< meta name="referrer" content="origin">
Home » Mikrotik » Mikrotik настройка простого Firewall

Mikrotik настройка простого Firewall

У меня дома давно стоит mikrotik в качестве роутера. Очень надежное решение. У меня не было внешнего IP адреса, поэтому настройкой firewall на mikrotik я не занимался. Мне просто было лень. Пришлось ее побороть.

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Все подробности читайте ниже.

Некоторое время назад приобрел статический внешний IP. Спустя несколько дней начались проблемы с интернетом. Он стал временами откровенно тупить. Mikrotik прямо из коробки предлагает все инструменты для решения подобных проблем. Зашел через winbox на него, открыл список интерфейсов, увидел траффик на внешнем. Зашел в его настройки, нажал Torch и стал смотреть, что там за траффик. Трафика там было полно, но без подробностей, только ip адреса. Ничего страшного. Идем в IP -> Firewall, открываем закладку Connections и смотрим, кто там и что от нас хочет. Скорее всего тупо боты сканят наш адрес в поисках уязвимостей. Больше всего запросов на 53-й порт.

Настройка Firewall в Mikrotik

Тут мне стало очевидно, что на Mikrotik надо настроить таки Firewall, чтобы закрыться от подобных соединений, которые приводят к тормозам в работе роутера. В интернете много информации по настройке fiewall в mikrotik, я не буду подробно описывать этот процесс. Прочитать подробно о настройке можно тут или тут. Я просто приведу свой набор правил для обычного домашнего роутера. Это минимальный набор правил фаервола, ничего лишнего и в то же время полная защита от ненужных подключений.
Здесь ether2 — внешний интерфейс, 192.168.1.0/24 — моя локальна сеть, 45000 — порт торрента.

Разрешаем пинги
add chain=input action=accept protocol=icmp
add chain=forward action=accept protocol=icmp

Разрешаем установленные подключения
add chain=input action=accept connection-state=established
add chain=forward action=accept connection-state=established
Разрешаем связанные подключения
add chain=input action=accept connection-state=related
add chain=forward action=accept connection-state=related
Разрешаем все подключения из нашей локальной сети
add chain=input action=accept src-address=192.168.1.0/24 in-interface=!ether2
Разрешаем входящие подключения для торрента
add chain=forward action=accept protocol=tcp in-interface=ether2 dst-port=45000
Обрубаем инвалидные подключения
add chain=input action=drop connection-state=invalid
add chain=forward action=drop connection-state=invalid
Обрубаем все остальные входящие подключения
add chain=input action=drop in-interface=ether2
Разрешаем доступ из локальной сети в интернет
add chain=forward action=accept in-interface=!ether2 out-interface=ether2
Обрубаем все остальные подключения
add chain=forward action=drop

Вот скриншот моих правил firewall. В принципе, по нему можно воссоздать все правила у себя на mikrotik:

Настройка mikrotik firewall

 

Настройка NAT в Mikrotik

Стоит до полноты картины добавить еще пару правил в закладке NAT. Первое непосредственно натит интернет из локалки, второе пробрасывает порт 45000 с внешнего интерфейса на торрент качалку с адресом 192.168.1.50

add chain=srcnat action=masquerade out-interface=ether2
add chain=dstnat action=dst-nat to-addresses=192.168.1.50 to-ports=45000 protocol=tcp in-interface=ether2 dst-port=45000

Настройка mikrotik nat

На этом все. Интернет лагать перестал. Стоит отметить, что я запретил все входящие подключения, кроме торрента. То есть удаленно моим mikrotik я управлять не смогу, все подключения закрыты firewall. Мне это просто не нужно. Если у вас есть такая потребность, то не забудьте разрешить входящие подключения в firewall для winbox.

И еще важное замечание. Я не рекомендую настраивать fierwall в mikrotik, да и не только в микротик удаленно. Я во время настройки ошибся и отключил себе доступ к устройству. Пришлось его ресетить и настраивать заново. Благо это не долго, не заняло много времени. Но имейте это ввиду. Лучше перед настройкой сделать backup, если вдруг ресетить придется 🙂

Онлайн курсы по Mikrotik

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте Курсы по ИТ. Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области.


Помогла статья? Есть возможность отблагодарить автора

Рекомендую полезные материалы по схожей тематике:

30 комментариев

  1. На сколько я знаю, пинги так и так разрешены по-умолчанию, фаерволлом подключения дропаются или перенаправляются.
    У торрента диапазон портов.

    Могу написать статью для блокировки соц.сетей =)

    • Я конкретно на микротике не проверял с вклюенным на полный блок фаерволом пускать пинги. Но знаю, что в mikrotike фаервол реализован на базе iptables, а там абсолютно точно пинги, так же как и весь остальной траффик фильтруются отдельными правилами. Их можно как запретить, так и открыть. Подозреваю, что на микротике так же.

      Про блок соц. сетей было бы интересно посмотреть. У меня нет готовой методы на этот счет без прокси сервера. Я вообще не сторонник запретов. Сейчас у каждого смартфон или планшет в кармане. Заниматься блоком сайтов на шлюзе пустое дело, которое никому не нужно и отнимает только время администраторов.

      • Запреты полезны, если в локальной сети организации рулит микротик.
        Через прокси проц грузится сильно, если правил много, и отклик к сайтам чуть заторможен

        • Я немного не об этом. Какой смысл блокировать соц. сеть на компе, если у каждого сотрудника смартфон с интернетом. Он просто читает соц сети и прочую лабуду с телефона. Так и не проследишь, что он делает 🙂 А если на компе все открыто, то видно, кто чем занимается 🙂

          Мне кажется тут надо быть разумнее. Все эти махровые запреты всего и вся на шлюзе тянутся из тех времен, когда интернет был дорогой. Сейчас все изменилось, интернет за копейки у каждого в кармане. Что-то блокировать не имеет смысла.

          Нужны способы мотивации сотрудников, а не запреты. Например моя работа построена на результате. Я всегда работаю только на результат, а не на время. Соответственно, меня не надо ни заставлять ходить на работу, ни следить за тем, что я делаю, ни блокировать какие-то вещи. Надо именно так стараться организовывать работу сотрудников.

          • Согласен со смартфонами. В моем случае — организация находится на удалении от города, связь есть, а вот мобильный интернет очень плохой.Порой меня просят пароль от вафли, но после слов: там тоже блокируются соц.сети — они огорчаются). Ну и соответственно поставили мне задачу заблокировать всё и вся)

            • Добрый день!
              Если не сложно : «Могу написать статью для блокировки соц.сетей =)»
              или хотя бы набор правил.
              Нужно для блокирования дома доступ школьника к социалке.
              Спасибо.

  2. А в отсутствие в конце правил drop всего есть какой то особый смысл?

    • Не понял вопрос. В конце есть правила drop на входящие и транзитные пакеты. В этом есть смысл.

      • Ну конкретнее, что меня интересует: во всех видимых мной конфигурациях, включая официальный сайт, цепочка output разрешена целиком, часто еще разрешена и forward.

        В этом есть какой то глубокий смысл? То есть предполагается, что мы надежно защитились от всех входящих пакетов и в внутренний сервисы роутера так, что в ее блокировки нет необходимости?

        • Я понял. Лично я всегда разрешаю исходящий трафик сервера, в данном случае роутера просто потому, что мне лень настраивать правила еще и для исходящего. Чаще всего исходящий разрешают. Но если есть желание, можно и его фильтровать и блокировать, нормальный ход, так делают некоторые. Возможно это и правильно с точки зрения безопасности.

          Безопасность такая штука, она никогда не бывает абсолютной. Ее можно усиливать до бесконечности. Нужно просто сопоставлять необходимые усилия на защиту и реальную необходимость этого. Я лично не понимаю, в чем может быть проблема исходящих соединений с роутера или сервера.

          Допустим у нас поселился какой-то червь. Он наверняка будет слать всю информацию на управляющий сервер по http порту, который практически всегда открыт.

          • Жизнь бьет ключем и чаще всего по голове. У меня например после очередного удара наращивается система бекапа, сейчас это 3 разных программы на 5 разных носителей. Хотя я не параноик.

            На самом деле это приблизительно так. У вас там исходящих правил будет пара — тройка, но если через output drop поперли пакеты, это повод задуматься. Но эта уже патетика.

  3. Виталий

    В шапке Winbox’а есть кнопка «Save mode» нажимаете ее и настраиваете firewall, если в процессе настройки у вас отваливается Nikrotik, winbox видит это и reboot’ит MIkrotik в состояние «до изменений». Процесс занимает минут 10.

  4. add chain=input action=accept src-address=192.168.1.0/24 in-interface=!ether2 воcклецательный знак для чего перед ether2?

    • Это отрицание. Означает любой интерфейс, кроме ether2.

      • у меня 2 WAN, как мне тут быть? подскажите пож-та, Спасибо

        • Попробовать 2 отрицания поставить (не проверял) или просто перечислить все не WAN интерфейсы вручную. Вариантов может быть много, это не принципиально. Можно делать как удобно.

          • я так понял это правило для подключений между LAN интерфесами? оно не нужно если используем только один LAN интерфейс? Спасибо

  5. А можно и сразу написать

    add chain=input action=accept connection-state=established,related
    add chain=forward action=accept connection-state=established,related

  6. При такой настройке, соединения между WiFi и Ethernet запрещены. Сразу не заметно, т.к. вифи работает и сеть работает, полез на ssh с телефона на домашний сервер и удивился.

  7. Максим

    Спасибо за материал, но есть такой вопрос.
    За микротиком, в локальной сети, стоит веб сервер.
    На него прокинуты 80,443 порты. Проблема в том, что пока эти правила работают, у машин внутри локальной сети не работает браузер, у линуксов перестает работать yun update/install
    как только отключаю эти два правила, сразу все заводится и работает. Как можно сделать, чтобы правила проброса работали но и браузер у локальных машин тоже работал?
    dst-nat менял на netmap результата не дало

    • Тут явно какая-то ошибка в настройках фаервола. Проброс портов не должен мешать работе приложений на этих портах.

  8. Максим

    http://prnt.sc/exdj80
    http://prnt.sc/exdj05
    Первое нат, второе фаервол. При отключении в нате правила редиректа на 443 порт, все начинает работать. Как только включаю, все соединения ssl перестают работать. Микротик сбрасывал пару раз, настраивал только правило проброса, но результат тот же…
    Пинги ходят нормально. Апдейты микротика последние. В чем может быть дело, ума не приложу(

    • По скриншотам правила не видно. Только нюанс — редирект это не проброс порта.

  9. Не ошибка ли в статье? когда разрешаем торренты на картинке input, а в команде терминала forward.

  10. Вот то же самое спросить хотел — так forward или input? Я и у других авторов такое замечал как чайнику разобраться?

  11. Дмитрий

    Добрый день! Провел все настройки, включая интернет, фаервол и Capsman. Недавно заметил, что через винбокс пропал доступ к роутеру по МАК адресу, при этом доступ по ip работает. Все запрещающие правила на input отключил, но проблема так и не решилась, в чем может быть проблема?

    • Если я правильно понимаю, то для доступа по mac адресу, вы должны быть подключены через один и тот же свитч с устройством.

      • Дмитрий

        Да, так и есть. причем Winbox находит роутер автоматически на вкладке neghibors и подключается при двойном челчке по ip адресу, а при двойном щелчке по МАМ адресу — подключение не происходит. Сначала думает, потом пишет «Error: Could not connect to ***»
        Есть предположение, что проблема появилась после настройки маршрутов

  12. Прошу помощи в настойке несложной сети и firewall на Mikrotik rb2011uias

    1 Нужно чтобы network 1 не видела устройств за мадемом/роутером. От network 1 в сеть проходит только интернет!
    2. зеленая и красная сети не связаны (из любой сети в прямоугольнике другую/параллельную сеть увидеть нельзя — сканерами портов или IP или еще чем)
    3. PC1 и PC2 имеют доступ к NAS хранилищу.

    Я пробовал по юзерски разделить network 1 и Интернет 1 разными роутерами, но так как их связывает NAS сети видно!

    http://i89.fastpic.ru/big/2017/1006/a0/cf163509353fa4fc74c57be54cd944a0.jpg

Добавить комментарий

Ваш e-mail не будет опубликован.