По умолчанию, Firewall роутеров Mikrotik разрешает все подключения. Поэтому целесообразно обезопасить роутер и локальную сеть от несанкционированного доступа из интернета. В качестве примера будет рассмотрена основная/базовая настройка Firewall.

Исходные данные:

• Локальная сеть — 10.5.5.0/24
• Интернет (Bridge соединение) — Ethernet

Правила начинают работать от первого к последнему. Поэтому сначала размещаем разрешающие правила, а затем запрещающие. Так же при удаленной настройке Firewall учтите, что внесенные изменения применяются сразу же, поэтому есть шанс заблокировать самих себя.

Определения назначения основных цепочек

• Цепочка INPUT — Действия с пакетами, которые направляются в роутер. То есть адресованы именно на адрес роутера и дальше не пойдут.
• Цепочка FORWARD — Действия с пакетами, проходящими через роутер. То есть пакеты посылаются какому-то адресату от какого-то адресата и через роутер проходят по пути следования. Например, когда ваш локальный компьютер хочет открыть какой либо сайт.
• Цепочка OUTPUT — Действия с пакетами, источником которых является сам роутер.

Добавление основных правил в Firewall

Для удобства все правила будут добавляться через терминал роутера. По ним легко можно понять как добавить их через Winbox.

Разрешаем пинг роутера:
/ip firewall filter add chain=input action=accept protocol=icmp comment="Accept PING"

Разрешаем успешно установленные соединения:
/ip firewall filter add chain=input action=accept in-interface=Ethernet connection-state=established comment="Accept established connections Mikrotik"
/ip firewall filter add chain=forward action=accept in-interface=Ethernet connection-state=established comment="Accept established connections LAN"

Разрешаем родственные соединения:
/ip firewall filter add chain=input action=accept in-interface=Ethernet connection-state=related comment="Accept related connections Mikrotik"
/ip firewall filter add chain=forward action=accept in-interface=Ethernet connection-state=related comment="Accept related connections LAN"

Запрещаем недействительные соединения:
/ip firewall filter add chain=input action=drop in-interface=Ethernet connection-state=invalid comment="Drop invalid connections Mikrotik"
/ip firewall filter add chain=forward action=drop in-interface=Ethernet connection-state=invalid comment="Drop invalid connections LAN"

Запрещаем все остальные input соединения:
/ip firewall filter add chain=input action=drop in-interface=Ethernet comment="Drop all other input connections"

Разрешаем доступ в интернет из локальной сети:
/ip firewall filter add chain=forward action=accept src-address=10.5.5.0/24 comment="Access Internet From LAN"

Запрещаем все остальные forward соединения:
/ip firewall filter add chain=forward action=drop comment="Drop all other forward connections"

Вот так выглядят добавленные правила в Winbox:

JUQwJTlDJUQxJThCJTIwJUQxJTgwJUQwJUIwJUQwJUI3JUQwJUJFJUQwJUIxJUQxJTgwJUQwJUIwJUQwJUJCJUQwJUI4JTIwJUQwJUJBJUQwJUIwJUQwJUJBJTIwJUQwJUJFJUQwJUIxJUQwJUI1JUQwJUI3JUQwJUJFJUQwJUJGJUQwJUIwJUQxJTgxJUQwJUI4JUQxJTgyJUQxJThDJTIwJUQwJUJEJUQwJUIwJUQxJTg4JTIwJUQxJTgwJUQwJUJFJUQxJTgzJUQxJTgyJUQwJUI1JUQxJTgwJTIwJUQwJUI4JTIwJUQwJUJEJUQwJUIwJUQxJTg4JUQxJTgzJTIwJUQxJTgxJUQwJUI1JUQxJTgyJUQxJThDJTIwJUQwJUJFJUQxJTgyJTIwJUQwJUIyJUQwJUJFJUQwJUI3JUQwJUJDJUQwJUJFJUQwJUI2JUQwJUJEJUQxJThCJUQxJTg1JTIwJUQwJUI3JUQwJUJCJUQwJUJFJUQxJTgzJUQwJUJDJUQxJThCJUQxJTg4JUQwJUJCJUQwJUI1JUQwJUJEJUQwJUJEJUQwJUI4JUQwJUJBJUQwJUIwJUQxJTg1Lg==