Home » Mikrotik » Mikrotik настройка простого Firewall

Mikrotik настройка простого Firewall

У меня дома давно стоит mikrotik в качестве роутера. Очень надежное решение. У меня не было внешнего IP адреса, поэтому настройкой firewall на mikrotik я не занимался. Мне просто было лень. Пришлось ее побороть.

Углубленный онлайн-курс по MikroTik

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном онлайн-курcе по администрированию MikroTik. Автор курcа – сертифицированный тренер MikroTik Дмитрий Скоромнов. Более 40 лабораторных работ по которым дается обратная связь. В три раза больше информации, чем в MTCNA.

Данная статья устарела. Я опубликовал более современную и полную инструкцию по настройке фаервола в микротик. Рекомендую использовать ее для настройки межсетевого экрана.

Некоторое время назад приобрел статический внешний IP. Спустя несколько дней начались проблемы с интернетом. Он стал временами откровенно тупить. Mikrotik прямо из коробки предлагает все инструменты для решения подобных проблем. Зашел через winbox на него, открыл список интерфейсов, увидел траффик на внешнем. Зашел в его настройки, нажал Torch и стал смотреть, что там за траффик. Трафика там было полно, но без подробностей, только ip адреса. Ничего страшного. Идем в IP -> Firewall, открываем закладку Connections и смотрим, кто там и что от нас хочет. Скорее всего тупо боты сканят наш адрес в поисках уязвимостей. Больше всего запросов на 53-й порт.

Настройка Firewall в Mikrotik

Тут мне стало очевидно, что на Mikrotik надо настроить таки Firewall, чтобы закрыться от подобных соединений, которые приводят к тормозам в работе роутера. В интернете много информации по настройке fiewall в mikrotik, я не буду подробно описывать этот процесс. Прочитать подробно о настройке можно тут или тут. Я просто приведу свой набор правил для обычного домашнего роутера. Это минимальный набор правил фаервола, ничего лишнего и в то же время полная защита от ненужных подключений.
Здесь ether2 - внешний интерфейс, 192.168.1.0/24 - моя локальна сеть, 45000 - порт торрента.

Разрешаем пинги
add chain=input action=accept protocol=icmp
add chain=forward action=accept protocol=icmp

Разрешаем установленные подключения
add chain=input action=accept connection-state=established
add chain=forward action=accept connection-state=established
Разрешаем связанные подключения
add chain=input action=accept connection-state=related
add chain=forward action=accept connection-state=related
Разрешаем все подключения из нашей локальной сети
add chain=input action=accept src-address=192.168.1.0/24 in-interface=!ether2
Разрешаем входящие подключения для торрента
add chain=forward action=accept protocol=tcp in-interface=ether2 dst-port=45000
Обрубаем инвалидные подключения
add chain=input action=drop connection-state=invalid
add chain=forward action=drop connection-state=invalid
Обрубаем все остальные входящие подключения
add chain=input action=drop in-interface=ether2
Разрешаем доступ из локальной сети в интернет
add chain=forward action=accept in-interface=!ether2 out-interface=ether2
Обрубаем все остальные подключения
add chain=forward action=drop

Вот скриншот моих правил firewall. В принципе, по нему можно воссоздать все правила у себя на mikrotik:

Настройка mikrotik firewall

 

Настройка NAT в Mikrotik

Стоит до полноты картины добавить еще пару правил в закладке NAT. Первое непосредственно натит интернет из локалки, второе пробрасывает порт 45000 с внешнего интерфейса на торрент качалку с адресом 192.168.1.50

add chain=srcnat action=masquerade out-interface=ether2
add chain=dstnat action=dst-nat to-addresses=192.168.1.50 to-ports=45000 protocol=tcp in-interface=ether2 dst-port=45000

Настройка mikrotik nat

На этом все. Интернет лагать перестал. Стоит отметить, что я запретил все входящие подключения, кроме торрента. То есть удаленно моим mikrotik я управлять не смогу, все подключения закрыты firewall. Мне это просто не нужно. Если у вас есть такая потребность, то не забудьте разрешить входящие подключения в firewall для winbox.

И еще важное замечание. Я не рекомендую настраивать fierwall в mikrotik, да и не только в микротик удаленно. Я во время настройки ошибся и отключил себе доступ к устройству. Пришлось его ресетить и настраивать заново. Благо это не долго, не заняло много времени. Но имейте это ввиду. Лучше перед настройкой сделать backup, если вдруг ресетить придется :)

Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Рекомендую полезные материалы по схожей тематике:

Углубленный онлайн-курс по MikroTik

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном онлайн-курcе по администрированию MikroTik. Автор курcа – сертифицированный тренер MikroTik Дмитрий Скоромнов. Более 40 лабораторных работ по которым дается обратная связь. В три раза больше информации, чем в MTCNA.

Автор Zerox

Владимир, системный администратор, автор сайта. Люблю настраивать сервера, изучать что-то новое, делиться знаниями, писать интересные и полезные статьи. Открыт к диалогу и сотрудничеству. Если вам интересно узнать обо мне побольше, то можете послушать интервью. Запись на моем канале - https://t.me/srv_admin/425 или на сайте в контактах.

68 комментариев

  1. Станислав

    Здравствуйте, а Вы сами проверяли это? строка add chain=forward action=drop обрубает интернет весь,когда отключаешь эту строку,тогда работает

    • Конечно проверял и не только я. Эта статья устарела, есть более актуальная - https://serveradmin.ru/bazovaya-nastrojka-firewall-v-mikrotik/
      Хотя и в этой нет явных ошибок и проблем. Указанная строка и должна блокировать весь транзитный трафик через роутер. Если вам не надо его блокировать, то не добавляйте ее. А если нужнор заблокировать весь транзитный трафик, а разрешить только какой-то конкретный, то перед правилось с блокировкой всего, добавьте нужное вам разрешающее правило.

      В общем, рекомендую ознакомиться с новой статьей. Там все это более подробно объяснено.

  2. Привет.
    Скажи пжста почему это правило (add action=drop chain=forward comment="drop all Forward not 192.168.145.0/24" out-interface=ether1-WAN src-address=!192.168.145.0/24) перестает работать если убрать out-interface=ether1-WAN. В частности перестают ходить пинги из локалки во внешку. Не совсем понял когда нужно указывать интерфейс а когда не нужно.
    Спасибо

    • Затрудняюсь ответить. Надо смотреть весь список правил. По идее, не должно ничего измениться для доступа во внешний интерфейс, если убрать его явное указание. Его нужно указывать, чтобы конкретизировать правило. Ведь forward может идти не только во внешний интерфейс, но и в какую-то другую локальную сеть, которая тоже подключена к этому микротику. Так же может быть несколько выходов в интернет. Поэтому и используется более конкретное уточнение, что именно блокируем.

      Допустим, если есть одна локалка и один выход в интернет, то не будет разницы, указать out-interface=ether1-WAN или нет. Все равно forward будет возможен только в одно направление - из локалки в интернет по одному интерфейсу. А вот если WAN интерфейса два, то можно заблокировать выход только через какой-то конкретный. Смысл такой.

      • Аноним

        Спасибо.
        Но я никак не могу допетрить. Дело в том, что это единственное правило, и один выход в интернет. Всё я симулирую на ГНС3. Там у меня виртуальный ПК, который идет в комплекте, поэтому я могу проверять только пингами, что есть выход в инет. Стоит мне убрать это (out-interface=ether1-WAN) как пинги перестают ходить :/
        Готов скинуть полный конфиг и скрин если нужно.

        • Мне не надо конфиг :) Вообще, эта статья давно устарела и есть новая более подробная - https://serveradmin.ru/bazovaya-nastrojka-firewall-v-mikrotik/ Может там понятнее будет.

          Плюс, хороший способ узнать, какое правило и почему блокирует соединения - включить у него логирование. В логе будет понятно, какой пакет откуда и куда блокируется.

  3. Объясните. пожалуйста, в чем смысл последней строки?

    add chain=forward action=drop

    Мы ведь тем самым закрываем любой доступ в локалку

    Ведь достаточно этих правил для того, чтобы не ломились на 53 udp порт на роутер:

    Flags: X - disabled, I - invalid, D - dynamic
    0 D ;;; special dummy rule to show fasttrack counters
    chain=forward action=passthrough

    1 chain=forward action=fasttrack-connection log=no log-prefix=""

    2 chain=forward action=accept connection-state=established,related,untracked log=no log-prefix=""

    3 chain=forward action=accept protocol=tcp dst-port=3389 log=no log-prefix=""

    4 chain=forward action=accept protocol=tcp dst-port=3342 log=no log-prefix=""

    5 X chain=forward action=accept src-address=192.168.26.0/24 dst-address=192.168.25.0/24 log=no log-prefix=""

    6 X chain=forward action=accept src-address=192.168.25.0/24 dst-address=192.168.26.0/24 log=no log-prefix=""

    7 chain=forward action=drop connection-state=invalid log=no log-prefix="frw_drop"

    8 ;;; INPUT Established, Related, Untracked
    chain=input action=accept connection-state=established,related,untracked log=no log-prefix=""

    9 ;;; Allow ICMP
    chain=input action=accept protocol=icmp log=no log-prefix=""

    10 ;;; Local VPN Server
    chain=input action=accept protocol=tcp in-interface=pptp-out1 dst-port=1723 log=no log-prefix=""

    11 chain=input action=accept protocol=gre in-interface=pptp-out1 log=no log-prefix=""

    12 ;;; HOME OpenVPN Router
    chain=input action=accept protocol=tcp in-interface=pptp-out1 dst-port=1194 log=no log-prefix=""

    13 ;;; IPCam
    chain=input action=accept protocol=udp in-interface=pptp-out1 dst-port=554 log=no log-prefix=""

    14 ;;; Invalid DROP
    chain=input action=drop connection-state=invalid log=no log-prefix="in_input_drop"

    15 ;;; Drop Dest. 53 port on WAN/PPTP
    chain=input action=drop connection-state="" protocol=udp in-interface=pptp-out1 dst-port=53 log=no log-prefix="53port_drop"

    16 chain=input action=drop connection-state="" protocol=udp in-interface=ether5 dst-port=53 log=no log-prefix="53port_drop"

    17 chain=input action=drop connection-state="" protocol=udp in-interface=ovpn-out1 dst-port=53 log=no log-prefix="53port_drop"

    18 ;;; BAN
    chain=input action=drop src-address-list=BannedIP log=no log-prefix="ban_ip"

  4. Аноним

    Плохая статья. Все ваши правила можно объединить в 6 правил файрволла и одно правило НАТ.

    • Этот комментарий имел бы какой-то практический смысл, если бы вы эти правила привели.

      А вообще, статье эта устарела, о чем сказано в самом начале, причем специально выделено цветом.

  5. Почему все боятся настраивать firewal удаленно? Автор пишет:

    И еще важное замечание. Я не рекомендую настраивать fierwall в mikrotik, да и не только в микротик удаленно. Я во время настройки ошибся и отключил себе доступ к устройству. Пришлось его ресетить и настраивать заново. Благо это не долго, не заняло много времени. Но имейте это ввиду. Лучше перед настройкой сделать backup, если вдруг ресетить придется

    Есть прекрасная кнопка Safe Mode, она как раз поможет. Перед настройкой правил нажимаете эту кнопку. Если в процессе настроек у вас пропадет связь с микротиком, то настройки вернутся до состояния, которое было перед нажатием этой кнопки. Если настройки сделаны и Вы проверили, что все работает, то отжимаете эту кнопку и настройки сохраняются.

    • Все верно. Похожие механизмы есть не только в микротике. В линуксах есть подобные скрипты. А первый такой скрипт я увидел еще в freebsd. Он откатывал изменения назад, если связь с сервером терялась после изменения правил фаервола. Если все делать аккуратно, то можно работать удаленно. Думаю, каждый сам дойдет до этого с появлением опыта. Статьи, подобно этой, читают в основном новички. Считаю, что в таком случае лучше перестраховаться.

    • А еще есть старая админская поговорка: "Удаленная настройка фаервола к дальней дороге" :)
      Лично я ни разу не катался из-за неверной удаленной работы. Я всегда все аккуратно делаю и перестраховываюсь. Но как другие катаются видел.

      • Согласен. Но бывают ситуации когда необходимо срочно добавить некоторое правило и сделал это возможно только удаленно. В этом случае только Safe Mode.

        • Небольшой комментарий по работе SafeMode
          1. Что бы он сработал нужно подключаться именно УДАЛЕННО, а не запускать винбокс с удаленного сервера, на который зашли по РДП :)
          Неоднократно сталкивался с подобным "стилем работы" у новичков
          2. Обязательно проверьте не открыт-ли винбокс еще где-то. Например в system, scripts, вкладка jobs (учтите, что каждый запущенный в Вашей сессии winbox терминал будет отображаться как отдельная сессия, плюс там будут отображаться запущенные на данный момент скрипты). Если в jobs'ах висит несколько сессий, проверьте подключения на firewall, вкладке connections.
          Эта проблема может встречаться, когда кто-то из пункта 1 запустил винбокс в удаленной сети и просит Вас помочь посмотреть что у него не получается. Если запущено более одной сессии, то safemode не сработает.

          • Блин, друг, ты мне прям глаза открыл. Буквально вчера настраивал микрот удаленно, подключившись по teamviewer на комп в локальной сети. Настраивал и фаервол и автопереключение каналов. Конечно, включил safe mode. Хорошо, что все прошло хорошо и инет не пропал :) Меня бы тупо отключило от tv и safe mode не помог бы. Я просто забыл про это.

            • Всегда рад помочь :)
              И сам косячил также. Хуже всего когда работы очень важные, все делаешь вечером, как обычно. В офисе уже никого нет. Бывало приходилось ехать рано утром к офису клиента, цепляться с улицы по вайфай и откатывать изменение. Что-бы никто не заметил!! :)))))
              Еще один нюанс есть. Когда был на курсе по MTCNA (правда уже года три назад было, возможно что-то поменялось сейчас). SafeMode хранит порядка 100 изменений. Превысив эту планку они все откатываются обратно. т.е. сделали важное изменение, проверили, отжали/нажали сейфмод.
              Третий момент из практики командной работы. Если подключаемся на сервер и выидим кем-то забытый не выключенный винбокс, обязательно возмущаемся и срочно его закрываем. Но! Нужно обращать внимание - не выдаст-ли он окошка вида: "Вы точно хотите закрыть сессию и откатить все изменения?" :)
              Однажды так на автопилоте закрыл чужую сессию с кнопкой SafeMod нажатой и откатил свеженастроенных двух провайдеров (хорошо, что это было не удаленно).
              P.S. Еще лайфхак с курсов. Если нужно удаленно рестартануть основной и единственный провайдерский интерфейс, то нажав на крестик (disable) мы отрубим интерфейс и связь прервется. В такой критичной ситуации надо нажимать на галочку (enable). Она на самом деле делает disable и сразу за ним enable. Так интерфейс перезапустится. Но сначала желательно проверить на установленной версии RouterOS на другом тестовом роутере. И делать только в крайнем случае - вдруг интерфейс не поднимется по каким-то причинам?)
              P.P.S Спасибо за отличные статьи - это большой труд! :))))

  6. доброго времени
    прописал правила как Увас, но в начале довавил два разрешающих под винбокс и ссш,
    отключив правило разрешающее виндокс подключеие через ван всеравно могу законектится винбоксом. что я делаю не так?

    • Ошибка где-то. Скорее всего в конце забыли добавить правило, запрещающее все подключения, либо где-то в правилах ошиблись.

  7. Константин

    Добрый день. прописал рекомендуемые Вами настройки. Решил проверить удаленные подключения: удаленные подключения к Wdmycloud ушли, а вот Mihome приложение все еще работает удаленно из других сетей могу управлять камерами и пылесосом. Подскажите, пожалуйста, как победить этот вопрос и убрать возможность удаленного подключения к камерам.

  8. Павел Гаврилов

    Странная статья. Сначала объясняется, как цепляться к устройству (что подразумевает, что написано для полных чайников), а потом нигде не объясняется, как настраиваются интерфейсы, объединяются в свитч порты и где прописываются настройки IP для LAN и WAN.

  9. Алексей

    Подскажите пожалуйста. )
    Настраивал все так же, как и у Вас, но есть один момент. )
    Не пробрасываются порты, вернее не так, если кидаешь порт, например входящий 3434 на локальный адрес, в порт 3434, то все хорошо, все пробрасывается, а если хочешь подменить порт, то есть входящий порт, например 13434, хочешь передать на 3434, то ничего не получается. ) Или нужно ещё какие-то действия проделывать? )

    Благодарю. )

    • В Firewall делаешь forward порта 3434 на Dist. address в свою локалку с action accept
      Потом в NAT chain dstnat с dst. address провайдера на dst. port 13434 на внутреннем in. interface action dstnat to address на ip машины в локалку to ports 3434

      как-то так , надеюсь понятно ... :-)

  10. > Это бесконечный процесс, который отнимает массу человеческого труда
    Белые и чёрные списки ) Лимитирование трафика
    В настоящее время, когда часы превращаются в полиграф - всё намного проще, хотя и сложней.
    Гугл в своих инструментах намного более диктаторский и тоталитарный инструмент, чем всё, что когда то предъявлялось MS
    От принудительной блокировки и удаления приложений с информацией до неограниченного размера резервных копий за любое время

    > По моему мнению, такие методы только отобьют желание адекватных людей работать.
    так если инструмент применяется неправильно - конечно. Но виноват в этом не инструмент и его возможности

  11. > Нужны способы мотивации сотрудников, а не запреты. Например моя работа построена на результате.
    Как мотивировать бюджетников и окладников? У которых работа - присутствие от и до, секретарь или вахтёр
    Всегда можно вместо телефониста нанять модель-полиглота, Джеймса Бонда или переплачивать кратный коэффициент к лояльности
    Но это скорее редкое исключение, подтверждающее практику

    Вот как вам мотивация сотрудника - заработать все деньги и всех нае...горить по кругу?
    Любой активный сотрудник, продаван или снабженец, а так же топ - потенциальный двойной-тройной и более агент
    Особенно, когда на предприятии не 5-15 сотрудников, а 150-500 и более.
    Знаете, читал такое: Работаю в организации. Устроен официально, в то же время подрабатываю тут же анонимно фриланс.
    Было забавно, когда меня второго ставили в пример мне первому.
    Когда мне-фрилансеру предложили устроиться на постоянку на мою же должность - уже было даже не смешно.

    Опытный и профессиональный фрилансер - норма и мастер по втиранию липовых затрат,
    при работе на 4-6 заказчиков или ловле халявы. С чего бы не применять такую же практику и на постоянной работе?

    Даже не обязательно иметь дурные намерения, просто психология: заказчик(в т ч работодатель)
    начинает плохо спать и много думать, если знает, что задача занимает 15 минут работы профи, а не 5 нормо часов
    Начинается внедрение KPI, повышенных обязательств каждый месяц и квартал с одновременным уменьшением доходной части

    Не только лишь все могут платить, когда при оплате за реальный результат доход резко прыгает
    А ЗП результативного сотрудника кратно и постоянно превышать доход генерального директора
    И директор не обязательно бяка-бука: если ЗП официальная, резкий скачок может вызвать шквал подозрений налоговой
    Да и учредителя с владельцем тоже. Возникшая паранойя, срач, встречная проверка могут доставить массу проблем

    • Ну и какие из описанных проблем решает блокировка сайтов на шлюзе? Сидеть фриланс биржи блочить, потом бесплатные почты, потом аннонимайзеры. Это бесконечный процесс, который отнимает массу человеческого труда. Потом надо разбираться с софтом, который не умеет работать через прокси и т.д. В общем, это большая проблема, которая требует постоянного участия специалистов.

      Я хочу сказать, что ко всем мерам нужно подходить разумно. Не всегда такой подход будет оправдан. Сил потрачено много, а результат стремится к нулю. Я сотрудничал с одной компанией и там как раз меня просили настроить прокси, отчеты и анализировать их. Я заметил, что сотрудники реально лазят по левым сайтам, кто-то в выходных на сменах кино смотрел. Им это запретили. Люди стали сидеть в телефонах. Там каждое рабочее место просматривается камерой. Запретили на рабочем месте пользоваться телефонами. Стали чаще ходить курить, чтобы поговорить и полазить по телефону. Ограничили число перекуров в день. Что стало дальше - не знаю, я больше не работаю с этой компанией. По моему мнению, такие методы только отобьют желание адекватных людей работать. Останутся дуболобые исполнители, которые как роботы сидят от звонка до звонка и смотрят в монитор. Собственно, текучка в компании была среди сотрудников, может быть в том числе и из-за описываемых действий.

  12. > Сейчас у каждого смартфон или планшет в кармане.
    Трафик в большинстве случаев, на мобиле конечен.
    Кроме того, пользователь может быть вне доступа к сети(подвал, экранированное помещение)

    > Заниматься блоком сайтов на шлюзе пустое дело
    Сходу накидаю 2 типовых кейса, но их много больше даже у сисадмина, а у безопасника их на порядки больше
    а) Утилизация канала (особенно предприятий, организаций, где дороже и уже) тяжёлым медиа контентом в HD и FHD,
    + торрент, способный прогрузить даже гигабитный канал и SSD диск.
    Не сталкивались с кадрами, качающими BD домой на вечер? )
    Чтобы не платить за домашний интернет или платить по минимуму, только за тот же 3G. Ну а чо - питик не лишний
    б) коммерческий шпионаж. Ясно дело, микротик не того уровня железка, это отдельное мероприятие
    Т к можно так же тупо снимать мобилой. Но зачем облегчать дело и за свой счёт скоростной копипаст?
    в) Вообще, коммерческий интернет отдельная тема.
    Формально, директор обязан стучать провайдеру, сливая список сотрудников, имеющих доступ в интернет
    Т к отвечает за всю деятельность предприятия вообще и сотрудника в частности, в том числе сетевую.
    То, что в РФ'ии царит пофигизм - не означает принципиальную невозможность применения
    Как уже писал ранее, силовой орган всегда может прислать запрос: кто у вас там такой дерзкий, но мутный?
    бэ-мэ, шайтан-игиш, директор и вахтёр имеют равный-одинаковый доступ в интернет через интернет-тройник?
    Что троян - не колебёт, личные половые трудности организации, пока не доказано обратное и тык пальцем в тело
    Настоящий серийный маньяк или террорист мира №9 - часто самый аккуратный, безликий сотрудник, 0 претензий и внимания

    • Эта тема такая, ее можно обсуждать бесконечно. Я не теоретизирую в данном случае, а описываю свой опыт работы. Сотрудники смотрят fullhd? И мы будем их ловить и запрещать им? Уволить этих сотрудников или их руководителей. Если сотрудники могут смотреть фильмы на работе, то там такое качество управления, что контроль канала интернета последнее, что нужно делать.

      Не обязательно сидеть и жестко контролить трафик на шлюзе. Достаточно дать понять юзерам, что он контролится. Этого чаще всего достаточно. Можно показательно кого-нибудь наказать разок.

      В одной компании, где я работал, директор поступил вообще хитро. Он сделал должность сотрудника информационной безопасности и взял туда обычного эникея с функцией принеси-подай. Но об этом никто не знал. Все думали, что за ними жестко следят. Даже через год директор одного департамента, когда мы уже оба не работали в той компании, как-то при общении меня спросил, зачем его контролили, следили за экраном и слушали телефон. Он не поверил, когда я сказал ему, что ничего этого не было.

      В другой раз этому же "безопаснику" один сотрудник дал денег за то, чтобы тот не слил его. Этот человек неожиданно стал претендовать на высокую должность в связи с уходом руководителя. Он не ожидал такого поворота и перед этим немного общался в почте с человеком, которого не жалуют в этой компании. Будучи обычным сотрудником, он не видел в этом проблем для себя, но когда дело приняло оборот с повышением, он решил, что это может тормознуть его движение вверх и решил себя обезопасить. Сунул при встрече десятку штук рублей "безопаснику", который вообще за ним не следил, но быстро сориентировался, когда понял, чем пахнет дело.

      Вот это я понимаю безопасность. А сидеть мониторить траф на шлюзе это чаще всего пустая трата времени. По крайней мере в обычных компаниях, не связанных с информацией, требующей особого отношения (банкинг, базы персональных данных и т.д.) То есть речь об обычных коммерческих организациях.

      Я то настраивал эти шлюзы, но чаще всего никто не сидел и не смотрел статистику, потому что это отнимает приличное время.

      • Эх, такую простыню накатал, но всё случайно стёр ((
        Вкратце: у вас хороший опыт администрирования,
        но управления коллективами и жизненного опыта - гораздо меньше, если вообще есть
        Для примера, чтобы не быть голословным и далеко не ходить, переходя на личности:
        > Уволить этих сотрудников или их руководителей.
        Всех не перевешаете (ц) А если (или когда) перестреляете - работать будет некому
        Не всё так просто и однозначно, грубое, примитивное и прямолинейное решение
        Просто потому, что косвенный ущерб может на порядки превышать прямой ущерб

        > Вот это я понимаю безопасность.
        Ещё один пример: никакая не безопасность, единичный случай удачной ложной её имитации
        Нет ничего дороже, чем дешевая безопасность (ц)
        Запретите кадровику общаться с коллегами вне рабочее место-время или через 2-3 руки либо мессенджеры?
        Знаю случаи, когда личные дела, гриф ДСП, сливались за шоколадку. СБ, УСБ, камеры и пропуска.
        Крупнейший банк страны, бюджеты и технологии, недостижимые для 90% организаций
        Если коллектив хочет чего-то узнать - коллективный разум это узнает

  13. Аноним

    Если последним правилом не поставить add action=drop chain=input , то грош цена вашему фаерволу. Забьют флудом по 53 порту.

    • Это правило в статье присутствует:

      Обрубаем все остальные входящие подключения
      add chain=input action=drop in-interface=ether2

      Без него, конечно, нет смысла что-то разрешать, если нет общего запрета.

      • Аноним

        да присутствует, но если его не опустить в самый низ или не продублировать внизу последней строчкой, то появляется уязвимость, которая перечеркивает смысл этой конфигурации. Я применил вашу конфигурацию и флуд на 53 порт начисто забил роутер и невозможно было подключиться к роутеру удаленно, помогло лишь запирание в последней строке этим правилом.

  14. Владимир

    А правило в файерволе drop-input, фильтрующее битые пакеты, разве не должно стоять перед разрешающими правилами? Иначе какой в нем смысл?

    • Разрешающие правила пропускают обычные пакеты, а это отрезает invalid. У меня оно работает в таком виде. Вот актуальный скрин:
      firewall

      • Владимир

        В данном случае оно работает просто как счетчик инвалидных пакетов, уже после того как микротику пришлось их обработать. А вот если поместить это правило в самый верх, тогда оно будет действовать как надо.

  15. Подскажите,а как создать правило,запрещающее скачивать видео в дневное время?

  16. Прошу помощи в настойке несложной сети и firewall на Mikrotik rb2011uias

    1 Нужно чтобы network 1 не видела устройств за мадемом/роутером. От network 1 в сеть проходит только интернет!
    2. зеленая и красная сети не связаны (из любой сети в прямоугольнике другую/параллельную сеть увидеть нельзя - сканерами портов или IP или еще чем)
    3. PC1 и PC2 имеют доступ к NAS хранилищу.

    Я пробовал по юзерски разделить network 1 и Интернет 1 разными роутерами, но так как их связывает NAS сети видно!

    http://i89.fastpic.ru/big/2017/1006/a0/cf163509353fa4fc74c57be54cd944a0.jpg

  17. Дмитрий

    Добрый день! Провел все настройки, включая интернет, фаервол и Capsman. Недавно заметил, что через винбокс пропал доступ к роутеру по МАК адресу, при этом доступ по ip работает. Все запрещающие правила на input отключил, но проблема так и не решилась, в чем может быть проблема?

    • Если я правильно понимаю, то для доступа по mac адресу, вы должны быть подключены через один и тот же свитч с устройством.

      • Дмитрий

        Да, так и есть. причем Winbox находит роутер автоматически на вкладке neghibors и подключается при двойном челчке по ip адресу, а при двойном щелчке по МАМ адресу - подключение не происходит. Сначала думает, потом пишет "Error: Could not connect to ***"
        Есть предположение, что проблема появилась после настройки маршрутов

  18. Вот то же самое спросить хотел - так forward или input? Я и у других авторов такое замечал как чайнику разобраться?

  19. Не ошибка ли в статье? когда разрешаем торренты на картинке input, а в команде терминала forward.

  20. Максим

    http://prnt.sc/exdj80
    http://prnt.sc/exdj05
    Первое нат, второе фаервол. При отключении в нате правила редиректа на 443 порт, все начинает работать. Как только включаю, все соединения ssl перестают работать. Микротик сбрасывал пару раз, настраивал только правило проброса, но результат тот же...
    Пинги ходят нормально. Апдейты микротика последние. В чем может быть дело, ума не приложу(

    • По скриншотам правила не видно. Только нюанс - редирект это не проброс порта.

  21. Максим

    Спасибо за материал, но есть такой вопрос.
    За микротиком, в локальной сети, стоит веб сервер.
    На него прокинуты 80,443 порты. Проблема в том, что пока эти правила работают, у машин внутри локальной сети не работает браузер, у линуксов перестает работать yun update/install
    как только отключаю эти два правила, сразу все заводится и работает. Как можно сделать, чтобы правила проброса работали но и браузер у локальных машин тоже работал?
    dst-nat менял на netmap результата не дало

    • Тут явно какая-то ошибка в настройках фаервола. Проброс портов не должен мешать работе приложений на этих портах.

  22. При такой настройке, соединения между WiFi и Ethernet запрещены. Сразу не заметно, т.к. вифи работает и сеть работает, полез на ssh с телефона на домашний сервер и удивился.

    • Добавь правило

      add chain=forward action=accept src-address=192.168.88.0/24 dst-address=192.168.88.0/24 in-interface=Bridge-LAN out-interface=Bridge-LAN comment="Allow access inside LAN"

      И устройства будут видеть друг-друга

  23. А можно и сразу написать

    add chain=input action=accept connection-state=established,related
    add chain=forward action=accept connection-state=established,related

  24. add chain=input action=accept src-address=192.168.1.0/24 in-interface=!ether2 воcклецательный знак для чего перед ether2?

    • Это отрицание. Означает любой интерфейс, кроме ether2.

      • у меня 2 WAN, как мне тут быть? подскажите пож-та, Спасибо

        • Попробовать 2 отрицания поставить (не проверял) или просто перечислить все не WAN интерфейсы вручную. Вариантов может быть много, это не принципиально. Можно делать как удобно.

          • я так понял это правило для подключений между LAN интерфесами? оно не нужно если используем только один LAN интерфейс? Спасибо

  25. Виталий

    В шапке Winbox'а есть кнопка "Save mode" нажимаете ее и настраиваете firewall, если в процессе настройки у вас отваливается Nikrotik, winbox видит это и reboot'ит MIkrotik в состояние "до изменений". Процесс занимает минут 10.

  26. А в отсутствие в конце правил drop всего есть какой то особый смысл?

    • Не понял вопрос. В конце есть правила drop на входящие и транзитные пакеты. В этом есть смысл.

      • Ну конкретнее, что меня интересует: во всех видимых мной конфигурациях, включая официальный сайт, цепочка output разрешена целиком, часто еще разрешена и forward.

        В этом есть какой то глубокий смысл? То есть предполагается, что мы надежно защитились от всех входящих пакетов и в внутренний сервисы роутера так, что в ее блокировки нет необходимости?

        • Я понял. Лично я всегда разрешаю исходящий трафик сервера, в данном случае роутера просто потому, что мне лень настраивать правила еще и для исходящего. Чаще всего исходящий разрешают. Но если есть желание, можно и его фильтровать и блокировать, нормальный ход, так делают некоторые. Возможно это и правильно с точки зрения безопасности.

          Безопасность такая штука, она никогда не бывает абсолютной. Ее можно усиливать до бесконечности. Нужно просто сопоставлять необходимые усилия на защиту и реальную необходимость этого. Я лично не понимаю, в чем может быть проблема исходящих соединений с роутера или сервера.

          Допустим у нас поселился какой-то червь. Он наверняка будет слать всю информацию на управляющий сервер по http порту, который практически всегда открыт.

          • Жизнь бьет ключем и чаще всего по голове. У меня например после очередного удара наращивается система бекапа, сейчас это 3 разных программы на 5 разных носителей. Хотя я не параноик.

            На самом деле это приблизительно так. У вас там исходящих правил будет пара - тройка, но если через output drop поперли пакеты, это повод задуматься. Но эта уже патетика.

  27. На сколько я знаю, пинги так и так разрешены по-умолчанию, фаерволлом подключения дропаются или перенаправляются.
    У торрента диапазон портов.

    Могу написать статью для блокировки соц.сетей =)

    • Я конкретно на микротике не проверял с вклюенным на полный блок фаерволом пускать пинги. Но знаю, что в mikrotike фаервол реализован на базе iptables, а там абсолютно точно пинги, так же как и весь остальной траффик фильтруются отдельными правилами. Их можно как запретить, так и открыть. Подозреваю, что на микротике так же.

      Про блок соц. сетей было бы интересно посмотреть. У меня нет готовой методы на этот счет без прокси сервера. Я вообще не сторонник запретов. Сейчас у каждого смартфон или планшет в кармане. Заниматься блоком сайтов на шлюзе пустое дело, которое никому не нужно и отнимает только время администраторов.

      • Запреты полезны, если в локальной сети организации рулит микротик.
        Через прокси проц грузится сильно, если правил много, и отклик к сайтам чуть заторможен

        • Я немного не об этом. Какой смысл блокировать соц. сеть на компе, если у каждого сотрудника смартфон с интернетом. Он просто читает соц сети и прочую лабуду с телефона. Так и не проследишь, что он делает :) А если на компе все открыто, то видно, кто чем занимается :)

          Мне кажется тут надо быть разумнее. Все эти махровые запреты всего и вся на шлюзе тянутся из тех времен, когда интернет был дорогой. Сейчас все изменилось, интернет за копейки у каждого в кармане. Что-то блокировать не имеет смысла.

          Нужны способы мотивации сотрудников, а не запреты. Например моя работа построена на результате. Я всегда работаю только на результат, а не на время. Соответственно, меня не надо ни заставлять ходить на работу, ни следить за тем, что я делаю, ни блокировать какие-то вещи. Надо именно так стараться организовывать работу сотрудников.

          • Согласен со смартфонами. В моем случае - организация находится на удалении от города, связь есть, а вот мобильный интернет очень плохой.Порой меня просят пароль от вафли, но после слов: там тоже блокируются соц.сети - они огорчаются). Ну и соответственно поставили мне задачу заблокировать всё и вся)

            • Добрый день!
              Если не сложно : "Могу написать статью для блокировки соц.сетей =)"
              или хотя бы набор правил.
              Нужно для блокирования дома доступ школьника к социалке.
              Спасибо.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Нажимая кнопку "Отправить комментарий" Я даю согласие на обработку персональных данных.
Используешь Telegram? Подпишись на канал автора →
This is default text for notification bar