Home » Mikrotik » Mikrotik настройка простого Firewall

Mikrotik настройка простого Firewall

У меня дома давно стоит mikrotik в качестве роутера. Очень надежное решение. У меня не было внешнего IP адреса, поэтому настройкой firewall на mikrotik я не занимался. Мне просто было лень. Пришлось ее побороть.

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Все подробности читайте ниже.

Некоторое время назад приобрел статический внешний IP. Спустя несколько дней начались проблемы с интернетом. Он стал временами откровенно тупить. Mikrotik прямо из коробки предлагает все инструменты для решения подобных проблем. Зашел через winbox на него, открыл список интерфейсов, увидел траффик на внешнем. Зашел в его настройки, нажал Torch и стал смотреть, что там за траффик. Трафика там было полно, но без подробностей, только ip адреса. Ничего страшного. Идем в IP -> Firewall, открываем закладку Connections и смотрим, кто там и что от нас хочет. Скорее всего тупо боты сканят наш адрес в поисках уязвимостей. Больше всего запросов на 53-й порт.

Настройка Firewall в Mikrotik

Тут мне стало очевидно, что на Mikrotik надо настроить таки Firewall, чтобы закрыться от подобных соединений, которые приводят к тормозам в работе роутера. В интернете много информации по настройке fiewall в mikrotik, я не буду подробно описывать этот процесс. Прочитать подробно о настройке можно тут или тут. Я просто приведу свой набор правил для обычного домашнего роутера. Это минимальный набор правил фаервола, ничего лишнего и в то же время полная защита от ненужных подключений.
Здесь ether2 — внешний интерфейс, 192.168.1.0/24 — моя локальна сеть, 45000 — порт торрента.

Разрешаем пинги
add chain=input action=accept protocol=icmp
add chain=forward action=accept protocol=icmp

Разрешаем установленные подключения
add chain=input action=accept connection-state=established
add chain=forward action=accept connection-state=established
Разрешаем связанные подключения
add chain=input action=accept connection-state=related
add chain=forward action=accept connection-state=related
Разрешаем все подключения из нашей локальной сети
add chain=input action=accept src-address=192.168.1.0/24 in-interface=!ether2
Разрешаем входящие подключения для торрента
add chain=forward action=accept protocol=tcp in-interface=ether2 dst-port=45000
Обрубаем инвалидные подключения
add chain=input action=drop connection-state=invalid
add chain=forward action=drop connection-state=invalid
Обрубаем все остальные входящие подключения
add chain=input action=drop in-interface=ether2
Разрешаем доступ из локальной сети в интернет
add chain=forward action=accept in-interface=!ether2 out-interface=ether2
Обрубаем все остальные подключения
add chain=forward action=drop

Вот скриншот моих правил firewall. В принципе, по нему можно воссоздать все правила у себя на mikrotik:

Настройка mikrotik firewall

 

Настройка NAT в Mikrotik

Стоит до полноты картины добавить еще пару правил в закладке NAT. Первое непосредственно натит интернет из локалки, второе пробрасывает порт 45000 с внешнего интерфейса на торрент качалку с адресом 192.168.1.50

add chain=srcnat action=masquerade out-interface=ether2
add chain=dstnat action=dst-nat to-addresses=192.168.1.50 to-ports=45000 protocol=tcp in-interface=ether2 dst-port=45000

Настройка mikrotik nat

На этом все. Интернет лагать перестал. Стоит отметить, что я запретил все входящие подключения, кроме торрента. То есть удаленно моим mikrotik я управлять не смогу, все подключения закрыты firewall. Мне это просто не нужно. Если у вас есть такая потребность, то не забудьте разрешить входящие подключения в firewall для winbox.

И еще важное замечание. Я не рекомендую настраивать fierwall в mikrotik, да и не только в микротик удаленно. Я во время настройки ошибся и отключил себе доступ к устройству. Пришлось его ресетить и настраивать заново. Благо это не долго, не заняло много времени. Но имейте это ввиду. Лучше перед настройкой сделать backup, если вдруг ресетить придется 🙂

Онлайн курсы по Mikrotik

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте Курсы по ИТ. Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области.

Помогла статья? Есть возможность отблагодарить автора

Рекомендую полезные материалы по схожей тематике:

48 комментариев

  1. На сколько я знаю, пинги так и так разрешены по-умолчанию, фаерволлом подключения дропаются или перенаправляются.
    У торрента диапазон портов.

    Могу написать статью для блокировки соц.сетей =)

    • Я конкретно на микротике не проверял с вклюенным на полный блок фаерволом пускать пинги. Но знаю, что в mikrotike фаервол реализован на базе iptables, а там абсолютно точно пинги, так же как и весь остальной траффик фильтруются отдельными правилами. Их можно как запретить, так и открыть. Подозреваю, что на микротике так же.

      Про блок соц. сетей было бы интересно посмотреть. У меня нет готовой методы на этот счет без прокси сервера. Я вообще не сторонник запретов. Сейчас у каждого смартфон или планшет в кармане. Заниматься блоком сайтов на шлюзе пустое дело, которое никому не нужно и отнимает только время администраторов.

      • Запреты полезны, если в локальной сети организации рулит микротик.
        Через прокси проц грузится сильно, если правил много, и отклик к сайтам чуть заторможен

        • Я немного не об этом. Какой смысл блокировать соц. сеть на компе, если у каждого сотрудника смартфон с интернетом. Он просто читает соц сети и прочую лабуду с телефона. Так и не проследишь, что он делает 🙂 А если на компе все открыто, то видно, кто чем занимается 🙂

          Мне кажется тут надо быть разумнее. Все эти махровые запреты всего и вся на шлюзе тянутся из тех времен, когда интернет был дорогой. Сейчас все изменилось, интернет за копейки у каждого в кармане. Что-то блокировать не имеет смысла.

          Нужны способы мотивации сотрудников, а не запреты. Например моя работа построена на результате. Я всегда работаю только на результат, а не на время. Соответственно, меня не надо ни заставлять ходить на работу, ни следить за тем, что я делаю, ни блокировать какие-то вещи. Надо именно так стараться организовывать работу сотрудников.

          • Согласен со смартфонами. В моем случае — организация находится на удалении от города, связь есть, а вот мобильный интернет очень плохой.Порой меня просят пароль от вафли, но после слов: там тоже блокируются соц.сети — они огорчаются). Ну и соответственно поставили мне задачу заблокировать всё и вся)

            • Добрый день!
              Если не сложно : «Могу написать статью для блокировки соц.сетей =)»
              или хотя бы набор правил.
              Нужно для блокирования дома доступ школьника к социалке.
              Спасибо.

  2. А в отсутствие в конце правил drop всего есть какой то особый смысл?

    • Не понял вопрос. В конце есть правила drop на входящие и транзитные пакеты. В этом есть смысл.

      • Ну конкретнее, что меня интересует: во всех видимых мной конфигурациях, включая официальный сайт, цепочка output разрешена целиком, часто еще разрешена и forward.

        В этом есть какой то глубокий смысл? То есть предполагается, что мы надежно защитились от всех входящих пакетов и в внутренний сервисы роутера так, что в ее блокировки нет необходимости?

        • Я понял. Лично я всегда разрешаю исходящий трафик сервера, в данном случае роутера просто потому, что мне лень настраивать правила еще и для исходящего. Чаще всего исходящий разрешают. Но если есть желание, можно и его фильтровать и блокировать, нормальный ход, так делают некоторые. Возможно это и правильно с точки зрения безопасности.

          Безопасность такая штука, она никогда не бывает абсолютной. Ее можно усиливать до бесконечности. Нужно просто сопоставлять необходимые усилия на защиту и реальную необходимость этого. Я лично не понимаю, в чем может быть проблема исходящих соединений с роутера или сервера.

          Допустим у нас поселился какой-то червь. Он наверняка будет слать всю информацию на управляющий сервер по http порту, который практически всегда открыт.

          • Жизнь бьет ключем и чаще всего по голове. У меня например после очередного удара наращивается система бекапа, сейчас это 3 разных программы на 5 разных носителей. Хотя я не параноик.

            На самом деле это приблизительно так. У вас там исходящих правил будет пара — тройка, но если через output drop поперли пакеты, это повод задуматься. Но эта уже патетика.

  3. Виталий

    В шапке Winbox’а есть кнопка «Save mode» нажимаете ее и настраиваете firewall, если в процессе настройки у вас отваливается Nikrotik, winbox видит это и reboot’ит MIkrotik в состояние «до изменений». Процесс занимает минут 10.

  4. add chain=input action=accept src-address=192.168.1.0/24 in-interface=!ether2 воcклецательный знак для чего перед ether2?

    • Это отрицание. Означает любой интерфейс, кроме ether2.

      • у меня 2 WAN, как мне тут быть? подскажите пож-та, Спасибо

        • Попробовать 2 отрицания поставить (не проверял) или просто перечислить все не WAN интерфейсы вручную. Вариантов может быть много, это не принципиально. Можно делать как удобно.

          • я так понял это правило для подключений между LAN интерфесами? оно не нужно если используем только один LAN интерфейс? Спасибо

  5. А можно и сразу написать

    add chain=input action=accept connection-state=established,related
    add chain=forward action=accept connection-state=established,related

  6. При такой настройке, соединения между WiFi и Ethernet запрещены. Сразу не заметно, т.к. вифи работает и сеть работает, полез на ssh с телефона на домашний сервер и удивился.

    • Добавь правило

      add chain=forward action=accept src-address=192.168.88.0/24 dst-address=192.168.88.0/24 in-interface=Bridge-LAN out-interface=Bridge-LAN comment=»Allow access inside LAN»

      И устройства будут видеть друг-друга

  7. Максим

    Спасибо за материал, но есть такой вопрос.
    За микротиком, в локальной сети, стоит веб сервер.
    На него прокинуты 80,443 порты. Проблема в том, что пока эти правила работают, у машин внутри локальной сети не работает браузер, у линуксов перестает работать yun update/install
    как только отключаю эти два правила, сразу все заводится и работает. Как можно сделать, чтобы правила проброса работали но и браузер у локальных машин тоже работал?
    dst-nat менял на netmap результата не дало

    • Тут явно какая-то ошибка в настройках фаервола. Проброс портов не должен мешать работе приложений на этих портах.

  8. Максим

    http://prnt.sc/exdj80
    http://prnt.sc/exdj05
    Первое нат, второе фаервол. При отключении в нате правила редиректа на 443 порт, все начинает работать. Как только включаю, все соединения ssl перестают работать. Микротик сбрасывал пару раз, настраивал только правило проброса, но результат тот же…
    Пинги ходят нормально. Апдейты микротика последние. В чем может быть дело, ума не приложу(

    • По скриншотам правила не видно. Только нюанс — редирект это не проброс порта.

  9. Не ошибка ли в статье? когда разрешаем торренты на картинке input, а в команде терминала forward.

  10. Вот то же самое спросить хотел — так forward или input? Я и у других авторов такое замечал как чайнику разобраться?

  11. Дмитрий

    Добрый день! Провел все настройки, включая интернет, фаервол и Capsman. Недавно заметил, что через винбокс пропал доступ к роутеру по МАК адресу, при этом доступ по ip работает. Все запрещающие правила на input отключил, но проблема так и не решилась, в чем может быть проблема?

    • Если я правильно понимаю, то для доступа по mac адресу, вы должны быть подключены через один и тот же свитч с устройством.

      • Дмитрий

        Да, так и есть. причем Winbox находит роутер автоматически на вкладке neghibors и подключается при двойном челчке по ip адресу, а при двойном щелчке по МАМ адресу — подключение не происходит. Сначала думает, потом пишет «Error: Could not connect to ***»
        Есть предположение, что проблема появилась после настройки маршрутов

  12. Прошу помощи в настойке несложной сети и firewall на Mikrotik rb2011uias

    1 Нужно чтобы network 1 не видела устройств за мадемом/роутером. От network 1 в сеть проходит только интернет!
    2. зеленая и красная сети не связаны (из любой сети в прямоугольнике другую/параллельную сеть увидеть нельзя — сканерами портов или IP или еще чем)
    3. PC1 и PC2 имеют доступ к NAS хранилищу.

    Я пробовал по юзерски разделить network 1 и Интернет 1 разными роутерами, но так как их связывает NAS сети видно!

    http://i89.fastpic.ru/big/2017/1006/a0/cf163509353fa4fc74c57be54cd944a0.jpg

  13. Подскажите,а как создать правило,запрещающее скачивать видео в дневное время?

  14. Владимир

    А правило в файерволе drop-input, фильтрующее битые пакеты, разве не должно стоять перед разрешающими правилами? Иначе какой в нем смысл?

    • Разрешающие правила пропускают обычные пакеты, а это отрезает invalid. У меня оно работает в таком виде. Вот актуальный скрин:
      firewall

      • Владимир

        В данном случае оно работает просто как счетчик инвалидных пакетов, уже после того как микротику пришлось их обработать. А вот если поместить это правило в самый верх, тогда оно будет действовать как надо.

  15. Аноним

    Если последним правилом не поставить add action=drop chain=input , то грош цена вашему фаерволу. Забьют флудом по 53 порту.

    • Это правило в статье присутствует:

      Обрубаем все остальные входящие подключения
      add chain=input action=drop in-interface=ether2

      Без него, конечно, нет смысла что-то разрешать, если нет общего запрета.

      • Аноним

        да присутствует, но если его не опустить в самый низ или не продублировать внизу последней строчкой, то появляется уязвимость, которая перечеркивает смысл этой конфигурации. Я применил вашу конфигурацию и флуд на 53 порт начисто забил роутер и невозможно было подключиться к роутеру удаленно, помогло лишь запирание в последней строке этим правилом.

  16. > Сейчас у каждого смартфон или планшет в кармане.
    Трафик в большинстве случаев, на мобиле конечен.
    Кроме того, пользователь может быть вне доступа к сети(подвал, экранированное помещение)

    > Заниматься блоком сайтов на шлюзе пустое дело
    Сходу накидаю 2 типовых кейса, но их много больше даже у сисадмина, а у безопасника их на порядки больше
    а) Утилизация канала (особенно предприятий, организаций, где дороже и уже) тяжёлым медиа контентом в HD и FHD,
    + торрент, способный прогрузить даже гигабитный канал и SSD диск.
    Не сталкивались с кадрами, качающими BD домой на вечер? )
    Чтобы не платить за домашний интернет или платить по минимуму, только за тот же 3G. Ну а чо — питик не лишний
    б) коммерческий шпионаж. Ясно дело, микротик не того уровня железка, это отдельное мероприятие
    Т к можно так же тупо снимать мобилой. Но зачем облегчать дело и за свой счёт скоростной копипаст?
    в) Вообще, коммерческий интернет отдельная тема.
    Формально, директор обязан стучать провайдеру, сливая список сотрудников, имеющих доступ в интернет
    Т к отвечает за всю деятельность предприятия вообще и сотрудника в частности, в том числе сетевую.
    То, что в РФ’ии царит пофигизм — не означает принципиальную невозможность применения
    Как уже писал ранее, силовой орган всегда может прислать запрос: кто у вас там такой дерзкий, но мутный?
    бэ-мэ, шайтан-игиш, директор и вахтёр имеют равный-одинаковый доступ в интернет через интернет-тройник?
    Что троян — не колебёт, личные половые трудности организации, пока не доказано обратное и тык пальцем в тело
    Настоящий серийный маньяк или террорист мира №9 — часто самый аккуратный, безликий сотрудник, 0 претензий и внимания

    • Эта тема такая, ее можно обсуждать бесконечно. Я не теоретизирую в данном случае, а описываю свой опыт работы. Сотрудники смотрят fullhd? И мы будем их ловить и запрещать им? Уволить этих сотрудников или их руководителей. Если сотрудники могут смотреть фильмы на работе, то там такое качество управления, что контроль канала интернета последнее, что нужно делать.

      Не обязательно сидеть и жестко контролить трафик на шлюзе. Достаточно дать понять юзерам, что он контролится. Этого чаще всего достаточно. Можно показательно кого-нибудь наказать разок.

      В одной компании, где я работал, директор поступил вообще хитро. Он сделал должность сотрудника информационной безопасности и взял туда обычного эникея с функцией принеси-подай. Но об этом никто не знал. Все думали, что за ними жестко следят. Даже через год директор одного департамента, когда мы уже оба не работали в той компании, как-то при общении меня спросил, зачем его контролили, следили за экраном и слушали телефон. Он не поверил, когда я сказал ему, что ничего этого не было.

      В другой раз этому же «безопаснику» один сотрудник дал денег за то, чтобы тот не слил его. Этот человек неожиданно стал претендовать на высокую должность в связи с уходом руководителя. Он не ожидал такого поворота и перед этим немного общался в почте с человеком, которого не жалуют в этой компании. Будучи обычным сотрудником, он не видел в этом проблем для себя, но когда дело приняло оборот с повышением, он решил, что это может тормознуть его движение вверх и решил себя обезопасить. Сунул при встрече десятку штук рублей «безопаснику», который вообще за ним не следил, но быстро сориентировался, когда понял, чем пахнет дело.

      Вот это я понимаю безопасность. А сидеть мониторить траф на шлюзе это чаще всего пустая трата времени. По крайней мере в обычных компаниях, не связанных с информацией, требующей особого отношения (банкинг, базы персональных данных и т.д.) То есть речь об обычных коммерческих организациях.

      Я то настраивал эти шлюзы, но чаще всего никто не сидел и не смотрел статистику, потому что это отнимает приличное время.

      • Эх, такую простыню накатал, но всё случайно стёр ((
        Вкратце: у вас хороший опыт администрирования,
        но управления коллективами и жизненного опыта — гораздо меньше, если вообще есть
        Для примера, чтобы не быть голословным и далеко не ходить, переходя на личности:
        > Уволить этих сотрудников или их руководителей.
        Всех не перевешаете (ц) А если (или когда) перестреляете — работать будет некому
        Не всё так просто и однозначно, грубое, примитивное и прямолинейное решение
        Просто потому, что косвенный ущерб может на порядки превышать прямой ущерб

        > Вот это я понимаю безопасность.
        Ещё один пример: никакая не безопасность, единичный случай удачной ложной её имитации
        Нет ничего дороже, чем дешевая безопасность (ц)
        Запретите кадровику общаться с коллегами вне рабочее место-время или через 2-3 руки либо мессенджеры?
        Знаю случаи, когда личные дела, гриф ДСП, сливались за шоколадку. СБ, УСБ, камеры и пропуска.
        Крупнейший банк страны, бюджеты и технологии, недостижимые для 90% организаций
        Если коллектив хочет чего-то узнать — коллективный разум это узнает

  17. > Нужны способы мотивации сотрудников, а не запреты. Например моя работа построена на результате.
    Как мотивировать бюджетников и окладников? У которых работа — присутствие от и до, секретарь или вахтёр
    Всегда можно вместо телефониста нанять модель-полиглота, Джеймса Бонда или переплачивать кратный коэффициент к лояльности
    Но это скорее редкое исключение, подтверждающее практику

    Вот как вам мотивация сотрудника — заработать все деньги и всех нае…горить по кругу?
    Любой активный сотрудник, продаван или снабженец, а так же топ — потенциальный двойной-тройной и более агент
    Особенно, когда на предприятии не 5-15 сотрудников, а 150-500 и более.
    Знаете, читал такое: Работаю в организации. Устроен официально, в то же время подрабатываю тут же анонимно фриланс.
    Было забавно, когда меня второго ставили в пример мне первому.
    Когда мне-фрилансеру предложили устроиться на постоянку на мою же должность — уже было даже не смешно.

    Опытный и профессиональный фрилансер — норма и мастер по втиранию липовых затрат,
    при работе на 4-6 заказчиков или ловле халявы. С чего бы не применять такую же практику и на постоянной работе?

    Даже не обязательно иметь дурные намерения, просто психология: заказчик(в т ч работодатель)
    начинает плохо спать и много думать, если знает, что задача занимает 15 минут работы профи, а не 5 нормо часов
    Начинается внедрение KPI, повышенных обязательств каждый месяц и квартал с одновременным уменьшением доходной части

    Не только лишь все могут платить, когда при оплате за реальный результат доход резко прыгает
    А ЗП результативного сотрудника кратно и постоянно превышать доход генерального директора
    И директор не обязательно бяка-бука: если ЗП официальная, резкий скачок может вызвать шквал подозрений налоговой
    Да и учредителя с владельцем тоже. Возникшая паранойя, срач, встречная проверка могут доставить массу проблем

    • Ну и какие из описанных проблем решает блокировка сайтов на шлюзе? Сидеть фриланс биржи блочить, потом бесплатные почты, потом аннонимайзеры. Это бесконечный процесс, который отнимает массу человеческого труда. Потом надо разбираться с софтом, который не умеет работать через прокси и т.д. В общем, это большая проблема, которая требует постоянного участия специалистов.

      Я хочу сказать, что ко всем мерам нужно подходить разумно. Не всегда такой подход будет оправдан. Сил потрачено много, а результат стремится к нулю. Я сотрудничал с одной компанией и там как раз меня просили настроить прокси, отчеты и анализировать их. Я заметил, что сотрудники реально лазят по левым сайтам, кто-то в выходных на сменах кино смотрел. Им это запретили. Люди стали сидеть в телефонах. Там каждое рабочее место просматривается камерой. Запретили на рабочем месте пользоваться телефонами. Стали чаще ходить курить, чтобы поговорить и полазить по телефону. Ограничили число перекуров в день. Что стало дальше — не знаю, я больше не работаю с этой компанией. По моему мнению, такие методы только отобьют желание адекватных людей работать. Останутся дуболобые исполнители, которые как роботы сидят от звонка до звонка и смотрят в монитор. Собственно, текучка в компании была среди сотрудников, может быть в том числе и из-за описываемых действий.

  18. > Это бесконечный процесс, который отнимает массу человеческого труда
    Белые и чёрные списки ) Лимитирование трафика
    В настоящее время, когда часы превращаются в полиграф — всё намного проще, хотя и сложней.
    Гугл в своих инструментах намного более диктаторский и тоталитарный инструмент, чем всё, что когда то предъявлялось MS
    От принудительной блокировки и удаления приложений с информацией до неограниченного размера резервных копий за любое время

    > По моему мнению, такие методы только отобьют желание адекватных людей работать.
    так если инструмент применяется неправильно — конечно. Но виноват в этом не инструмент и его возможности

  19. Алексей

    Подскажите пожалуйста. )
    Настраивал все так же, как и у Вас, но есть один момент. )
    Не пробрасываются порты, вернее не так, если кидаешь порт, например входящий 3434 на локальный адрес, в порт 3434, то все хорошо, все пробрасывается, а если хочешь подменить порт, то есть входящий порт, например 13434, хочешь передать на 3434, то ничего не получается. ) Или нужно ещё какие-то действия проделывать? )

    Благодарю. )

  20. Павел Гаврилов

    Странная статья. Сначала объясняется, как цепляться к устройству (что подразумевает, что написано для полных чайников), а потом нигде не объясняется, как настраиваются интерфейсы, объединяются в свитч порты и где прописываются настройки IP для LAN и WAN.

  21. Константин

    Добрый день. прописал рекомендуемые Вами настройки. Решил проверить удаленные подключения: удаленные подключения к Wdmycloud ушли, а вот Mihome приложение все еще работает удаленно из других сетей могу управлять камерами и пылесосом. Подскажите, пожалуйста, как победить этот вопрос и убрать возможность удаленного подключения к камерам.

Добавить комментарий

Ваш e-mail не будет опубликован.