По умолчанию, Firewall роутеров Mikrotik разрешает все подключения. Поэтому целесообразно обезопасить роутер и локальную сеть от несанкционированного доступа из интернета. В качестве примера будет рассмотрена основная/базовая настройка Firewall.

Исходные данные:

• Локальная сеть — 10.5.5.0/24
• Интернет (Bridge соединение) — Ethernet

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

Определения назначения основных цепочек

• Цепочка INPUT — Действия с пакетами, которые направляются в роутер. То есть адресованы именно на адрес роутера и дальше не пойдут.
• Цепочка FORWARD — Действия с пакетами, проходящими через роутер. То есть пакеты посылаются какому-то адресату от какого-то адресата и через роутер проходят по пути следования. Например, когда ваш локальный компьютер хочет открыть какой либо сайт.
• Цепочка OUTPUT — Действия с пакетами, источником которых является сам роутер.

Добавление основных правил в Firewall

Для удобства все правила будут добавляться через терминал роутера. По ним легко можно понять как добавить их через Winbox.

Разрешаем пинг роутера:
/ip firewall filter add chain=input action=accept protocol=icmp comment="Accept PING"

Разрешаем успешно установленные соединения:
/ip firewall filter add chain=input action=accept in-interface=Ethernet connection-state=established comment="Accept established connections Mikrotik"
/ip firewall filter add chain=forward action=accept in-interface=Ethernet connection-state=established comment="Accept established connections LAN"

Разрешаем родственные соединения:
/ip firewall filter add chain=input action=accept in-interface=Ethernet connection-state=related comment="Accept related connections Mikrotik"
/ip firewall filter add chain=forward action=accept in-interface=Ethernet connection-state=related comment="Accept related connections LAN"

Запрещаем недействительные соединения:
/ip firewall filter add chain=input action=drop in-interface=Ethernet connection-state=invalid comment="Drop invalid connections Mikrotik"
/ip firewall filter add chain=forward action=drop in-interface=Ethernet connection-state=invalid comment="Drop invalid connections LAN"

Запрещаем все остальные input соединения:
/ip firewall filter add chain=input action=drop in-interface=Ethernet comment="Drop all other input connections"

Разрешаем доступ в интернет из локальной сети:
/ip firewall filter add chain=forward action=accept src-address=10.5.5.0/24 comment="Access Internet From LAN"

Запрещаем все остальные forward соединения:
/ip firewall filter add chain=forward action=drop comment="Drop all other forward connections"

JUQwJTkyJUQwJUJFJUQxJTgyJTIwJUQxJTgyJUQwJUIwJUQwJUJBJTIwJUQwJUIyJUQxJThCJUQwJUIzJUQwJUJCJUQxJThGJUQwJUI0JUQxJThGJUQxJTgyJTIwJUQwJUI0JUQwJUJFJUQwJUIxJUQwJUIwJUQwJUIyJUQwJUJCJUQwJUI1JUQwJUJEJUQwJUJEJUQxJThCJUQwJUI1JTIwJUQwJUJGJUQxJTgwJUQwJUIwJUQwJUIyJUQwJUI4JUQwJUJCJUQwJUIwJTIwJUQwJUIyJTIwV2luYm94JTNB

Мы разобрали как обезопасить наш роутер и нашу сеть от возможных злоумышленниках.