Настройка Firewall  в MikroTik

Firewall  в MikroTik

Официальные данные на MikroTik Wiki: IP/Firewall/Filter [ENG]

Давайте взглянем, где находится этот самый Межсетевой экран в наших устройствах(ведь RouterOS одинакова на всем оборудовании MikroTik):
Он находится по пути IP -> Firewall

ip-firewall

Путь до межсетевого экрана firewall-filter-rules Окно для ввода правил фильтрации

Кратко пробежимся по основным вкладкам Firewall:
1 – Filter Rules – тут основные разрешающие и блокирующие правила.
2 – NAT – тут формируются перенаправления трафика.
3 – Mangle – тут происходит маркировка соединений и пакетов, отлов определенного вида трафика для дальнейшей его обработки.
Остальные вкладки пока рассматривать не будем, они нам не пригодятся.
4 – Raw – тут можно правилами отловить паразитный трафик и тем самым снизить нагрузку на CPU. Полезно для смягчения DOS атак.
5 – Service Ports – Для некоторых сетевых протоколов требуется прямое двустороннее соединение между конечными точками. Это не всегда возможно, поскольку трансляция сетевых адресов широко используется для подключения клиентов к сети. Это подменю позволяет настроить «помощники отслеживания соединений» для вышеупомянутых протоколов. Эти «помощники» используются для обеспечения правильного обхода NAT.
6 – Connections – тут отображаются все текущие соединения проходящие через маршрутизатор.
7 – Address List – тут списки адресов брандмауэра позволяют пользователю создавать списки IP-адресов, сгруппированных под общим именем. Затем фильтры брандмауэра, Mangle и NAT могут использовать эти списки адресов для сопоставления пакетов с ними.
8 – Layer7 Protocols – тут можно создавать шаблоны для поиска в потоках ICMP / TCP / UDP. L7 собирает первые 10 пакетов соединения или первые 2KB соединения и ищет шаблон в собранных данных.

Все правила, добавленные в таблицу, применяются последовательно, сверху вниз. Будьте осторожны не добавляйте сразу правило, блокирующее все что только можно. Вы можете потерять доступ к роутеру и тогда придется его сбрасывать и перенастраивать заново.
Я рекомендую использовать магическую кнопку Safe Mode для таких целей. Если эта кнопка нажата и Вас отключит от роутера, настройки вернутся к моменту нажатия на эту кнопку. Очень полезная вещь, особенно если Вы работаете удаленно.

Действие 1 включаем режим Safe Mode

safemodebutton

Действие 2

добавляем разрешение на ping

Разрешаем пинги

add chain=input action=accept protocol=icmp

add chain=forward action=accept protocol=icmp

Правило №1

Правило № 2

Действие 2

Разрешаем установленные подключения

add chain=input action=accept connection-state=established

add chain=forward action=accept connection-state=established

Правило № 3

Правило № 4

Действие 3

Разрешаем связанные подключения

add chain=input action=accept connection-state=related

add chain=forward action=accept connection-state=related

Правило № 5

,

Действие 4

Разрешаем все подключения из нашей локальной сети

add chain=input action=accept src-address=192.168.1.0/24 in-interface=!ether2

пишет свой ip адрес сети, если у вас несколько сетей создано указываем все.

Правило № 6

Действие 5

Разрешаем все подключения из нашей локальной сети

Правило № 6

Действие 6

Разрешаем входящие подключения для торрента

add chain=forward action=accept protocol=tcp in-interface=ether2 dst-port=45000

Правило № 7

Действие 7

Защита от DDOS

Правило № 8

Правило № 9

Правило № 10

Правило № 11

Правило № 12

Действие 8

Обрубаем инвалидные подключения

add chain=input action=drop connection-state=invalid

add chain=forward action=drop connection-state=invalid

Правило № 13

Правило № 14

Действие 9

Разрешаем доступ из локальной сети в интернет

add chain=forward action=accept in-interface=!ether2 out-interface=ether2

Правило № 15

Правило № 16

add chain=forward action=drop

Вот скриншот моих правил firewall. В принципе, по нему можно воссоздать все правила у себя на mikrotik:

Настройка Firewall  в MikroTik

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *