Firewall на Mikrotik: базовая настройка безопасности
Firewall в MikroTikk – тема, на которую можно написать докторскую диссертацию. Раздел, который находится по пути IP > Firewall, предназначен для контролирования трафика во всех направлениях, относительно самого MikroTik:
- Входящий;
- Проходящий;
- Исходящий;
Самой востребованной функцией этого раздела – является возможность защиты внутренней сети маршрутизатора от атак извне. Так же данная функция с соответствующими правилами, позволяет фильтровать «мусор» из внешней сети, который может значительно нагружать RouterBoard, а это сказывается на производительности. Бывают даже попытки взлома устройства, особенно если у вас есть внешний IP адрес.
Так вот, чтобы этого не случилось – предлагаем вашему вниманию базовый набор правил для безопасного функционирования вашего устройства.
Для примера – будем настраивать RB750.
Допустим, что интернет мы получаем на 1-й порт устройства. Подключение уже настроено и работает. А теперь непосредственно к самой настройке.
Подключаемся к устройству при помощи утилиты Winbox
Переходим в меню интерфейса по пути IP > Firewall
В окне раздела переключаемся на вкладку Filter Rules
Если вы не удаляли стандартную конфигурацию, то у вас уже будут присутствовать некоторые правила. Для более тонкой настройки рекомендуем всегда удалять стандартную конфигурацию при первом запуске устройства (или после сброса).
Все правила в MikroTik работают по иерархии. Если правило под номером 1 запрещает определенное действие, а правило номер 2 разрешает, то действие работать не будет. Чтобы правило №2 заработало – его нужно переместить выше правила №1. Это можно сделать простым перетаскиванием мышью.
Правила №0 и №1. Разрешаем пинговать устройство
Это правило нужно для проверки связи с сетевым устройством в ОС Windows (также она присутствует в консолях и других систем, но имеет немного другой синтаксис) существует команда ping.
Запускается она на разных версиях Windows по-разному, но есть один способ, одинаковый для всех:
Настройка firewall на mikrotik
- Нажимаем комбинацию клавиш Win+R;
- В окне ввода команд набираем cmd;
- Нажимаем Enter;
Запустится командная строка (черное окно). В ней вводим следующее:
Ping 192.168.5.1 и нажимаем Enter.
*для примера указан IP адрес RB750, у вас он может быть другим
Если в результате вы получили что-то вроде:
Ответ от 192.168.5.1: число байт=32 время<1мс TTL=64
Значит все хорошо, устройство «на связи».
Если получили что-то другое – значит питание устройства отключено или фаервол запрещает устройству отвечать на запросы.
Правила №2 и №3. Разрешаем установленные подключения
*Комментарии к правилам можно написать, выделив нужное и нажав на клавиатуре букву C
В результате появится окно ввода комментария;
После ввода комментария нажимаем OK;
Правила №4 и №5. Разрешаем связанные подключения
Правило №6. Разрешаем подключаться из локальной сети
Адрес вашей сети может отличаться. В нашем случае сеть имеет адрес 192.168.5.0/24
Входной кабель от провайдера подключен на ether1
Правила №7 и №8. Запрещаем ошибочные соединения
Правило №9. Запрещаем все остальные входящие соединения из внешней сети
Правило №10. Разрешаем прохождение трафика из локалки в интернет
Правило №11. Запрещаем все остальные подключения
Вот такой список правил у вас должен получиться
MikroTik настроен, защищен и готов к работе.
