Среднее время на прочтение: 1 мин.

Сетевая безопасность оборудования Mikrotik. Базовая настройка Firewall.

По умолчанию, Firewall роутеров Mikrotik разрешает все подключения. Поэтому целесообразно обезопасить роутер и локальную сеть от несанкционированного доступа из интернета. В качестве примера будет рассмотрена основная/базовая настройка Firewall.

 

Исходные данные:

  • Локальная сеть — 10.5.5.0/24
  • Интернет (Bridge соединение) — Ethernet

 

Правила начинают работать от первого к последнему. Поэтому сначала размещаем разрешающие правила, а затем запрещающие. Так же при удаленной настройке Firewall учтите, что внесенные изменения применяются сразу же, поэтому есть шанс заблокировать самих себя.

 

Определения назначения основных цепочек
  • Цепочка INPUT — Действия с пакетами, которые направляются в роутер. То есть адресованы именно на адрес роутера и дальше не пойдут.
  • Цепочка FORWARD — Действия с пакетами, проходящими через роутер. То есть пакеты посылаются какому-то адресату от какого-то адресата и через роутер проходят по пути следования. Например, когда ваш локальный компьютер хочет открыть какой либо сайт.
  • Цепочка OUTPUT — Действия с пакетами, источником которых является сам роутер.

 

Добавление основных правил в Firewall

Для удобства все правила будут добавляться через терминал роутера. По ним легко можно понять как добавить их через Winbox.

Разрешаем пинг роутера:
/ip firewall filter add chain=input action=accept protocol=icmp comment="Accept PING"

Разрешаем успешно установленные соединения:
/ip firewall filter add chain=input action=accept in-interface=Ethernet connection-state=established comment="Accept established connections Mikrotik"
/ip firewall filter add chain=forward action=accept in-interface=Ethernet connection-state=established comment="Accept established connections LAN"

Разрешаем родственные соединения:
/ip firewall filter add chain=input action=accept in-interface=Ethernet connection-state=related comment="Accept related connections Mikrotik"
/ip firewall filter add chain=forward action=accept in-interface=Ethernet connection-state=related comment="Accept related connections LAN"

Запрещаем недействительные соединения:
/ip firewall filter add chain=input action=drop in-interface=Ethernet connection-state=invalid comment="Drop invalid connections Mikrotik"
/ip firewall filter add chain=forward action=drop in-interface=Ethernet connection-state=invalid comment="Drop invalid connections LAN"

Запрещаем все остальные input соединения:
/ip firewall filter add chain=input action=drop in-interface=Ethernet comment="Drop all other input connections"

Разрешаем доступ в интернет из локальной сети:
/ip firewall filter add chain=forward action=accept src-address=10.5.5.0/24 comment="Access Internet From LAN"

Запрещаем все остальные forward соединения:
/ip firewall filter add chain=forward action=drop comment="Drop all other forward connections"

 

Вот так выглядят добавленные правила в Winbox:

 

Мы разобрали как обезопасить наш роутер и нашу сеть от возможных злоумышленниках.

Обсуждение

1 комментариев