Home » Mikrotik » Mikrotik настройка простого Firewall

Mikrotik настройка простого Firewall

У меня дома давно стоит mikrotik в качестве роутера. Очень надежное решение. У меня не было внешнего IP адреса, поэтому настройкой firewall на mikrotik я не занимался. Мне просто было лень. Пришлось ее побороть.

Некоторое время назад приобрел статический внешний IP. Спустя несколько дней начались проблемы с интернетом. Он стал временами откровенно тупить. Mikrotik прямо из коробки предлагает все инструменты для решения подобных проблем. Зашел через winbox на него, открыл список интерфейсов, увидел траффик на внешнем. Зашел в его настройки, нажал Torch и стал смотреть, что там за траффик. Трафика там было полно, но без подробностей, только ip адреса. Ничего страшного. Идем в IP -> Firewall, открываем закладку Connections и смотрим, кто там и что от нас хочет. Скорее всего тупо боты сканят наш адрес в поисках уязвимостей. Больше всего запросов на 53-й порт.

Настройка Firewall в Mikrotik

Тут мне стало очевидно, что на Mikrotik надо настроить таки Firewall, чтобы закрыться от подобных соединений, которые приводят к тормозам в работе роутера. В интернете много информации по настройке fiewall в mikrotik, я не буду подробно описывать этот процесс. Прочитать подробно о настройке можно тут или тут. Я просто приведу свой набор правил для обычного домашнего роутера. Это минимальный набор правил фаервола, ничего лишнего и в то же время полная защита от ненужных подключений.
Здесь ether2 — внешний интерфейс, 192.168.1.0/24 — моя локальна сеть, 45000 — порт торрента.

Разрешаем пинги
add chain=input action=accept protocol=icmp
add chain=forward action=accept protocol=icmp

Разрешаем установленные подключения
add chain=input action=accept connection-state=established
add chain=forward action=accept connection-state=established
Разрешаем связанные подключения
add chain=input action=accept connection-state=related
add chain=forward action=accept connection-state=related
Разрешаем все подключения из нашей локальной сети
add chain=input action=accept src-address=192.168.1.0/24 in-interface=!ether2
Разрешаем входящие подключения для торрента
add chain=forward action=accept protocol=tcp in-interface=ether2 dst-port=45000
Обрубаем инвалидные подключения
add chain=input action=drop connection-state=invalid
add chain=forward action=drop connection-state=invalid
Обрубаем все остальные входящие подключения
add chain=input action=drop in-interface=ether2
Разрешаем доступ из локальной сети в интернет
add chain=forward action=accept in-interface=!ether2 out-interface=ether2
Обрубаем все остальные подключения
add chain=forward action=drop

Вот скриншот моих правил firewall. В принципе, по нему можно воссоздать все правила у себя на mikrotik:

Настройка mikrotik firewall

 

Настройка NAT в Mikrotik

Стоит до полноты картины добавить еще пару правил в закладке NAT. Первое непосредственно натит интернет из локалки, второе пробрасывает порт 45000 с внешнего интерфейса на торрент качалку с адресом 192.168.1.50

add chain=srcnat action=masquerade out-interface=ether2
add chain=dstnat action=dst-nat to-addresses=192.168.1.50 to-ports=45000 protocol=tcp in-interface=ether2 dst-port=45000

Настройка mikrotik nat

На этом все. Интернет лагать перестал. Стоит отметить, что я запретил все входящие подключения, кроме торрента. То есть удаленно моим mikrotik я управлять не смогу, все подключения закрыты firewall. Мне это просто не нужно. Если у вас есть такая потребность, то не забудьте разрешить входящие подключения в firewall для winbox.

И еще важное замечание. Я не рекомендую настраивать fierwall в mikrotik, да и не только в микротик удаленно. Я во время настройки ошибся и отключил себе доступ к устройству. Пришлось его ресетить и настраивать заново. Благо это не долго, не заняло много времени. Но имейте это ввиду. Лучше перед настройкой сделать backup, если вдруг ресетить придется 🙂

Онлайн курсы по Mikrotik

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по официальной программе MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте Курсы по ИТ. Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области.


Помогла статья? Есть возможность отблагодарить автора

Рекомендую полезные материалы по схожей тематике:

Комментарии:

14 комментариев

  1. На сколько я знаю, пинги так и так разрешены по-умолчанию, фаерволлом подключения дропаются или перенаправляются.
    У торрента диапазон портов.

    Могу написать статью для блокировки соц.сетей =)

    • Я конкретно на микротике не проверял с вклюенным на полный блок фаерволом пускать пинги. Но знаю, что в mikrotike фаервол реализован на базе iptables, а там абсолютно точно пинги, так же как и весь остальной траффик фильтруются отдельными правилами. Их можно как запретить, так и открыть. Подозреваю, что на микротике так же.

      Про блок соц. сетей было бы интересно посмотреть. У меня нет готовой методы на этот счет без прокси сервера. Я вообще не сторонник запретов. Сейчас у каждого смартфон или планшет в кармане. Заниматься блоком сайтов на шлюзе пустое дело, которое никому не нужно и отнимает только время администраторов.

      • Запреты полезны, если в локальной сети организации рулит микротик.
        Через прокси проц грузится сильно, если правил много, и отклик к сайтам чуть заторможен

        • Я немного не об этом. Какой смысл блокировать соц. сеть на компе, если у каждого сотрудника смартфон с интернетом. Он просто читает соц сети и прочую лабуду с телефона. Так и не проследишь, что он делает 🙂 А если на компе все открыто, то видно, кто чем занимается 🙂

          Мне кажется тут надо быть разумнее. Все эти махровые запреты всего и вся на шлюзе тянутся из тех времен, когда интернет был дорогой. Сейчас все изменилось, интернет за копейки у каждого в кармане. Что-то блокировать не имеет смысла.

          Нужны способы мотивации сотрудников, а не запреты. Например моя работа построена на результате. Я всегда работаю только на результат, а не на время. Соответственно, меня не надо ни заставлять ходить на работу, ни следить за тем, что я делаю, ни блокировать какие-то вещи. Надо именно так стараться организовывать работу сотрудников.

          • Согласен со смартфонами. В моем случае — организация находится на удалении от города, связь есть, а вот мобильный интернет очень плохой.Порой меня просят пароль от вафли, но после слов: там тоже блокируются соц.сети — они огорчаются). Ну и соответственно поставили мне задачу заблокировать всё и вся)

  2. А в отсутствие в конце правил drop всего есть какой то особый смысл?

    • Не понял вопрос. В конце есть правила drop на входящие и транзитные пакеты. В этом есть смысл.

      • Ну конкретнее, что меня интересует: во всех видимых мной конфигурациях, включая официальный сайт, цепочка output разрешена целиком, часто еще разрешена и forward.

        В этом есть какой то глубокий смысл? То есть предполагается, что мы надежно защитились от всех входящих пакетов и в внутренний сервисы роутера так, что в ее блокировки нет необходимости?

        • Я понял. Лично я всегда разрешаю исходящий трафик сервера, в данном случае роутера просто потому, что мне лень настраивать правила еще и для исходящего. Чаще всего исходящий разрешают. Но если есть желание, можно и его фильтровать и блокировать, нормальный ход, так делают некоторые. Возможно это и правильно с точки зрения безопасности.

          Безопасность такая штука, она никогда не бывает абсолютной. Ее можно усиливать до бесконечности. Нужно просто сопоставлять необходимые усилия на защиту и реальную необходимость этого. Я лично не понимаю, в чем может быть проблема исходящих соединений с роутера или сервера.

          Допустим у нас поселился какой-то червь. Он наверняка будет слать всю информацию на управляющий сервер по http порту, который практически всегда открыт.

          • Жизнь бьет ключем и чаще всего по голове. У меня например после очередного удара наращивается система бекапа, сейчас это 3 разных программы на 5 разных носителей. Хотя я не параноик.

            На самом деле это приблизительно так. У вас там исходящих правил будет пара — тройка, но если через output drop поперли пакеты, это повод задуматься. Но эта уже патетика.

Добавить комментарий

Ваш e-mail не будет опубликован.