SCROLL
Среднее время на прочтение: 2 мин.

Сетевая безопасность оборудования Mikrotik. Базовая настройка Firewall.

По умолчанию, Firewall роутеров Mikrotik разрешает все подключения. Поэтому целесообразно обезопасить роутер и локальную сеть от несанкционированного доступа из интернета. В качестве примера будет рассмотрена основная/базовая настройка Firewall.

 

Исходные данные:

  • Локальная сеть — 10.5.5.0/24
  • Интернет (Bridge соединение) — Ethernet

 

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

 

Определения назначения основных цепочек
  • Цепочка INPUT — Действия с пакетами, которые направляются в роутер. То есть адресованы именно на адрес роутера и дальше не пойдут.
  • Цепочка FORWARD — Действия с пакетами, проходящими через роутер. То есть пакеты посылаются какому-то адресату от какого-то адресата и через роутер проходят по пути следования. Например, когда ваш локальный компьютер хочет открыть какой либо сайт.
  • Цепочка OUTPUT — Действия с пакетами, источником которых является сам роутер.

 

Добавление основных правил в Firewall

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

Plain text
Copy to clipboard
Open code in new window
EnlighterJS 3 Syntax Highlighter
Разрешаем пинг роутера:
/ip firewall filter add chain=input action=accept protocol=icmp comment="Accept PING"
Разрешаем успешно установленные соединения:
/ip firewall filter add chain=input action=accept in-interface=Ethernet connection-state=established comment="Accept established connections Mikrotik"
/ip firewall filter add chain=forward action=accept in-interface=Ethernet connection-state=established comment="Accept established connections LAN"
Разрешаем родственные соединения:
/ip firewall filter add chain=input action=accept in-interface=Ethernet connection-state=related comment="Accept related connections Mikrotik"
/ip firewall filter add chain=forward action=accept in-interface=Ethernet connection-state=related comment="Accept related connections LAN"
Запрещаем недействительные соединения:
/ip firewall filter add chain=input action=drop in-interface=Ethernet connection-state=invalid comment="Drop invalid connections Mikrotik"
/ip firewall filter add chain=forward action=drop in-interface=Ethernet connection-state=invalid comment="Drop invalid connections LAN"
Запрещаем все остальные input соединения:
/ip firewall filter add chain=input action=drop in-interface=Ethernet comment="Drop all other input connections"
Разрешаем доступ в интернет из локальной сети:
/ip firewall filter add chain=forward action=accept src-address=10.5.5.0/24 comment="Access Internet From LAN"
Запрещаем все остальные forward соединения:
/ip firewall filter add chain=forward action=drop comment="Drop all other forward connections"
Разрешаем пинг роутера: /ip firewall filter add chain=input action=accept protocol=icmp comment="Accept PING" Разрешаем успешно установленные соединения: /ip firewall filter add chain=input action=accept in-interface=Ethernet connection-state=established comment="Accept established connections Mikrotik" /ip firewall filter add chain=forward action=accept in-interface=Ethernet connection-state=established comment="Accept established connections LAN" Разрешаем родственные соединения: /ip firewall filter add chain=input action=accept in-interface=Ethernet connection-state=related comment="Accept related connections Mikrotik" /ip firewall filter add chain=forward action=accept in-interface=Ethernet connection-state=related comment="Accept related connections LAN" Запрещаем недействительные соединения: /ip firewall filter add chain=input action=drop in-interface=Ethernet connection-state=invalid comment="Drop invalid connections Mikrotik" /ip firewall filter add chain=forward action=drop in-interface=Ethernet connection-state=invalid comment="Drop invalid connections LAN" Запрещаем все остальные input соединения: /ip firewall filter add chain=input action=drop in-interface=Ethernet comment="Drop all other input connections" Разрешаем доступ в интернет из локальной сети: /ip firewall filter add chain=forward action=accept src-address=10.5.5.0/24 comment="Access Internet From LAN" Запрещаем все остальные forward соединения: /ip firewall filter add chain=forward action=drop comment="Drop all other forward connections"
Разрешаем пинг роутера:
/ip firewall filter add chain=input action=accept protocol=icmp comment="Accept PING"

Разрешаем успешно установленные соединения:
/ip firewall filter add chain=input action=accept in-interface=Ethernet connection-state=established comment="Accept established connections Mikrotik"
/ip firewall filter add chain=forward action=accept in-interface=Ethernet connection-state=established comment="Accept established connections LAN"

Разрешаем родственные соединения:
/ip firewall filter add chain=input action=accept in-interface=Ethernet connection-state=related comment="Accept related connections Mikrotik"
/ip firewall filter add chain=forward action=accept in-interface=Ethernet connection-state=related comment="Accept related connections LAN"

Запрещаем недействительные соединения:
/ip firewall filter add chain=input action=drop in-interface=Ethernet connection-state=invalid comment="Drop invalid connections Mikrotik"
/ip firewall filter add chain=forward action=drop in-interface=Ethernet connection-state=invalid comment="Drop invalid connections LAN"

Запрещаем все остальные input соединения:
/ip firewall filter add chain=input action=drop in-interface=Ethernet comment="Drop all other input connections"

Разрешаем доступ в интернет из локальной сети:
/ip firewall filter add chain=forward action=accept src-address=10.5.5.0/24 comment="Access Internet From LAN"

Запрещаем все остальные forward соединения:
/ip firewall filter add chain=forward action=drop comment="Drop all other forward connections"

 

Вот так выглядят добавленные правила в Winbox:

 

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

 

ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОДДЕРЖИ АВТОРА ДОНАТОМ

Обсуждение

1 комментариев