Drop all not coming from lan что это
Sun Sep 23, 2018 5:08 am
Hi! I had to disable "defconf: drop all not coming from LAN" otherwise my local CAPs Manager would not work. Am I missing something? I actually don't quite understand the need for this rule. Isn't it best hinged on WAN?
https://wiki.mikrotik.com/wiki/Manual:I . all/Filter didn't really help me (search for "drop all not coming"). You would expect to see some mapping to the RouterOS's defconf wouldn't you? Be nice if there was a function to double check WAN input is sane. I've had a compromise before when I accidentally allowed access to a default admin/nopasswd routerboard.
Trainer
Sun Sep 23, 2018 5:59 am
Great question! Yes, it is theoretically best hinged on WAN instead of not-LAN -- *however* -- the main reason this was not done is that many RouterOS novices who configure PPPoE (very commonly needed as a method to connect to the Internet, accomplished by adding a new PPPoE client interface) are completely unaware that they also need to manually add their PPPoE interface to the "WAN" interface list to secure their router properly. If they failed to add the PPPoE interface to the WAN interface list, and the rule that you refer to was blocking admin login from WAN instead of not-LAN, then hackers on the Internet would easily be able to get into their router if it had a weak password or a security vulnerability. By using not-LAN instead of WAN as the matching criteria for this rule, MikroTik ensures that, even if the user doesn't know (or forgets) to add the pppoe-out1 interface to the "WAN" interface list, their router will not be wide open for hackers to take control of.
Don't disable the rule, otherwise you are allowing login to your device from any IP anywhere for admin purposes (unless of course this device is completely protected by a firewall on a different device, in which case you don't really need any firewall rules). Either reconfigure the rule for WAN instead of not-LAN (and if you have a PPPoE interface, make sure that you add it to the "WAN" interface list), *or* add whatever interface your CAPSMAN/CAPS communication takes place on to the "LAN" interface list, in which case it will not be blocked.
(BTW, as an aside I am sorry for your bad experience on the unofficial MikroTik IRC chat room. Not all advanced users have equal patience with novices. I frequent the IRC chat that you visited before and youtube'd about, but was not around when you were trying to figure things out.)
Sun Sep 23, 2018 12:12 pm
I do `nmap` my IP, and I didn't notice any ports open. So there must be some other rule that makes my firewall work? I guess it's the
Trainer
Sun Sep 23, 2018 2:50 pm
Note that because “WAN” is an interface list, you can have multiple wan interfaces if you like (for instance, both ether1 and your pppoe interface). You don’t have to remove ether1 from WAN in order to add the pppoe interface.
Surely CAPsMAN communication should be on LAN by default? I can't tell what interface it's on looking at
Is the device using itself as a capsman? If so, you might need to create an input chain rule allowing all from source address 127.0.0.1 and place it above that drop rule.
I do `nmap` my IP, and I didn't notice any ports open. So there must be some other rule that makes my firewall work? I guess it's the
That rule is not part of the normal config and must have been added manually. It shouldn’t be necessary with the default “drop all from not LAN” rule.
Sun Sep 23, 2018 6:55 pm
If you have in mind the setup where a local CAPsMAN controls local wireless interfaces (alone or along with wireless interfaces on other machines), it is true that the default configuration's firewall rules do not cover that setup. The thing is that the cAP process (controlling the wireless interfaces in slave mode) talks to the CAPsMAN process via UDP, and if both these processes run on the same machine, their communication doesn't pass through any interface at all, regardless what IP addresses are used.
So one of the possible rules you have to add to an appropriate position in chain=input of /ip firewall filter to resolve this situation is chain=input action=accept in-interface-list=!all out-interface-list=!all. It permits locally originated packets to be locally received.
Other than that, if you want to connect remote cAPs to a local CAPsMAN, you have to provide necessary firewall rules just like for any other service. So into chain=input of /ip firewall filter, you have to add permissive rules for access to UDP ports 5246 and 5247 for source addresses (src-address, src-address-list) and/or interfaces (in-interface, in-interface-list) from which the cAPs will be connecting to the CAPsMAN. The opposite direction is handled by the common rule action=accept connection-state=established,related.
When thinking about connection of remote cAPs to the WAN side of the CAPsMAN, bear in mind that only the control communication is encrypted, so you may want to set up a secure tunnel. Other than that, a recovery from loss of control communication between cAP and CAPsMAN causes a noticeably longer gap in wireless user connectivity than the control communication loss causing it. So e.g. having a cAP and a CAPsMAN at two ends of a wireless link suffering from heavy interference is not a good idea.
Don't write novels, post /export hide-sensitive file=x. Use find&replace in your favourite text editor to systematically replace all occurrences of each public IP address potentially identifying you by a distinctive pattern such as my.public.ip.1.
Сегодня хочу поподробнее раскрыть тему защиты роутеров популярной латвийской марки. Речь пойдет о базовой настройке Firewall в Mikrotik для обеспечения безопасности и удобства. Статья на эту тему была написана уже давно, но я решил ее полностью переделать и актуализировать.
Введение
Итак, будем считать, что вы уже настроили роутер примерно так же, как я описал в своей статье. Есть локальная сеть, которая будет выходить в интернет через микротик. И есть сам микротик, который хочется защитить, ограничив доступ для всего лишнего, разрешив только то, что нам нужно.
192.168.88.1 | локальный адрес микротика |
bridge | название бриджа, в который объединены все интерфейсы для локальной сети |
ether1 | интерфейс для внешнего подключения WAN |
192.168.88.0/24 | локальная сеть, которую обслуживает микротик |
Как на микротике отключить файрвол
Для того, чтобы полностью отключить Firewall на микротике, достаточно просто отключить или удалить все правила в списке. По-умолчанию, в mikrotik используются разрешающие правила. Все, что не запрещено — разрешено. То есть если у вас нет ни одного активного правила, можно считать, что файрвол отключен, так как он пропускает все соединения без ограничений.
Вот пример отключенного фаервола на микротике 🙂
Итоговый список правил, настроенный по этой статье, получился вот такой:
Заключение:
Вот что получилось, вводим команду
Нас интересует правило. Чуть ниже отключенного правила 8 Fasttrack ;;; defconf: fasttrack (Disabled due to ipsec issues) и выше исходного правила 10 ;;; defconf: accept established,related, untracked
6 ;;; defconf: drop all not coming from LAN
chain=input action=drop in-interface-list=!LAN
7 ;;; defconf: accept out ipsec policy
chain=forward action=accept ipsec-policy=out,ipsec
8 X ;;; defconf: fasttrack (Disabled due to ipsec issues)
chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""
9 ;;; ;Fast Track everything except IPSEC stuff
chain=forward action=fasttrack-connection connection-state=established,related connection-mark=!ipsec log=no log-prefix=""
10 ;;; defconf: accept established,related, untracked
chain=forward action=accept connection-state=established,related,untracked
11 ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid
Как видите очень просто сделать конфигурацию Mikrotik Fasttrack L2TP IPSEC. Теперь мы имеем L2TP VPN работающий вместе с локальными соединениями. Наслаждаемся преимуществами Fasttrack .
Если у вас возникли вопросы оставляйте комментарии, либо создайте тему на Форуме
Подключаем роутер к сети, подаем питание и запускаем на компьютере winbox.
Переходим на вкладку Neighbors и ждем, когда утилита найдет наш роутер.
Либо подключаемся по 192.168.88.1 или по MAC.
Первоначальная настройка Quick Set:
Quick Set — это мастер автоматической конфигурации, который помогает быстро, не погружаясь в глубины тонкой настройки RoS, настроить роутер и начать им пользоваться.
В зависимости от устройства, вам могут быть доступны несколько шаблонов:
1. CAP — Режим управляемой точки доступа, требует наличия настроенного CAPsMAN
2. CPE (Customer Premises Equipment) — режим WiFi клиента, когда интернет вам приходит по WiFi и раздается на LAN порт(ы).
3. Home AP (Home Access Point)- маршрутизатор/точка доступа офисной или домашней сети.
4. WiSP AP (Wireless Internet Service Provider Access Point)- отличается от режима Home AP поддержкой проприетарных протоколов WiFi TDMA - nv2 и nstream.
5. PTP Bridge (Point to point bridge)- режим беспроводного радиомоста между двумя сетями (PtP). Возможно подключение только одного клиента. Если маршрутизатор подключен со стороны провайдера, то он выступает в роли Server AP, если со стороны клиента, то в роли Client AP (CPE).
6. Basic AP — Почти пустая конфигурация, подходит для развертывания автономно управляемых точек доступа (без CAPsMAN)
Что такое FastTrack:
FastTrack это технология маркировки IP пакетов для ускоренного прохождения через Packet Flow .
Для работы FastTrack необходимо соблюдать следующие условия:
- Должны работать RouteCache и FastPath
- Требуется маркировка трафика
- FastTrack работает только для UDP и TCP трафика
- mesh и metarouter выключены
- Желательно не использовать: /tool mac-scan и /tool ip-scan
- sniffer , torch и traffic generator в активном состоянии мешают работе.
Если что-то будет мешать прохождению пакета по fasttrack , он будет передан как и все оставшиеся пакеты по медленному пути.
Firewall и базовая настройка безопасности
Давайте теперь немного порассуждаем, зачем нужен файрвол и какие вопросы он решает. Причем не только в контексте микротика, а вообще. Сейчас каждый доморощенный админ рассказывает, как важно всегда настраивать firewall, иногда даже не понимая, для чего он нужен. Лично я не сторонник создания лишних сущностей, поэтому там где межсетевой экран не нужен, я его не настраиваю.
На самом деле такой кейс очень популярный дома или в мелких организациях, где нет постоянного админа. Просто настроен какой-то роутер, поднят NAT и все. Я понимаю, что не правильно не настраивать ограничения на доступ к управлению, но я рассказываю, как часто бывает. То есть firewall должен решать конкретную задачу по ограничению доступа к ресурсам, а не существовать просто так, чтобы был.
Еще популярны случаи, когда настроена куча правил, а в конце все равно стоит accept для всех подключений. Такие ляпы я сам иногда делал, когда отлаживал где-то работу сервиса и забывал потом вернуть обратно ограничения. Фаервол вроде настроен, но реально его нет. Если отключить — ничего не изменится.
К чему я все это написал? К тому, что прежде чем настраивать firewall, надо определиться с тем, для чего мы это делаем. Какие разрешения или ограничения и для кого мы будем вводить. После этого можно переходить к настройке.
Я рекомендую первым правилом при любой настройке firewall ставить разрешение на подключение к управлению устройством. Этим вы подстрахуете себя, если где-то дальше ошибетесь и заблокируете доступ к устройству в одном из правил.
В своем примере я буду настраивать межсетевой экран на микротике, находясь в локальной сети. Вам всегда советую поступать так же. Есть старая админская примета — удаленная настройка файрвола к дальнему пути.
Идем в раздел IP -> Firewall. Первая вкладка Filter Rules то, что нам надо. Если делаете настройку firewall с нуля, то там должно быть пусто. Добавляем новое правило.
По идее, надо еще заглянуть во вкладку action, но в данном случае не обязательно, так как там по-умолчанию и так выставляется нужное нам значение accept.
Дальше разрешаем уже установленные и связанные входящие соединения. Для этого создаем следующее правило.
Не забывайте писать комментарии для всех правил. Так вам проще самим будет. Через пол года уже позабудете сами, что настраивали и зачем. Не говоря уже о том, что кто-то другой будет разбираться в ваших правилах.
Теперь сделаем запрещающее правило, которое будет блокировать все входящие соединения через WAN интерфейс. В моем случае ether1.
Данными правилами мы заблокировали все входящие соединения из интернета и оставили доступ из локальной сети. Далее создадим минимальный набор правил для транзитных соединений из цепочки forward.
Первым правилом в фаерволе микротик для транзитного трафика будет правило с использованием фирменной технологии Fasttrack. Подробно о том, что это такое читайте в официальной wiki по ссылке. Если кратко, то данная технология экономит ресурсы процессора, за счет упрощенной обработки пакетов, к которым не надо применять дополнительных правил фаервола, ставить его в очереди и т.д. Это подойдет для большинства пользователей, у которых микротик это просто шлюз в интернет с небольшим набором простых правил в firewall. При этом транзитный трафик никак дополнительно не обрабатывается и не фильтруется.
Возьмем примеры этих правил из дефолтной конфигурации файрвола. Добавляем 2 новых правил для цепочки forward. В первом action выбираем fasttrack connection, во втором accept для established и related подключений.
Дальше по примеру дефолтной конфигурации, запретим и все invalid подключения.
В завершении запретим все подключения из WAN в LAN.
Подведем краткий итог того, что получилось. Вот самый простой, минимальный набор правил firewall в mikrotik для базового случая:
Запрещены все входящие подключения, в том числе ответы на пинги. Включена технология fasttrack для соединений из локальной сети. При этом из локальной сети разрешены абсолютно все подключения, без ограничений. То есть это пример типовой безопасной конфигурации для микротик в роли обычного шлюза в интернет для небольшого офиса или дома.
Но если firewall оставить как есть в таком виде, то раздачи интернета для локальной сети не будет. Для этого надо настроить NAT. Это сделать не сложно, рассказываю как.
Часть 2. Настройка интернета от провайдера:
11. Включаем NAT
12. Создаём подключение по правилам провайдера
Вариант 1. DHCP Client
Вариант 2. Статический IP
Вариант 3. PPPoE Client
13. Проверка соединения
14. Настройка системного времени
15. Удалённое подключение к роутеру по DDNS
Заключение
Не понравилась статья и хочешь научить меня администрировать? Пожалуйста, я люблю учиться. Комментарии в твоем распоряжении. Расскажи, как сделать правильно!
На этом все по базовой настройке firewall на mikrotik. Постарался показать максимально подробно базовый набор правил фаервола для обеспечения безопасности и защиты локальной сети и самого роутера.
Мой список правил не сильно отличается от дефолтного. Привел его последовательно по правилу, чтобы просто объяснить логику, как нужно рассуждать и действовать при добавлении правил. В качестве самостоятельной работы предлагаю добавить правило, разрешающее отвечать на пинги. Если самостоятельно не получилось сделать, напишите в комментарии, я приведу рабочий пример.
Тема эта обширная, наверняка у кого-то есть замечания и свои советы по предложенной настройке. Тут нет универсальных правил. Firewall в микротике основан на линуксовых iptalbes, а это безграничное поле для творчества 🙂
If you liked my post, feel free to subscribe to my rss feeds
This entry was written by admin and posted on 5th Февраль 2019 at 3:20 пп and filed under Uncategorised. Bookmark the permalink. Follow any comments here with the RSS feed for this post. Post a comment(Latest is displayed first) or leave a trackback: Trackback URL.
Сегодня хочу поподробнее раскрыть тему защиты роутеров популярной латвийской марки. Речь пойдет о базовой настройке Firewall в Mikrotik для обеспечения безопасности и удобства. Статья на эту тему была написана уже давно, но я решил ее полностью переделать и актуализировать.
Данная статья является частью единого цикла статьей про Mikrotik
Некоторое время назад я обновил и актуализировал статью про базовую настройку mikrotik . В комментариях многие люди пеняли мне на то, что я совсем не уделил внимание настройке фаервола. Мне не захотелось мешать все в кучу, поэтому я пишу отдельную подробную статью на эту тему, а в настройке роутера оставлю ссылку на нее.
Итак, будем считать, что вы уже настроили роутер примерно так же, как я описал в своей статье. Есть локальная сеть, которая будет выходить в интернет через микротик. И есть сам микротик, который хочется защитить, ограничив доступ для всего лишнего, разрешив только то, что нам нужно.
192.168.88.1локальный адрес микротикаbridge1-lanназвание бриджа, в который объединены все интерфейсы для локальной сетиether1-wanинтерфейс для внешнего подключения WAN192.168.88.0/24локальная сеть, которую обслуживает микротик
Firewall и базовая настройка безопасности
Давайте теперь немного порассуждаем, зачем нужен файрвол и какие вопросы он решает. Причем не только в контексте микротика, а вообще. Сейчас каждый доморощенный админ рассказывает, как важно всегда настраивать firewall, иногда даже не понимая, для чего он нужен. Лично я не сторонник создания лишних сущностей, поэтому там где межсетевой экран не нужен, я его не настраиваю.
На самом деле такой кейс очень популярный дома или в мелких организациях, где нет постоянного админа. Просто настроен какой-то роутер, поднят NAT и все. Я понимаю, что не правильно не настраивать ограничения на доступ к управлению, но я рассказываю, как часто бывает. То есть firewall должен решать конкретную задачу по ограничению доступа к ресурсам, а не существовать просто так, чтобы был.
Еще популярны случаи, когда настроена куча правил, а в конце все равно стоит accept для всех подключений. Такие ляпы я сам иногда делал, когда отлаживал где-то работу сервиса и забывал потом вернуть обратно ограничения. Фаервол вроде настроен, но реально его нет. Если отключить - ничего не изменится.
К чему я все это написал? К тому, что прежде чем настраивать firewall, надо определиться с тем, для чего мы это делаем. Какие разрешения или ограничения и для кого мы будем вводить. После этого можно переходить к настройке.
В своем примере я буду настраивать межсетевой экран на микротике, находясь в локальной сети. Вам всегда советую поступать так же. Есть старая админская примета - удаленная настройка файрвола к дальнему пути.
Часть 1. Настройка локальной сети:
1. Включаем wlan1
2. Cоздаём новые списки интерфейсов
3. Создаём Bridge
/interface bridge add admin-mac=00:00:00:00:00:00 auto-mac=no name=bridge1
4. Добавляем интерфейсы в bridge1
5. Назначаем сетевые настройки для bridge1
6. Создаём DHCP сервер
7. Настройка WiFi
8. Отключение лишних сервисов
9. Смена пароля администратора, создание новой учётной записи
10. Присваиваем уникальное имя роутеру
Конфигурируем Mikrotik Fasttrack с L2TP IPSEC:
Первое что требуется сделать это с помощью брандмауэра mangle отметить все соединения IPsec:
/ip firewall mangle add action=mark-connection chain=forward comment="mark ipsec connections to exclude them from fasttrack" ipsec-policy=out,ipsec new-connection-mark=ipsec
/ip firewall mangle add action=mark-connection chain=forward comment="mark ipsec connections to exclude them from fasttrack" ipsec-policy=in,ipsec new-connection-mark=ipsec
После того как вы сделали вышеописанное, требуется проверить:
Должно получиться что-то вроде этого :
[admin@Mikrotik] /ip firewall mangle> /ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=prerouting action=passthrough
1 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
2 D ;;; special dummy rule to show fasttrack counters
chain=postrouting action=passthrough
3 chain=prerouting action=mark-routing new-routing-mark=Vlan100 src-address=192.168.9.0/24
4 ;;; mark ipsec connections to exclude them from fasttrack
chain=forward action=mark-connection new-connection-mark=ipsec ipsec-policy=out,ipsec
5 ;;; mark ipsec connections to exclude them from fasttrack
chain=forward action=mark-connection new-connection-mark=ipsec ipsec-policy=in,ipsec
[admin@Mikrotik] /ip firewall mangle>
Далее требуется добавить правило fasttrack. Для быстрого отслеживания всех соединений, кроме отмеченных выше правилом mangle :
/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related connection-mark=!ipsec
Правило, которое мы только что создали, должно быть добавлено только там, где исходное правило fasttrack . Примерно так как получилось у меня:
Через правило командной строки номер 9 как в моем случае
;;; defconf: accept established,related, untracked
chain=forward action=accept connection-state=established,related,untracked
Проброс портов
Покажу на простом примере, как при настроенном NAT и включенном фаерволе выполнить проброс порта в mikrotik для доступа к службе в локальной сети. Пробросить порт можно в той же вкладке NAT в настройках Firewall.
Для примера выполним проброс порта rdp из интернета через микротик. Извне будет открыт порт 41221, а проброс будет идти на локальный адрес 192.168.88.10 и порт 3389.
Я настоятельно не рекомендую открывать доступ к rdp порту для всего интернета. Лично имел печальный опыт в такой ситуации. Обязательно настройте ограничение доступа по ip к этому порту, если такое возможно. Если невозможно, то не пробрасывайте порт, а сделайте доступ по vpn. Ограничение по ip делается просто. Добавляем еще один параметр в правило проброса порта.
Возвращаемся в правило проброса порта, переходим на вкладку Advanced и добавляем указанный список в Src. Adress List
Теперь для изменения списка доступа к проброшенному порту не надо трогать само правило. Достаточно отредактировать список.
Safe Mode
У Mikrotik есть интересное средство в виде Safe Mode , которое позволяет относительно безопасно настраивать Firewall удаленно. Суть его очень простая. Вы включаете этот режим через соответствующую настройку.
Fastrack был представлен в апреле 2016 года, начиная с версии 6.29. И в терминах позволяет пакетам для установленных соединений обойти ядро, тем самым повышая производительность и уменьшая общую нагрузку на процессор.
Однако есть известные проблемы, которые мешают Fasttrack правильно работать при использовании IPSec на mikrotik . Вы обнаружите, что если вы оставите правило Fasttrack по умолчанию включенным в правиле фильтров брандмауэра, L2TP Vpn будет очень медленным.
Если вы уже используете свой mikrotik в качестве клиента IPSec, вы, скорее всего, отключили свое правило Fasttrack в /Firewall , однако можно эту проблему обойти.Для этого требуется отменить все соединения IPSec и эффективно исключить их из правила Fasttrack .
Default firewall в Mikrotik
Если вы используете дефолтную конфигурацию роутера, то она по-умолчанию имеет стандартные правила firewall. Привожу список стандартных правил (rules) с комментариями. Напоминаю, что экспорт правил firewall в mikrotik можно выполнить следующей командой:
>> ip firewall export file=rules
Вот список стандартных правил:
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
В принципе, по приведенным комментариям примерно понятно, что тут происходит. Дропаются все входящие и транзитные соединения не из локальной сети, разрешен пинг - icmp, разрешен ipsec, разрешены установленные соединения. Все. Ну и настроен NAT через WAN интерфейс.
Во многих случаях данных правил по-умолчанию может быть достаточно обычному пользователю, который просто настроил маршрутизатор дома для выхода в интернет. Берите на вооружение, если вам от маршрутизатора больше ничего не надо.
Если же вы хотите получше разобраться в устройстве firewall и попробовать настроить его самостоятельно, то давайте разбираться дальше вместе.
Решение этой проблемы состоит в том, чтобы отметить все соединения IPSec и исключить их из правила Fasttrack.
Защита подключения через winbox
Расскажу отдельно о том, как защитить подключение по winbox с помощью firewall. В микротиках время от времени находят критические уязвимости. Единственным способом надежно от них защититься — ограничить доступ к winbox с помощью фаервола.
В приведенном выше списке правил для фаервола заблокированы все внешние подключения полностью. Это самый безопасный вариант настроек. Иногда нужен доступ к удаленному управлению. Самое безопасное в этом случае настроить vpn сервер на микротике и подключаться через vpn. Не всегда это уместно. Ограничение доступа по ip, если такое подходит, будет не менее безопасно.
Для начала создадим список IP, которым будет разрешено подключаться удаленно к winbox.
Добавляем правило в Firewall. Оно должно быть выше правила, где блокируются все входящие соединения.
В вкладке Advanced указываем список:
В разделе action ставим accept. Итоговый список правил должен быть таким.
Так мы обезопасили удаленный доступ через winbox. Считаю это самым простым и безопасным способом защиты микротика. Если есть возможность органичений по ip, всегда используйте. Это универсальный способ, годный для любого случая и системы, не только в отношении микротика.
В современном мире ИТ постоянно находят уязвимости. Невозможно всегда оперативно ставить обновления. Зачастую, эти обновления могут либо нарушить работу системы, либо содержать другие уязвимости. Только ограничение доступа к службам и системам позволяет более ли менее надежно защититься и спать спокойно, не торопясь обновляться со всех ног при обнаружении очередной критической уязвмости.
Часть 3. Настройка Firewall:
16. IP - Firewall
Создаём правила фильтрации трафика
/ip firewall filter add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!bridge1
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=accept chain=input comment="Allow L2TP IPSEC ports" port=1701,500,4500 protocol=udp
add action=accept chain=input comment=WinBox dst-port=9045 protocol=tcp
add action=accept chain=input comment=www disabled=yes dst-port=6753 protocol=tcp
add action=accept chain=forward comment="Allow access inside LAN" in-interface=ether1 out-interface=bridge1 src-address=192.168.6.0/24
add action=drop chain=input comment="Drop all BOGON from Domolan" in-interface=Domolan src-address-list=BOGON
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!bridge1
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Domolan
add action=dst-nat chain=dstnat dst-address=188.126.47.102 dst-port=8554 protocol=tcp to-addresses=192.168.6.9 to-ports=554
Настройка NAT в микротик
Для того, чтобы пользователи локальной сети, которую обслуживает роутер на микротике, смогли получить доступ в интернет, настроим на mikrotik NAT. Для этого идем в раздел IP -> Firewall, вкладка NAT и добавляем простое правило.
Действие указываем masquerade.
Все, NAT настроен, пользователи могут выходить в интернет.
Default firewall в Mikrotik
Если вы используете дефолтную конфигурацию роутера, то она по-умолчанию имеет стандартные правила firewall. Привожу список стандартных правил (rules) с комментариями. Напоминаю, что экспорт правил firewall в mikrotik можно выполнить следующей командой:
Вот список стандартных правил:
В принципе, по приведенным комментариям примерно понятно, что тут происходит. Дропаются все входящие и транзитные соединения не из локальной сети, разрешен пинг — icmp, разрешен ipsec, разрешены установленные соединения. Все. Ну и настроен NAT через WAN интерфейс.
Во многих случаях данных правил по-умолчанию может быть достаточно обычному пользователю, который просто настроил маршрутизатор дома для выхода в интернет. Берите на вооружение, если вам от маршрутизатора больше ничего не надо.
Читайте также: