Для настройки фильтров в составе программного обеспечения сетевого экрана имеется интерфейс «Firewall Rule». С ним можно ознакомиться на картинке ниже: Для потока каждого из типов можно установить диапазон допустимых IP-адресов, допустимые порты и другие параметры пакетов потока. Этот скриншот наглядно показывает зависимость количества прохождения трафика по разным фильтрам и пропускную способность устройства в режиме маршрутизатора.
Шаг 1. Подключимся к маршрутизатору локально на консоль, и чтобы обезопасить пользователя admin от взлома отключим его, а вместо него заведем нового.
заходим под новым пользователем и отключаем admin-а
Тут есть несколько способов, первый воспользоваться мастером, второй задать вручную.
Сперва попробуем настроить интерфейсы при помощи мастера. Набираем команду “setup”.
Нажимаем a, в появившемся меню нажимаем a, набираем имя первого интерфейса, указываем IP адрес.
Это будет интерфейс провайдера. Так же указываем второй интерфейс для локальной сети и адрес для него.
Теперь указываем шлюз по умолчанию, выбираем клавишей g и вводим адрес.
Выходим из второго уровня меню (клавиша x), и из первого (клавиша x), настройки ip адресов сохранены, шлюз по умолчанию прописан.
Активируем интерфейс 0, который будет подключен к провайдеру и зададим ему ip адрес.
Проделаем туже про процедуру с локальным интерфейсом.
Теперь дальнейшую настройку можно продолжить с помощью графической оболочки “winbox,” но так как мы начали с консоли, то пройдем весь путь до конца в консоли, а потом повторим сделанное, начиная с шага 3 в графическом интерфейсе.
Mikrotik настройка Firewall и QOS • Александр Linux
Шаг 3. Настройка DNS.
Повторяем эти правила для каждой машины по данному шаблону.
Ну и под конец запрещаем все остальное, что не разрешили выше.
Теперь надо разрешить что бы входящие соединения по http, smtp и pop автоматически попадали бы на сервер.
Если мы говорим про абсолютный минимум и простоту, это на этом все. Какие действия были сделаны?
- Были включены два интерфейса ether1 и ether2.
- Назначены ip адреса для интерфейсов.
- Назначен шлюз по умолчанию.
- Заданы DNS сервера.
- Прописаны правила для машин с неограниченным доступом.
- Прописаны правила для машин с ограниченным доступом по портам.
- Прописаны правила преобразования сетевых адресов для доступа из вне к веб и почтовому серверам.
Теперь давайте вернемся к шагу №3 и сделаем все те же действия, но уже в графической оболочке “winbox”, что бы ее скачать необходимо зайти в веб интерфейс mikrotik-а, так называемый “webbox”, и скачать с главной страницы программку.
Запускаем, указываем адрес в локальной сети, который был назначен второму интерфейсу, имя и пароль пользователя, которого завели в самом начале.
Обратите внимание, в первой строке находится адрес полученный роутером MikroTik от модема включенного в первый порт (ether1-WAN). Первое отличие роутеров MikroTik от более привычных TP-Link, D-Link и прочего доступного в магазинах то, что входящим интернет портом может быть любой порт роутера и даже несколько портов, так же как и исходящим портом для локальной сети , а не один подписанный порт, как на привычных ранее роутерах. Подключимся к маршрутизатору локально на консоль, и чтобы обезопасить пользователя admin от взлома отключим его, а вместо него заведем нового.
Алгоритм работы фильтров
Фильтры firewall mikrotik обрабатывают входные пакеты по следующей схеме:
- Пакет последовательно подвергается сравнению с условием каждого из фильтров. Как только будет достигнут фильтр, условию которого соответствует пакет, — обработка прекращается и пакет пропускается.
- Если, перебрав все фильтры, сетевой экран не обнаруживает такого соответствия, то дальнейшая судьба пакета зависит от базовой настройки экрана, допускающей две возможные стратегии: «разрешено все, что не запрещено» и «все, что не разрешено — запрещено». Первая стратегия называется стратегией открытого экрана, вторая – стратегией закрытого экрана. Закрытый экран производит отсев пакетов гораздо более тщательно. Но такая настройка далеко не всегда подойдет большинству пользователей.
Для настройки фильтров в составе программного обеспечения сетевого экрана имеется интерфейс «Firewall Rule». С ним можно ознакомиться на картинке ниже:
Для потока каждого из типов можно установить диапазон допустимых IP-адресов, допустимые порты и другие параметры пакетов потока. Перед некоторыми из полей можно установить значок восклицательного знака – это означает логическое отрицание условия.
MikroTik настройка для новичков »
- Контролирует входящий и проходящий трафик.
- Контролирует новые соединения (не реагируя на уже существующие) и не допускает открытия соединений неизвестного типа.
- Имеет правильную настройку фильтров для пакетов.
Другие параметры фильтрации
Более точную настройку firewall mikrotik можно осуществить при помощи остальных вкладок того же самого окна.
- На вкладке «Advanced» сосредоточены дополнительные опции по управлению пакетами. Здесь можно настроить адресные списки источников отправления и назначения пакетов, допустимое содержимое пакета, размеры пакетов, параметры соединения (например, его скорость), MAC-адреса источников пакетов, различные флаги и другие интересные параметры.
- На вкладке «Extra» находится расширенный перечень опций фильтрации: максимум числа одновременных коннектов, максимум одновременно передаваемых пакетов с одного и того же адреса, время действия правила, параметры хотспота и другое.
- Вкладка «Action» содержит действия при срабатывании фильтра: пакет может быть пропущен далее, удален из очереди, адрес пакета может быть добавлен в т.н. «адресный список», где пробудет некоторое время, информация о пакете может быть занесена в журнал. Также имеется любопытная опция «Tarpit», позволяющая завесить хост-отправитель на коннекте с нулевой скоростью передачи данных.
Рекомендую сделать файервол нормально закрытым. Т. е. в зависимости от конкретной конфигурации в конце должно быть правило, запрещающее все, что отдельно не разрешено. Использовать нормально открытый файервол нельзя, т. к. в этом случае устройство оказывается уязвимым. На написание этой статьи меня навело то, что регулярно, два — три раза в неделю ко мне приходят письма с просьбой оценить настройку файрвола. Все информационные потоки, проходящие через роутер, можно условно поделить на три категории входящие, исходящие и forward-цепочки можете считать их мимо проходящими.
Настройка firewall на mikrotik
Запустится командная строка (черное окно). В ней вводим следующее:
*для примера указан IP адрес RB750, у вас он может быть другим
Если получили что-то другое – значит питание устройства отключено или фаервол запрещает устройству отвечать на запросы.
*Комментарии к правилам можно написать, выделив нужное и нажав на клавиатуре букву C
Правило №6. Разрешаем подключаться из локальной сети
Адрес вашей сети может отличаться. В нашем случае сеть имеет адрес 192.168.5.0/24
Firewall на Mikrotik: базовая настройка безопасности | 13g
Содержание статьи
- 1 Шаг 1. Подключимся к маршрутизатору локально на консоль, и чтобы обезопасить пользователя admin от взлома отключим его, а вместо него заведем нового.
- 2 Mikrotik настройка Firewall и QOS • Александр Linux
- 3 Шаг 3. Настройка DNS.
- 4 Алгоритм работы фильтров
- 5 MikroTik настройка для новичков »
- 6 Другие параметры фильтрации
- 7 Firewall на Mikrotik: базовая настройка безопасности | 13g