Firewall на Mikrotik: базовая настройка безопасности

Firewall в MikroTikk – тема, на которую можно написать докторскую диссертацию. Раздел, который находится по пути IP > Firewall, предназначен для контролирования трафика во всех направлениях, относительно самого MikroTik:

  • Входящий;
  • Проходящий;
  • Исходящий;

Самой востребованной функцией этого раздела – является возможность защиты внутренней сети маршрутизатора от атак извне. Так же данная функция с соответствующими правилами, позволяет фильтровать «мусор» из внешней сети, который может значительно нагружать RouterBoard, а это сказывается на производительности. Бывают даже попытки взлома устройства, особенно если у вас есть внешний IP адрес.

Так вот, чтобы этого не случилось – предлагаем вашему вниманию базовый набор правил для безопасного функционирования вашего устройства.

Для примера – будем настраивать RB750.

Допустим, что интернет мы получаем на 1-й порт устройства. Подключение уже настроено и работает. А теперь непосредственно к самой настройке.

Настройка firewall на mikrotik

Подключаемся к устройству при помощи утилиты Winbox

Все этапы создания современной локалки рассмотрены в иллюстрированном практическом руководстве по созданию локальной сети от авторов сайта Твой Сетевичок

Переходим в меню интерфейса по пути IP > Firewall

В окне раздела переключаемся на вкладку Filter Rules

Если вы не удаляли стандартную конфигурацию, то у вас уже будут присутствовать некоторые правила. Для более тонкой настройки рекомендуем всегда удалять стандартную конфигурацию при первом запуске устройства (или после сброса).

Все правила в MikroTik работают по иерархии. Если правило под номером 1 запрещает определенное действие, а правило номер 2 разрешает, то действие работать не будет. Чтобы правило №2 заработало – его нужно переместить выше правила №1. Это можно сделать простым перетаскиванием мышью.

Правила №0 и №1. Разрешаем пинговать устройство

Это правило нужно для проверки связи с сетевым устройством в ОС Windows (также она присутствует в консолях и других систем, но имеет немного другой синтаксис) существует команда ping.

Запускается она на разных версиях Windows по-разному, но есть один способ, одинаковый для всех:

  • Нажимаем комбинацию клавиш Win+R;
  • В окне ввода команд набираем cmd;
  • Нажимаем Enter;

Запустится командная строка (черное окно). В ней вводим следующее:

Ping 192.168.5.1 и нажимаем Enter.

*для примера указан IP адрес RB750, у вас он может быть другим

Если в результате вы получили что-то вроде:

Ответ от 192.168.5.1: число байт=32 время<1мс TTL=64

Значит все хорошо, устройство «на связи».

Если получили что-то другое – значит питание устройства отключено или фаервол запрещает устройству отвечать на запросы.

Другие правила firewall на mikrotik

Правила №2 и №3. Разрешаем установленные подключения

*Комментарии к правилам можно написать, выделив нужное и нажав на клавиатуре букву C

В результате появится окно ввода комментария;

После ввода комментария нажимаем OK;

Правила №4 и №5. Разрешаем связанные подключения

                                                                                                           

Правило №6. Разрешаем подключаться из локальной сети

Адрес вашей сети может отличаться. В нашем случае сеть имеет адрес 192.168.5.0/24

Входной кабель от провайдера подключен на ether1

Правила №7 и №8. Запрещаем ошибочные соединения

Правило №9. Запрещаем все остальные входящие соединения из внешней сети

Правило №10. Разрешаем прохождение трафика из локалки в интернет

Правило №11. Запрещаем все остальные подключения

Вот такой список правил у вас должен получиться

MikroTik настроен, защищен и готов к работе.

 


Рубрики: оборудование
Авторизация
*
*
Генерация пароля