Firewall на Mikrotik: базовая настройка безопасности
Firewall в MikroTikk – тема, на которую можно написать докторскую диссертацию. Раздел, который находится по пути IP > Firewall, предназначен для контролирования трафика во всех направлениях, относительно самого MikroTik:
- Входящий;
- Проходящий;
- Исходящий;
Самой востребованной функцией этого раздела – является возможность защиты внутренней сети маршрутизатора от атак извне. Так же данная функция с соответствующими правилами, позволяет фильтровать «мусор» из внешней сети, который может значительно нагружать RouterBoard, а это сказывается на производительности. Бывают даже попытки взлома устройства, особенно если у вас есть внешний IP адрес.
Так вот, чтобы этого не случилось – предлагаем вашему вниманию базовый набор правил для безопасного функционирования вашего устройства.
Для примера – будем настраивать RB750.
Допустим, что интернет мы получаем на 1-й порт устройства. Подключение уже настроено и работает. А теперь непосредственно к самой настройке.
Настройка firewall на mikrotik
Подключаемся к устройству при помощи утилиты Winbox
Переходим в меню интерфейса по пути IP > Firewall
В окне раздела переключаемся на вкладку Filter Rules
Если вы не удаляли стандартную конфигурацию, то у вас уже будут присутствовать некоторые правила. Для более тонкой настройки рекомендуем всегда удалять стандартную конфигурацию при первом запуске устройства (или после сброса).
Все правила в MikroTik работают по иерархии. Если правило под номером 1 запрещает определенное действие, а правило номер 2 разрешает, то действие работать не будет. Чтобы правило №2 заработало – его нужно переместить выше правила №1. Это можно сделать простым перетаскиванием мышью.
Правила №0 и №1. Разрешаем пинговать устройство
Это правило нужно для проверки связи с сетевым устройством в ОС Windows (также она присутствует в консолях и других систем, но имеет немного другой синтаксис) существует команда ping.
Запускается она на разных версиях Windows по-разному, но есть один способ, одинаковый для всех:
- Нажимаем комбинацию клавиш Win+R;
- В окне ввода команд набираем cmd;
- Нажимаем Enter;
Запустится командная строка (черное окно). В ней вводим следующее:
Ping 192.168.5.1 и нажимаем Enter.
*для примера указан IP адрес RB750, у вас он может быть другим
Если в результате вы получили что-то вроде:
Ответ от 192.168.5.1: число байт=32 время<1мс TTL=64
Значит все хорошо, устройство «на связи».
Если получили что-то другое – значит питание устройства отключено или фаервол запрещает устройству отвечать на запросы.
Другие правила firewall на mikrotik
Правила №2 и №3. Разрешаем установленные подключения
*Комментарии к правилам можно написать, выделив нужное и нажав на клавиатуре букву C
В результате появится окно ввода комментария;
После ввода комментария нажимаем OK;
Правила №4 и №5. Разрешаем связанные подключения
Правило №6. Разрешаем подключаться из локальной сети
Адрес вашей сети может отличаться. В нашем случае сеть имеет адрес 192.168.5.0/24
Входной кабель от провайдера подключен на ether1
Правила №7 и №8. Запрещаем ошибочные соединения
Правило №9. Запрещаем все остальные входящие соединения из внешней сети
Правило №10. Разрешаем прохождение трафика из локалки в интернет
Правило №11. Запрещаем все остальные подключения
Вот такой список правил у вас должен получиться
MikroTik настроен, защищен и готов к работе.
Автор: Вовка Барбоскин
Добавлено 13 марта, 2018 в 17:31
Всё настроил но инструкции.Понятно и очень хорошо описано. Но я не могу работать по FTP в локальной сети. Отключаю правило 11,всё работает. Ума не хватает разрешить 21 порт или может что то ещё.
Автор: 123
Добавлено 22 февраля, 2019 в 03:50
разреши порт 21 и перетяни вверх запрещающего правила
Автор: Sergey Kuznetsov
Добавлено 28 марта, 2018 в 11:48
Как двигать правила фаервола?
Автор: Denis
Добавлено 4 апреля, 2018 в 13:09
Здравствуйте! Что вы подразумеваете под “Двигать правила Firewall”?
Автор: Алекс
Добавлено 10 мая, 2018 в 13:09
перетащить выше или ниже по порядку, они обрабатываются по следовательно по номерам, например если 9 и 11 правила поднять вверх то никто не пройдет на микротик даже твоя сеть
Автор: ses
Добавлено 24 июля, 2019 в 06:44
Правило №10. Разрешаем прохождение трафика из локалки в интернет
у вас интерфей ether1 куда смотрит, как это правило разрешит доступ из локалки в интернет если у вас интерфей источник и назнаяение это один и тот же?
Автор: Антон
Добавлено 21 сентября, 2019 в 06:13
там стоит “!”
Автор: алексей
Добавлено 19 ноября, 2019 в 12:46
по этой схеме настроил два микротика, один норм, на втром всё в итоге дропится, не могу понять где что не так