Настройка файервола в роутере Mikrotik

Настройка файервола в роутере Mikrotik

Твой Сетевичок

Все о локальных сетях и сетевом оборудовании

Firewall на Mikrotik: базовая настройка безопасности

Firewall в MikroTikk – тема, на которую можно написать докторскую диссертацию. Раздел, который находится по пути IP > Firewall, предназначен для контролирования трафика во всех направлениях, относительно самого MikroTik:

  • Входящий;
  • Проходящий;
  • Исходящий;

Самой востребованной функцией этого раздела – является возможность защиты внутренней сети маршрутизатора от атак извне. Так же данная функция с соответствующими правилами, позволяет фильтровать «мусор» из внешней сети, который может значительно нагружать RouterBoard, а это сказывается на производительности. Бывают даже попытки взлома устройства, особенно если у вас есть внешний IP адрес.

Так вот, чтобы этого не случилось – предлагаем вашему вниманию базовый набор правил для безопасного функционирования вашего устройства.

Для примера – будем настраивать RB750.

Допустим, что интернет мы получаем на 1-й порт устройства. Подключение уже настроено и работает. А теперь непосредственно к самой настройке.

Настройка firewall на mikrotik

Подключаемся к устройству при помощи утилиты Winbox

Переходим в меню интерфейса по пути IP > Firewall

В окне раздела переключаемся на вкладку Filter Rules

Если вы не удаляли стандартную конфигурацию, то у вас уже будут присутствовать некоторые правила. Для более тонкой настройки рекомендуем всегда удалять стандартную конфигурацию при первом запуске устройства (или после сброса).

Все правила в MikroTik работают по иерархии. Если правило под номером 1 запрещает определенное действие, а правило номер 2 разрешает, то действие работать не будет. Чтобы правило №2 заработало – его нужно переместить выше правила №1. Это можно сделать простым перетаскиванием мышью.

Правила №0 и №1. Разрешаем пинговать устройство

Это правило нужно для проверки связи с сетевым устройством в ОС Windows (также она присутствует в консолях и других систем, но имеет немного другой синтаксис) существует команда ping.

Запускается она на разных версиях Windows по-разному, но есть один способ, одинаковый для всех:

  • Нажимаем комбинацию клавиш Win+R;
  • В окне ввода команд набираем cmd;
  • Нажимаем Enter;

Запустится командная строка (черное окно). В ней вводим следующее:

Ping 192.168.5.1 и нажимаем Enter.

*для примера указан IP адрес RB750, у вас он может быть другим

Если в результате вы получили что-то вроде:

Настройка Firewall для роутера Mikrotik

В последнее время отчётливо можно проследить тенденцию к покупке девайсов повышенной сложности в использовании. Ярким примером тому является серия роутеров от Mikrotik, которыми стали пользоваться даже самые незнающие потребители. Конечно, после покупки и первого подключения устройство будет функционировать, но без должной базовой настройки microtik firewall и NAT ваша сеть будет как никогда уязвимой для самых различных злоумышленников извне.

Для полноценной и свободной работы или сёрфинга в интернете достаточно небольшого набора правил в firewall mikrotik настройках, а также в NAT, от этого зависит безопасность ваших данных.

Но для начала стоит в общих чертах понять суть правил файрвола:

  • Chain – цепь, получаемая при вводе своего названия
  • Scr. Address – адрес источника пакета
  • Dst. Address – адрес назначения пакета
  • Protocol – протокол подключения
  • Scr. Port – порт, со стороны которого поступил пакет.
  • Dst. Port – порт, на который поступил пакет
  • Any Port – абсолютно любой порт
  • P2P – протокол, к которому относится пакет
  • In Interface – Интерфейс, после передачи пакета
  • Out Interface – Интерфейс, в который передаётся пакет
  • Packet Mark – Пакет определённой маркировки
  • Connection Mark – – Пакет определённой маркировки
  • Routing Mark – Пакет определённой маркировки
  • Connection Type – Пакет определённого вида соединения

Читать еще:  Как обновить браузер Google Chrome

Firewall команды

Итак, разобравшись в общих чертах работы файрвола, мы можем приступать к непосредственному добавлению правил в него. Стоит сразу отметить, что данный свод правил является базовым и наиболее сбалансированным, без лишних деталей. Иначе говоря, данные настройки подойдут любому обычному пользователю интернета, продвинутые же пользователю не обратят внимания на данную статью в силу ненадобности.

1.Первым делом мы разрешим пинги:

add chain=input action=accept protocol=icmp

add chain=forward action=accept protocol=icmp

2.Затем дадим доступ установленным подключениям:

add chain=input action=accept connection-state=established

add chain=forward action=accept connection-state=established

3.Разрешим все подключения локальной сети:

add chain=input action=accept src-address=192.168.1.0/24 in-interface=!ether2

4.Также поступим и с связанными подключениями:

add chain=input action=accept connection-state=related

add chain=forward action=accept connection-state=related

5.Настраиваем подключения для торрента:

add chain=forward action=accept protocol=tcp in-interface=ether2 dst-port=45000

6.Отключаем доступ к неработающим подключениям:

add chain=input action=drop connection-state=invalid

add chain=forward action=drop connection-state=invalid

7.Вдобавок отсоединяемся от всех прочих входящих подключений

add chain=input action=drop in-interface=ether2

8.Подключаем доступ из локальной сети в интернет:

add chain=forward action=accept in-interface=!ether2 out-interface=ether2

9.На всякий случай отсоединяем доступ ко всем остальным подключениям, но это не обязательно:

add chain=forward action=drop

Итак, теперь осталось только настроить NAT, по умолчанию он должен быть включён.

Всего два правило NAT, которые обеспечат удобную работу с торрентом и сбалансируют локальную сеть:

add chain=srcnat action=masquerade out-interface=ether2

add chain=dstnat action=dst-nat to-addresses=192.168.1.50 to-ports=45000 protocol=tcp in-interface=ether2 dst-port=45000

По итогу в вкладках фильтра правил и NAT всё должно выглядеть соответственно скриншотам снизу:

Если же вы хотите узнать всё про Mikrotik, настройки firewall и NAT, можете ознакомиться с информацией, предоставленной на разных ресурсах, и уже исходя из усвоенного вы сможете самостоятельно настроить свой файрвол под себя.

Настройка фильтрации трафика на Mikrotik

Введение

С момента своего появления сеть Интернет многократно выросла. Также многократно увеличились такие показатели сети, как предоставляемые ресурсы, скорости обмена информацией, скорости подключения. Однако вместе с ростом полезных ресурсов, многократно выросли риски кражи информации, использования ресурсов не по назначение и другие опасности. Таким образом, каждый системный администратор ежедневно сталкивается с вопросами защиты обслуживаемых ресурсов.

Данная статья написана с целью описать функционал фильтрации трафика в операционной системе RouterOS, производства компании Mikrotik.

Особенности работы файрвола

Для базового понимания работы файрвола, необходимо ознакомиться с понятиями цепочки (chain), состояния соединения (connection state), условия и действия (action).

Цепочки (chain)

При фильтрации трафик, в зависимости от своего предназначения попадает в одну из цепочек (chain) обработки трафика. В фильтре предопределены три основные цепочки:

  • input входящий трафик предназначенный для маршрутизатора. Например, когда вы подключаетесь к маршрутизатору при помощи приложения winbox, трафик как раз попадает в эту цепочку.
  • output Исходящий трафик. Трафик, создаваемый самим маршрутизатором. Например, если вы выполните команду ping непосредственно с самого маршрутизатора, трафик попадет в эту цепочку.
  • forward Трафик, идущий через маршрутизатор. Например, если компьютер из локальной сети, установил соединение с внешним сайтом, данный трафик попадает в цепочку forward.

Читать еще:  Как установить игру в Steam?

Таким образом мы видим, что для защиты самого маршрутизатора необходимо использовать цепочку input, а для защиты и фильтрации трафика между сетями необходимо использовать цепочку forward.

Кроме того, администратор имеет возможность создавать свои собственные цепочки обработки трафика, к которым можно обращаться из основных цепочек. Данная возможность будет рассмотрена в дальнейшем.

Состояние соединения (connection state)

Каждое из сетевых соединений Mikrotik относит к одному из 4 состояний:

  • New – Новое соединение. Пакет, открывающий новое соединение, никак не связанное с уже имеющимися сетевыми соединениями, обрабатываемыми в данный момент маршрутизатором.
  • Established – Существующее соединение. Пакет относится у уже установленному соединению, обрабатываемому в данный момент маршрутизатором.
  • Related – Связанное соединение. Пакет, который связан с существующим соединением, но не является его частью. Например, пакет, который начинает соединение передачи данных в FTP-сессии (он будет связан с управляющим соединением FTP), или пакет ICMP, содержащий ошибку, отправляемый в ответ на другое соединение.
  • Invalid – Маршрутизатор не может соотнести пакет ни с одним из вышеперечисленных состояний соединения.

Исходя из вышеизложенного, мы видим, что хорошим вариантом настройки фильтрации пакетов будет следующий набор условий:

  • 1. Обрабатывать новые соединения (connection state = new), принимая решение об пропуске или блокировке трафика.
  • 2. Всегда пропускать соединения в состоянии established и related, так как решение о пропуске этого трафика было принято на этапе обработки нового соединения.
  • 3. Всегда блокировать трафик, для которого состояние соединения равно invalid, потому что этот трафик не относится ни к одному из соединений и фактически является паразитным.

Условие

При прохождении пакета через фильтр, маршрутизатор последовательно проверяет соответствие пакета заданным условиям, начиная от правила, расположенного первым. и последовательно проверяя пакет на соответствие правилам номер два, три и так далее, пока не произойдет одно из двух событий:

1.Пакет будет соответствовать заданному условию. При этом сработает соответствующее правило, в котором это условие было задано, после чего обработка пакета будет завершена.

2.Закончатся все условия и пакет не будет признан соответствующим ни одному из них. При этом, по умолчанию он будет пропущен дальше.

Исходя из п.2, нельзя не отметить, что есть две стратегии построения фильтра пакетов:

1.Нормально открытый файрвол. Данный тип настройки можно определить как «Все разрешено, что не запрещено». При этом мы запрещаем прохождение только некоторых типов трафика. Если пакет не соответствует этим типам – он будет пропущен. Обычно данный тип файрвола характерен для мест, где не предъявляется высоких требований к безопасности пользователей, а трафик может быть самым разнообразным и не поддающимся жесткой квалификации. Такая настройка характерна для операторов связи (Интернет-провайдеров), открытых точек доступа, домашних маршрутизаторов.

2.Нормально закрытый файрвол. Данный тип настройки можно определить как «Все запрещено, что не разрешено». При этом разрешается прохождение только определенных типов трафика, а последним правилом в файрволе стоит правило, запрещающее прохождение любого типа трафика. Такой тип настройки файрвола характерен для корпоративного использования, где существуют жесткие требования к безопасности.

Не могу сказать, что какая-то из стратегий является правильной, а какая-то неправильной. Обе стратегии имеют право на жизнь, но каждая — в определенных условиях.

Теперь подробнее распишем все варианты условий, на основании которых мы можем принимать решение о действии.

Читать еще:  Программы для создания слайд-шоу

Mikrotik: настройка Firewall

Роутеры Mikrotik очень гибки в настройке и обладают весьма обширным функционалом, но при неправильной настройке Firewall могут быть легко взломаны. Заводские настройки роутеров Mikrotik не обеспечивают полной безапосности, поэтому обезопасить свой роутер от проникновения можно лишь выполнив все настройки самостоятельно. Рассмотрим основные настройки Firewall и служб роутера Mikrotik.

Доступ к роутеру Mikrotik

Меняем имя пользователя по-умолчанию
По-умолчанию имя пользователя с полным доступ к роутеру admin. Смена стандартного имени усложнит получение доступа к роутеру.

Создаем сложный пароль
Для создания сложного и уникального пароля лучше воспользоваться генератором паролей. Безопасный пароль должен содержать символы верхнего и нижнего регистра, цифры и специальные символы.

Другой способ установки пароля

Доступ по IP адресу
Помимо того, что firewall защищает ваш роутер от несанкционированнного доступа из внешних сетей, существует возможно разрешить доступ к настройкам роутера только с определенного ip-адреса или сети.

где x.x.x.x — ip-адрес, yy — маска сети

Службы роутера Mokrotik

Для безопасного подключения к администрированию роутера используются доступы по SSH, HTTPS и приложение Winbox.

Смотрим какие службы задействованы на Mikrotik.

Отключаем службы, которые не используют безопасное подключение.

Меняем стандартный порт службы SSH, чтобы предотвратить большинство случайных попыток входа в систему различных SSH-взломщиков

Дополнительно можно задать доступ к службам только с определенного IP-адреса или сети. Например для службы Winbox установим доступ из сети 192.168.88.0 и маской 24

Чтобы отключить возможность обнаружения роутера в сетях можно отключить следующие службы.

Отключение обнаружения MAC-адреса

Отключаем Mac-telnet

Отключаем MAC-Winbox

Отключаем MAC-Ping

Отключаем Bandwidth server

Bandwidth server используется для проверки пропускной способности между двумя роутерами Mokrotik.

Отключаем Neighbor Discovery

Протокол Neighbor Discovery используется для распознавании других роутерово Mikrotik в сети. Отключаем его на всех интерфейсах

Кэширование DNS

В роутере может быть включена функция кэширования DNS для более быстрого разрешения доступа к удаленным серверам. Если у вас нет потребности в этом, то можете отключить.

Прочие службы Mikrotik

Кэширующий Proxy

Socks proxy

UPNP

Служба динамических имен или Cloud IP

Усиление безопасности SSH подключений

Включение усилинного шифрования для SSH

Интерфейсы роутера

Ethernet / SFP

Возьмите за правило отключать на роутере те интерфейсы, которые не используются. Это позволит снизить вероятность несанкцианированных подключений.

где x — номер неиспользованного интерфейса

LCD

Некоторые роутеры Mikrotik снабжены для удобства информационным дисплеем. Установите pin-код или отключите дисплей.

Firewall

Обработка подключений к роутеру IPv4

  • работаем с новыми соединениями для снижения нагрузки на маршрутизатор;
  • создаем список ip-адресов, которым разрешен доступ к маршрутизатору;
  • разрешаем ICMP запросы;
  • сбрасываем все остальные подключения.

Настройки firewall для клиентов роутера IPv4

  • Пакеты установленных и сопутствующих соединений добавляем в fasttrack для повышения пропускной способности;
  • сбрасываем все недействительные соединения и отмечаем их префиксом inval >Работа с пакетами протокола IPv6 отключена в роутерах Mikrotik по-умолчанию. При включении IPv6 роутер самостоятельно не создает правил для Firewall.

Отключаем обнаружение соседями для IPv6

Обработка подключений к роутеру IPv6

  • обрабатываем новые пакеты, принимаем установленные соединения и связанные (сопутствующие);
  • сбрасываем недействительные пакеты и помечаем префиксом;
  • принимаем ICMP пакеты;
  • пропускаем соединения от клиентов роутера в интернет;
  • сбрасываем все остальное.