Базовая настройка безопасности Mikrotik

mikrotik security guide 1

Firewall в MikroTikk – очень обширная тема, для освещения которой не хватит ни одной статьи. Раздел, который находится по пути IP > Firewall, предназначен для контролирования трафика во всех направлениях, относительно самого MikroTik:

  • Входящий трафик;
  • Проходящий трафик;
  • Исходящий трафик;

Самой востребованной функцией этого раздела – является возможность защиты внутренней сети маршрутизатора от атак извне. Так же данная функция с соответствующими правилами, позволяет фильтровать «мусор» из внешней сети, который может значительно нагружать RouterBoard, а это сказывается на производительности. Также случаются попытки взлома устройства, особенно если у вас есть внешний IP адрес.

 

Я покопался в интернете и нашел оптимальную инструкцию по первоначальной настройке маршрутизатора MikroTik. Сам все опробовал и предлагаю вам проверенный вариант. Повторюсь, что это начальный уровень настройки сетевого экрана, но его вполне хватит чтобы надежно защитить вашу локальную сеть от вторжений из вне и снизит нагрузку на маршрутизатор. В конце статьи указан адрес источника, откуда я черпал информацию. Кому интересно, можете посмотреть.

Для примера – будем настраивать RB750.

Допустим, что интернет мы получаем на 1-й порт устройства. Подключение уже настроено и работает. А теперь перейдем непосредственно к самой настройке безопасности.

Настройка firewall на mikrotik

Подключаемся к устройству при помощи утилиты Winbox. Скачать утилиту можно в интернете. Она абсолютно бесплатна.

1 2 2

Переходим в меню интерфейса по пути IP > Firewall и в  окне раздела переключаемся на вкладку Filter Rules

2 2 3

Если вы не удаляли стандартную конфигурацию, то у вас уже будут присутствовать некоторые правила. Для более тонкой настройки рекомендуется всегда удалять стандартную конфигурацию при первом запуске устройства (или после сброса).

3 2 4

Все правила в MikroTik работают по иерархии. Если правило под номером 1 запрещает определенное действие, а правило номер 2 разрешает, то действие работать не будет. Чтобы правило №2 заработало – его нужно переместить выше правила №1. Это можно сделать простым перетаскиванием мышью.

Правила №0 и №1. Разрешаем пинговать устройство. (Данное правило желательно включать только на время тестирования сети или по просьбе провайдера)

4 2 5
5 2 6
6 2 7
7 1 8

Это правило нужно для проверки связи с сетевым устройством в ОС Windows (также она присутствует в консолях и других систем, но имеет немного другой синтаксис) существует команда ping.

Запускается она на разных версиях Windows по-разному, но есть один способ, одинаковый для всех:

  • Нажимаем комбинацию клавиш Win+R;
  • В окне ввода команд набираем cmd;
  • Нажимаем Enter;

Запустится командная строка (черное окно). В ней вводим следующее:

Ping 192.168.5.1 и нажимаем Enter.

*для примера указан IP адрес RB750, у вас он может быть другим

Если в результате вы получили что-то вроде:

Ответ от 192.168.5.1: число байт=32 время<1мс TTL=64

Значит все хорошо, устройство «на связи».

Если получили что-то другое – значит питание устройства отключено или фаервол запрещает устройству отвечать на запросы.

Другие правила firewall на mikrotik

Правила №2 и №3. Разрешаем установленные подключения

8 1 9
9 10

*Комментарии к правилам можно написать, выделив нужное и нажав на клавиатуре букву C

В результате появится окно ввода комментария. После ввода комментария нажимаем OK;

10 11
11 12

Правила №4 и №5. Разрешаем связанные подключения

12 13
13 14
14 15
15 16

Правило №6. Разрешаем подключаться из локальной сети. Адрес вашей сети может отличаться. В нашем случае сеть имеет адрес 192.168.5.0/24. Входной кабель от провайдера подключен на ether1

16 17
17 18

Правила №7 и №8. Запрещаем ошибочные соединения

18 19
19 20
20 21
21 22

Правило №9. Запрещаем все остальные входящие соединения из внешней сети

22 23
23 24

Правило №10. Разрешаем прохождение трафика из локалки в интернет

24 25
25 26

Правило №11. Запрещаем все остальные подключения

26 27
27 min 28

Вот такой список правил у вас должен получиться

28 min 29

MikroTik настроен, защищен и готов к работе.

Источник: https://tvoi-setevichok.ru/setevoe-oborudovanie/firewall-na-mikrotik-bazovaya-nastroyka-bezopasnosti.html