Базовая настройка Mikrotik для начинающих. Часть 2

Теперь для нормальной работы маршрутизатора, необходимо минимально его защитить, с помощью фаервола.

Сначала идем:

IP -> Firewall -> Service Ports

И выключаем все сервисные порты. По идеи они уже должны быть выключены, если вы читали первую часть.




Потом идем:

IP -> Firewall -> Services

И выключаем все сервисы кроме www и winbox

firewall01

Потом идем:

IP -> Firewall ->Filter Rules -> [+]

firewall02

В поле Src. Address нужно вписать вашу локальную сеть, и обязательно поставить в беленьком квадратике восклицательный знак, щелчком мыши. Если вы этого не сделаете, то не сможете больше управлять вашим роутером микротик через winbox из локальной сети которую вы написали.

Поле создания вышеизложенного правила нужно заблокировать доступ к маршрутизатору, всем кроме вашей локальной сети.

Таким образом создаем новое правило в Firewall -> Filter Rules -> [+]

firewall03

В поле Src. Address вписываем свою локальную сеть и обязательно ставим восклицательный знак рядом.

Дальше опишу вручную настройку фаервола, более быстрым способом.

Идем:

IP -> Firewall -> Filter Rules -> [+]

Вкладка: General

Chain: input

Connection State: invalid

Вкладка: Action

Action: drop

Кнопка: ОК


[+]

Вкладка: General

Chain: forward

Connection State: invalid

Вкладка: Action

Action: drop

Кнопка: ОК

[+]

Вкладка: General

Chain: forward

Protocol: icmp

Вкладка: Action

Action: accept

Кнопка: ОК

[+]

Вкладка: General

Chain: forward

Connection State: established

Вкладка: Action

Action: accept

Кнопка: ОК

[+]

Вкладка: General

Chain: forward

Connection State: related

Вкладка: Action

Action: accept

Кнопка: ОК

[+]

Вкладка: General

Chain: forward

Src. Address: 192.168.0.0/24 (сюда вписываем свою локальную сеть вида х.х.х.х/24)

In. Interface: bridge1 (сюда вписываем интерфейс на котором находится Ваша локальная сеть, в моем случае это сетевой интерфейс bridge)

Вкладка: Action

Action: accept

Кнопка: ОК

[+]

Вкладка: General

Chain: forward

Вкладка: Action

Action: drop

Кнопка: ОК

Все минимальный фаервол настроен. В нем реализована защита портов 80 и 8291 из вне, и разрешен вход только с локальной сети. Запретили неверные соединения. Разрешили нашей локальной сети выходить в интернет через фаервол, и заблокировали любые другие forward  соединения.

Да фаервол настроен, но это минимум, на котором нельзя останавливаться. Так как в таком виде фаервол не защищищает, от портсканеров, портмаперов, DDoS атак, флуда, icmp флуда, syn атак.

Для нормального фаервола и защиты от из вне, следуют прибегать к более глубокуму изучению фаервола, и в частности iptables. Ну а это уже в дальнейшем.