Firewall на Mikrotik: базовая настройка безопасности

Firewall в MikroTikk – тема, на которую можно написать докторскую диссертацию. Раздел, который находится по пути IP > Firewall, предназначен для контролирования трафика во всех направлениях, относительно самого MikroTik:

  • Входящий;
  • Проходящий;
  • Исходящий;

Самой востребованной функцией этого раздела – является возможность защиты внутренней сети маршрутизатора от атак извне. Так же данная функция с соответствующими правилами, позволяет фильтровать «мусор» из внешней сети, который может значительно нагружать RouterBoard, а это сказывается на производительности. Бывают даже попытки взлома устройства, особенно если у вас есть внешний IP адрес.

Так вот, чтобы этого не случилось – предлагаем вашему вниманию базовый набор правил для безопасного функционирования вашего устройства.

Для примера – будем настраивать RB750.

Допустим, что интернет мы получаем на 1-й порт устройства. Подключение уже настроено и работает. А теперь непосредственно к самой настройке.

Настройка firewall на mikrotik

Подключаемся к устройству при помощи утилиты Winbox

Переходим в меню интерфейса по пути IP > Firewall

В окне раздела переключаемся на вкладку Filter Rules

Если вы не удаляли стандартную конфигурацию, то у вас уже будут присутствовать некоторые правила. Для более тонкой настройки рекомендуем всегда удалять стандартную конфигурацию при первом запуске устройства (или после сброса).

Все правила в MikroTik работают по иерархии. Если правило под номером 1 запрещает определенное действие, а правило номер 2 разрешает, то действие работать не будет. Чтобы правило №2 заработало – его нужно переместить выше правила №1. Это можно сделать простым перетаскиванием мышью.

Правила №0 и №1. Разрешаем пинговать устройство

Это правило нужно для проверки связи с сетевым устройством в ОС Windows (также она присутствует в консолях и других систем, но имеет немного другой синтаксис) существует команда ping.

Запускается она на разных версиях Windows по-разному, но есть один способ, одинаковый для всех:

  • Нажимаем комбинацию клавиш Win+R;
  • В окне ввода команд набираем cmd;
  • Нажимаем Enter;
Читайте еще:   Планшет не видит wifi: что делать?

Запустится командная строка (черное окно). В ней вводим следующее:

Ping 192.168.5.1 и нажимаем Enter.

*для примера указан IP адрес RB750, у вас он может быть другим

Если в результате вы получили что-то вроде:

Ответ от 192.168.5.1: число байт=32 время<1мс TTL=64

Значит все хорошо, устройство «на связи».

Если получили что-то другое – значит питание устройства отключено или фаервол запрещает устройству отвечать на запросы.

Другие правила firewall на mikrotik

Правила №2 и №3. Разрешаем установленные подключения

*Комментарии к правилам можно написать, выделив нужное и нажав на клавиатуре букву C

В результате появится окно ввода комментария;

После ввода комментария нажимаем OK;

Правила №4 и №5. Разрешаем связанные подключения

Правило №6. Разрешаем подключаться из локальной сети

Адрес вашей сети может отличаться. В нашем случае сеть имеет адрес 192.168.5.0/24

Входной кабель от провайдера подключен на ether1

Правила №7 и №8. Запрещаем ошибочные соединения

Правило №9. Запрещаем все остальные входящие соединения из внешней сети

Правило №10. Разрешаем прохождение трафика из локалки в интернет

Правило №11. Запрещаем все остальные подключения

Вот такой список правил у вас должен получиться

MikroTik настроен, защищен и готов к работе.


Рубрики: оборудование Тэги: |
  • Автор: Вовка Барбоскин

    Добавлено 13 марта, 2018 в 17:31

    Всё настроил но инструкции.Понятно и очень хорошо описано. Но я не могу работать по FTP в локальной сети. Отключаю правило 11,всё работает. Ума не хватает разрешить 21 порт или может что то ещё.

    Ответить
    • Автор: 123

      Добавлено 22 февраля, 2019 в 03:50

      разреши порт 21 и перетяни вверх запрещающего правила

      Ответить
  • Автор: Sergey Kuznetsov

    Добавлено 28 марта, 2018 в 11:48

    Как двигать правила фаервола?

    Ответить
    • Автор: Denis

      Добавлено 4 апреля, 2018 в 13:09

      Здравствуйте! Что вы подразумеваете под “Двигать правила Firewall”?

      Ответить
    • Автор: Алекс

      Добавлено 10 мая, 2018 в 13:09

      перетащить выше или ниже по порядку, они обрабатываются по следовательно по номерам, например если 9 и 11 правила поднять вверх то никто не пройдет на микротик даже твоя сеть

      Ответить
  • Автор: ses

    Добавлено 24 июля, 2019 в 06:44

    Правило №10. Разрешаем прохождение трафика из локалки в интернет

    у вас интерфей ether1 куда смотрит, как это правило разрешит доступ из локалки в интернет если у вас интерфей источник и назнаяение это один и тот же?

    Ответить
    • Автор: Антон

      Добавлено 21 сентября, 2019 в 06:13

      там стоит “!”

      Ответить
  • Автор: алексей

    Добавлено 19 ноября, 2019 в 12:46

    по этой схеме настроил два микротика, один норм, на втром всё в итоге дропится, не могу понять где что не так

    Ответить

Оставить комментарий

Авторизация
*
*
Генерация пароля