя, который сопоставляет поток трафика с заданными условиями, и действия, которое определяет, что делать с сопоставленным пакетом.

Правила фильтрации брандмауэра группируются в цепочки. Это позволяет сопоставить пакет по одному общему критерию в одной цепочке, а затем передать его для обработки по некоторым другим общим критериям в другую цепочку. Например, пакет должен сопоставляться с парой IP-адрес: порт.Конечно, этого можно добиться, добавив столько правил с совпадением IP-адреса и порта, сколько требуется, в цепочку пересылки, но лучшим способом может быть добавление одного правила, которое соответствует трафику с определенного IP-адреса, например: /ip firewall filter добавьте src-address=1.1.1.2/32 jump-target="mychain" и в случае успешного совпадения передайте управление IP-пакетом какой-либо другой цепочке, в данном примере это mychain. Затем в цепочку mychain можно добавить правила, выполняющие сопоставление с отдельными портами, без указания IP-адресов.

Есть три предопределенных цепочки, которые нельзя удалить:

  • вход - используется для обработки пакетов, поступающих на маршрутизатор через один из интерфейсов с IP-адресом назначения, который является одним из адресов маршрутизатора. Пакеты, проходящие через маршрутизатор, не обрабатываются по правилам входной цепочки.
  • forward – используется для обработки пакетов, проходящих через маршрутизатор.
  • output - используется для обработки пакетов, исходящих от маршрутизатора и покидающих его через один из интерфейсов. Пакеты, проходящие через маршрутизатор, не обрабатываются в соответствии с правилами выходной цепочки.

На диаграммах потоков пакетов показано, как пакеты обрабатываются в RouterOS.

При обработке цепочки правила берутся из цепочки в порядке их перечисления сверху вниз. Если пакет соответствует критериям правила, то над ним выполняется указанное действие, и больше правила в этой цепочке не обрабатываются (исключением является действие passthrough). Если пакет не соответствует ни одному правилу во встроенной цепочке, он принимается.

Свойства

Например, если маршрутизатор получает пакет Gre, инкапсулированный Ipsec, то правило ipsec-policy=in,ipsec будет соответствовать пакету Gre, но правило ipsec-policy=in,none будет соответствовать пакету ESP.

  • любой — сопоставить пакет хотя бы с одним из параметров ipv4
  • loose-source-routing — сопоставлять пакеты с параметром маршрутизации со свободным источником. Этот параметр используется для маршрутизации интернет-датаграммы на основе информации, предоставленной источником.
  • no-record-route — сопоставлять пакеты без параметра маршрута записи. Этот параметр используется для маршрутизации интернет-датаграммы на основе информации, предоставленной источником.
  • no-router-alert — сопоставлять пакеты без опции изменения маршрутизатора
  • no-source-routing – сопоставлять пакеты без опции исходной маршрутизации.
  • no-timestamp – сопоставлять пакеты без отметки времени
  • record-route — сопоставлять пакеты с опцией записи маршрута
  • router-alert — сопоставлять пакеты с опцией изменения маршрутизатора
  • strict-source-routing — сопоставлять пакеты со строгой маршрутизацией от источника
  • отметка времени – сопоставлять пакеты с отметкой времени
  • count — количество пакетов или битов за интервал времени для сопоставления
  • время — указывает временной интервал, в течение которого количество пакетов или битов не может быть превышено (необязательно, если не указано иное, будет использоваться 1 с).
  • burst — начальное количество пакетов или битов для сопоставления: это число перезаряжается каждые 10 мс, поэтому скорость Burst должна быть не менее 1/100 скорости в секунду.
  • режим – пакетный или битовый режим.

Соответствует типу исходного адреса:

  • одноадресная рассылка – IP-адрес, используемый для передачи "точка-точка".
  • local — если адрес назначен одному из интерфейсов роутера
  • broadcast — пакет отправляется на все устройства в подсети
  • многоадресная рассылка — пакет пересылается на определенную группу устройств
  • ack — подтверждение данных
  • cwr - окно перегрузки уменьшено
  • ece — флаг ECN-echo (явное уведомление о перегрузке)
  • плавник — закрыть соединение
  • psh — функция отправки
  • сначала разорвать соединение
  • syn — новое подключение
  • urg – срочные данные.

Статистика

В статистике печати фильтра брандмауэра /ip будут отображаться дополнительные свойства, доступные только для чтения

< td>Общее количество пакетов, соответствующих правилу
Свойство Описание
байты (целое число ) Общее количество байтов, соответствующих правилу
пакетов (целое число)


По умолчанию print эквивалентен print static и показывает только статические правила.

Чтобы распечатать также динамические правила, используйте print all.

Или для печати только динамических правил используйте динамическую печать

Специальные команды меню

Свойство Описание
сброс счетчиков (id< /em>) Сброс счетчиков статистики для указанных правил брандмауэра.
reset-counters-all ( ) Сброс счетчиков статистики для всех правил брандмауэра.

Основные примеры

Отличительный интерфейс командной строки

В каждом разделе с похожей конфигурацией есть немного другая интерпретация.
Например, с помощью следующей строки конфигурации вы будете сопоставлять пакеты, в которых tcp-flags не имеет SYN, но имеет флаги ACK:

Но с этой конфигурацией вы будете сопоставлять все соединения, состояние которых не является НОВЫМ или СВЯЗАННЫМ.

Оба настраиваются одинаково.

Защита маршрутизатора

Допустим, наша частная сеть — 192.168.0.0/24, а общедоступный (WAN) интерфейс — ether1. Мы настроим брандмауэр, чтобы разрешить подключения к самому маршрутизатору только из нашей локальной сети, а остальные отключим. Также мы разрешим протокол ICMP на любом интерфейсе, чтобы любой мог проверить связь с вашим маршрутизатором из Интернета.

Защита клиентов

Чтобы защитить сеть клиента, мы должны проверять весь трафик, проходящий через маршрутизатор, и блокировать нежелательный. Для icmp, tcp, udp трафика создадим цепочки, куда будут отбрасываться все нежелательные пакеты:

Блокировать IP-адреса "bogon"

Переходы к новым цепочкам:

Создайте цепочку tcp и запретите в ней некоторые порты tcp:

Запретить udp-порты в udp-цепочке:

Разрешить только необходимые коды icmp в цепочке icmp:

другие коды ICMP можно найти здесь.

Защита от грубой силы

Управление пропускной способностью

Это простое правило фильтрации брандмауэра ограничивает исходящий трафик ether1 до 100 Мбит/с.

Читайте также: