Настройка Firewall Mikrotik Для Домашней Сети • Настройка ip-адресации

Для настройки фильтров в составе программного обеспечения сетевого экрана имеется интерфейс «Firewall Rule». С ним можно ознакомиться на картинке ниже: Для потока каждого из типов можно установить диапазон допустимых IP-адресов, допустимые порты и другие параметры пакетов потока. Этот скриншот наглядно показывает зависимость количества прохождения трафика по разным фильтрам и пропускную способность устройства в режиме маршрутизатора.

Шаг 1. Подключимся к маршрутизатору локально на консоль, и чтобы обезопасить пользователя admin от взлома отключим его, а вместо него заведем нового.

заходим под новым пользователем и отключаем admin-а

Тут есть несколько способов, первый воспользоваться мастером, второй задать вручную.

Сперва попробуем настроить интерфейсы при помощи мастера. Набираем команду “setup”.

Нажимаем a, в появившемся меню нажимаем a, набираем имя первого интерфейса, указываем IP адрес.

Это будет интерфейс провайдера. Так же указываем второй интерфейс для локальной сети и адрес для него.

Теперь указываем шлюз по умолчанию, выбираем клавишей g и вводим адрес.

Выходим из второго уровня меню (клавиша x), и из первого (клавиша x), настройки ip адресов сохранены, шлюз по умолчанию прописан.

Активируем интерфейс 0, который будет подключен к провайдеру и зададим ему ip адрес.

Проделаем туже про процедуру с локальным интерфейсом.

Теперь дальнейшую настройку можно продолжить с помощью графической оболочки “winbox,” но так как мы начали с консоли, то пройдем весь путь до конца в консоли, а потом повторим сделанное, начиная с шага 3 в графическом интерфейсе.

Мнение эксперта

Черноволов Александр Петрович, специалист по вопросам мобильной связи и интернета

Со всеми вопросами смело обращайтесь ко мне!

Задать вопрос эксперту

Данные устройства не отличаются стабильностью работы под нагрузкой из 20 компьютеров, не обладают гибкостью настройки, да и в целом не предназначены для поддержания большого количества клиентских устройств, тем самым вызывая многие проблемы. Если у вас не выходит разобраться в проблеме, пишите мне!

Mikrotik настройка Firewall и QOS • Александр Linux

Шаг 3. Настройка DNS.

Повторяем эти правила для каждой машины по данному шаблону.
Ну и под конец запрещаем все остальное, что не разрешили выше.

Теперь надо разрешить что бы входящие соединения по http, smtp и pop автоматически попадали бы на сервер.

Если мы говорим про абсолютный минимум и простоту, это на этом все. Какие действия были сделаны?

• Были включены два интерфейса ether1 и ether2.
• Назначены ip адреса для интерфейсов.
• Назначен шлюз по умолчанию.
• Заданы DNS сервера.
• Прописаны правила для машин с неограниченным доступом.
• Прописаны правила для машин с ограниченным доступом по портам.
• Прописаны правила преобразования сетевых адресов для доступа из вне к веб и почтовому серверам.

Теперь давайте вернемся к шагу №3 и сделаем все те же действия, но уже в графической оболочке “winbox”, что бы ее скачать необходимо зайти в веб интерфейс mikrotik-а, так называемый “webbox”, и скачать с главной страницы программку.

Запускаем, указываем адрес в локальной сети, который был назначен второму интерфейсу, имя и пароль пользователя, которого завели в самом начале.

Обратите внимание, в первой строке находится адрес полученный роутером MikroTik от модема включенного в первый порт (ether1-WAN). Первое отличие роутеров MikroTik от более привычных TP-Link, D-Link и прочего доступного в магазинах то, что входящим интернет портом может быть любой порт роутера и даже несколько портов, так же как и исходящим портом для локальной сети , а не один подписанный порт, как на привычных ранее роутерах. Подключимся к маршрутизатору локально на консоль, и чтобы обезопасить пользователя admin от взлома отключим его, а вместо него заведем нового.

Алгоритм работы фильтров

Фильтры firewall mikrotik обрабатывают входные пакеты по следующей схеме:

• Пакет последовательно подвергается сравнению с условием каждого из фильтров. Как только будет достигнут фильтр, условию которого соответствует пакет, — обработка прекращается и пакет пропускается.
• Если, перебрав все фильтры, сетевой экран не обнаруживает такого соответствия, то дальнейшая судьба пакета зависит от базовой настройки экрана, допускающей две возможные стратегии: «разрешено все, что не запрещено» и «все, что не разрешено — запрещено». Первая стратегия называется стратегией открытого экрана, вторая – стратегией закрытого экрана. Закрытый экран производит отсев пакетов гораздо более тщательно. Но такая настройка далеко не всегда подойдет большинству пользователей.

Для настройки фильтров в составе программного обеспечения сетевого экрана имеется интерфейс «Firewall Rule». С ним можно ознакомиться на картинке ниже:

Для потока каждого из типов можно установить диапазон допустимых IP-адресов, допустимые порты и другие параметры пакетов потока. Перед некоторыми из полей можно установить значок восклицательного знака – это означает логическое отрицание условия.

Мнение эксперта

Черноволов Александр Петрович, специалист по вопросам мобильной связи и интернета

Со всеми вопросами смело обращайтесь ко мне!

Задать вопрос эксперту

На изображении в окне Inrerface List видно созданный сетевой мост bridge1-LAN , а в окне Bridge перечислены сетевые порты добавленные в мост. Если у вас не выходит разобраться в проблеме, пишите мне!

MikroTik настройка для новичков »

• Контролирует входящий и проходящий трафик.
• Контролирует новые соединения (не реагируя на уже существующие) и не допускает открытия соединений неизвестного типа.
• Имеет правильную настройку фильтров для пакетов.

Другие параметры фильтрации

Более точную настройку firewall mikrotik можно осуществить при помощи остальных вкладок того же самого окна.

• На вкладке «Advanced» сосредоточены дополнительные опции по управлению пакетами. Здесь можно настроить адресные списки источников отправления и назначения пакетов, допустимое содержимое пакета, размеры пакетов, параметры соединения (например, его скорость), MAC-адреса источников пакетов, различные флаги и другие интересные параметры.
• На вкладке «Extra» находится расширенный перечень опций фильтрации: максимум числа одновременных коннектов, максимум одновременно передаваемых пакетов с одного и того же адреса, время действия правила, параметры хотспота и другое.
• Вкладка «Action» содержит действия при срабатывании фильтра: пакет может быть пропущен далее, удален из очереди, адрес пакета может быть добавлен в т.н. «адресный список», где пробудет некоторое время, информация о пакете может быть занесена в журнал. Также имеется любопытная опция «Tarpit», позволяющая завесить хост-отправитель на коннекте с нулевой скоростью передачи данных.

Рекомендую сделать файервол нормально закрытым. Т. е. в зависимости от конкретной конфигурации в конце должно быть правило, запрещающее все, что отдельно не разрешено. Использовать нормально открытый файервол нельзя, т. к. в этом случае устройство оказывается уязвимым. На написание этой статьи меня навело то, что регулярно, два — три раза в неделю ко мне приходят письма с просьбой оценить настройку файрвола. Все информационные потоки, проходящие через роутер, можно условно поделить на три категории входящие, исходящие и forward-цепочки можете считать их мимо проходящими.

Настройка firewall на mikrotik

Запустится командная строка (черное окно). В ней вводим следующее:

*для примера указан IP адрес RB750, у вас он может быть другим

Если получили что-то другое – значит питание устройства отключено или фаервол запрещает устройству отвечать на запросы.

*Комментарии к правилам можно написать, выделив нужное и нажав на клавиатуре букву C

Правило №6. Разрешаем подключаться из локальной сети

Адрес вашей сети может отличаться. В нашем случае сеть имеет адрес 192.168.5.0/24

Мнение эксперта

Черноволов Александр Петрович, специалист по вопросам мобильной связи и интернета

Со всеми вопросами смело обращайтесь ко мне!

Задать вопрос эксперту

Такая структура прохождения трафика внутри устройства, а как вы помните маркируем мы трафик в таблице Prerouting а не Postrouting. Если у вас не выходит разобраться в проблеме, пишите мне!

Firewall на Mikrotik: базовая настройка безопасности | 13g