Сетевая безопасность оборудования Mikrotik. Базовая настройка Firewall.
По умолчанию, Firewall роутеров Mikrotik разрешает все подключения. Поэтому целесообразно обезопасить роутер и локальную сеть от несанкционированного доступа из интернета. В качестве примера будет рассмотрена основная/базовая настройка Firewall.
Исходные данные:
- Локальная сеть —
10.5.5.0/24
- Интернет (Bridge соединение) —
Ethernet
Правила начинают работать от первого к последнему. Поэтому сначала размещаем разрешающие правила, а затем запрещающие. Так же при удаленной настройке Firewall учтите, что внесенные изменения применяются сразу же, поэтому есть шанс заблокировать самих себя.
Определения назначения основных цепочек
- Цепочка INPUT — Действия с пакетами, которые направляются в роутер. То есть адресованы именно на адрес роутера и дальше не пойдут.
- Цепочка FORWARD — Действия с пакетами, проходящими через роутер. То есть пакеты посылаются какому-то адресату от какого-то адресата и через роутер проходят по пути следования. Например, когда ваш локальный компьютер хочет открыть какой либо сайт.
- Цепочка OUTPUT — Действия с пакетами, источником которых является сам роутер.
Добавление основных правил в Firewall
Для удобства все правила будут добавляться через терминал роутера. По ним легко можно понять как добавить их через Winbox
.
Разрешаем пинг роутера: /ip firewall filter add chain=input action=accept protocol=icmp comment="Accept PING" Разрешаем успешно установленные соединения: /ip firewall filter add chain=input action=accept in-interface=Ethernet connection-state=established comment="Accept established connections Mikrotik" /ip firewall filter add chain=forward action=accept in-interface=Ethernet connection-state=established comment="Accept established connections LAN" Разрешаем родственные соединения: /ip firewall filter add chain=input action=accept in-interface=Ethernet connection-state=related comment="Accept related connections Mikrotik" /ip firewall filter add chain=forward action=accept in-interface=Ethernet connection-state=related comment="Accept related connections LAN" Запрещаем недействительные соединения: /ip firewall filter add chain=input action=drop in-interface=Ethernet connection-state=invalid comment="Drop invalid connections Mikrotik" /ip firewall filter add chain=forward action=drop in-interface=Ethernet connection-state=invalid comment="Drop invalid connections LAN" Запрещаем все остальные input соединения: /ip firewall filter add chain=input action=drop in-interface=Ethernet comment="Drop all other input connections" Разрешаем доступ в интернет из локальной сети: /ip firewall filter add chain=forward action=accept src-address=10.5.5.0/24 comment="Access Internet From LAN" Запрещаем все остальные forward соединения: /ip firewall filter add chain=forward action=drop comment="Drop all other forward connections"
Вот так выглядят добавленные правила в Winbox
:
Мы разобрали как обезопасить наш роутер и нашу сеть от возможных злоумышленниках.
Тому я не зміг утриматись від коментарю.
Чудово написано!