Настройка файервола в роутере Mikrotik

Содержание

Настройка firewall на mikrotik, настройка безопасности

Настройка файервола в роутере Mikrotik

Firewall на микротик состоит из следующих составляющих, это цепочки (chain) и действия в этих цепочках (Action), а также различные фильтры к трафику который обрабатывается в цепочках.

Firewall Chain

В Mikrotik существуют следующие цепочки

Input – цепочка для обработки пакетов поступающих на маршрутизатор, имеющих в качестве адреса назначение ip  самого маршрутизатора.

Forward – в этой цепочки обрабатываются пакеты проходящие через маршрутизатор

Output – цепочка для обработки пакетов созданных маршрутизатором, например когда мы с маршрутизатора пингуем или подключаемся по telnet

Из описания понятно, что для защиты маршрутизатора нужно использовать цепочку input. А для обработки трафика от пользователей и к пользователям использовать chain forward. Использование Output мне не приходилось.

Firewall Action

В цепочках можно осуществлять следующие действия

ПараметрДействие
AcceptРазрешить
add-dst-to-address-listДобавить ip назначение в список адресов указанный в Address List
add-src-to-address-listДобавить ip источника  в список адресов указанный в Address List
Dropзапретить
fasttrack-connectionОбрабатывать пакеты включив FastTrack т.е пакеты будут проходить по самому быстрому маршруту, минуя остальные правила firewall и обработку в очередях
JumpПрыжок, переход на другую цепочку заданную в Jump target
logЗапись в лог
passthroughПерейти к следующему правилу не делая никаких действий(полезно для сбора статистики)
RejectОтбить пакет с причиной указанной в Reject with
ReturnВернуть пакет в цепочку из который он пришел
tarpitзахватывает и поддерживает TCP-соединения (отвечает с SYN / ACK на входящий пакет TCP SYN)

Фильтрация в firewall

Фильтрация пакетов которые могут попасть в цепочки может осуществляться по

Src.Address – адрес источника

Dst.Address – адрес назначения

Protocol – Протокол(TCP, UDP и т.д)

Src.Port – порт источника

Dst.Port –порт назначения

In.Interface –входящий интерфейс

Out.Interface – исходящий интерфейс

Packet.Mark – метка  пакета

Connection.Mark –метка  соединения

Routing Mark – метка  маршрута

Roting table — адрес получателя которых разрешен в конкретной таблице маршрутизации

Connection Type – тип соединения

Connection State — состояние соединения (установлено, новое и т.д)

Connection NAT State – цепочка NAT (srcnat, dstnat)

Примеры настройки firewall

Рассмотрим некоторые примеры по настройки firewall на маршрутизаторе микротик.

Настройка безопасности Микротик

Для начала настроим безопасность на наше маршрутизаторе, Для этого сделаем следующие

1.Запретим пинговать наше устройство

2.Запретим доступ к микротику всем  кроме локальной сети и разрешенных ip адресов

Для настройки подключаемся к роутеру с помощью утилиты winbox и  идем в меню IP-Firewall. Вкладка Filter Rules и нажимаем добавить.

Запрещаем пинги на наше устройство, для этого,  на вкладке general,   chain выбираем input protocol icmp

На вкладке Action выбираем drop

Запрещаем доступ к управлению маршрутизатора. Для начала создаем лист с нашими разрешенными адресами, переходим в IP-Firewall, вкладка Address Lists, добавляем новый лист

Name – название нашего листа

Address – адреса относящиеся к этому листу, можно указывать как отдельные адреса так и сети.

Дальше создаем новое правило, снова переходим в Filter rules и добавляем его

Затем переходим на вкладку Advanced и в качестве Src. List выбираем созданный лист

В действии Action выбираем разрешить accept.

Можно было не создавать лист, а на вкладке General в параметре Src. Address прописать нашу сеть, просто мне удобнее работать со списками адресов, в будущем для добавления нового адреса нужно его просто добавить в лист allow_ip.

Следующим шагом запрещаем все входящие соединения. Добавляем правило на chain  input, и в действии ставим drop.  Должно получится следующие

Здесь следует отметить что обработка правил идет сверху вниз, т.е правило запрещающее все подключения должно находится внизу, иначе разрешающие правила не сработают.

Для того что бы поменять местами правило, нужно кликнуть по строке и с зажатой левой кнопкой мыши перетащить его на нужное место.
На самом деле, правило по запрете ping  можно было не создавать, т.к последнее правило блокирует все попытки доступа к роутеру, в том числе и пинг.

Доступ пользователей в интернет

Допустим нам нужно дать доступ в интернет только для определенной сети. Для этого создаем два разрешающих  правила в chain  forward. Первое правило разрешает исходящий трафик из нашей сети

Action ставим accept. Можно как указать Src. Address, так и использовать Address Lists, как мы это делали выше.  Следующим правилом разрешаем прохождение пакетов в нашу сеть.

B следующим правилом запрещаем все остальные сети,

Action выбираем drop. В результате получится следующее

Запрет доступа пользователя в интернет

Если нам нужно запретить доступ в интернет определенным пользователям, давайте сделаем это через Address Lists, что бы в дальнейшем проще было добавлять или удалять правила, переходим на вкладку address Lists и создаем список block в который добавим адреса для блокировки.

Создаем запрещающее правило firewall в chain forward, в котором на вкладке Advanced в Src. Address  List выбираем наш список для блокировки

В Action выбираем Drop. Теперь, наше правило нужно поставить выше разрешающего правила,  иначе оно не сработает, как это сделать я писал выше, в результате получится следующая картина

Аналогично можно запретить доступ к внешним ресурсам, так же создаем список для блокировки, но в настройка firewall уже указываем его в качестве Dst. Address List. Кроме ip адреса в список можно вносить и доменные имена, например если мы хотим запретить доступ пользователей в соцсети, одноклассники или вконтакте.

Доступ только к сайтам

В следующим примере рассмотрим как разрешить пользователям выход в интернет только по 80 и 443 порту и запретить все остальные, для этого создадим разрешающее правило в chain  forward, Protocol выбираем tcp и в параметре Dst.Prort указываем разрешенные порты

Тоже самое можно сделать с помощью запрещающего правила, используя оператор отрицания «!», а Action установить drop

Это означает,  запретит все порты кроме 80 и 443.

Конечно,  все возможности firewall на микротик я показать не смогу, но основные параметры думаю понятны.

Внимание! при настройке  firewall  на MikroTIK, настоятельно рекомендую проводить их в «Safe Mode» как ее включить описано здесь, в противном случае вы рискуете потерять доступ к маршрутизатору.

Обучающий курс по настройке MikroTik

Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания.

Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором.

На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.

, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник: //ITProffi.ru/nastrojka-firewall-na-mikrotik/

Mikrotik: настройка Firewall

Настройка файервола в роутере Mikrotik

Роутеры Mikrotik очень гибки в настройке и обладают весьма обширным функционалом, но при неправильной настройке Firewall могут быть легко взломаны. Заводские настройки роутеров Mikrotik не обеспечивают полной безапосности, поэтому обезопасить свой роутер от проникновения можно лишь выполнив все настройки самостоятельно. Рассмотрим основные настройки Firewall и служб роутера Mikrotik.

  1. Доступ к роутеру
  2. Службы роутера
  3. Интерфейсы роутера
  4. Firewall
  5. IPv6

Доступ к роутеру Mikrotik

Меняем имя пользователя по-умолчанию
По-умолчанию имя пользователя с полным доступ к роутеру admin. Смена стандартного имени усложнит получение доступа к роутеру.

/user add name=myname password=mypassword group=full/user remove admin

Создаем сложный пароль
Для создания сложного и уникального пароля лучше воспользоваться генератором паролей. Безопасный пароль должен содержать  символы верхнего и нижнего регистра, цифры и специальные символы.

/user set 0 password=”!={Ba3N!”40TуX+GBz?jTLIUcx/,”

Другой способ установки пароля

/password

Доступ по IP адресу
Помимо того, что firewall защищает ваш роутер от несанкционированнного доступа из внешних сетей, существует возможно разрешить доступ к настройкам роутера только с определенного  ip-адреса или сети.

/user set 0 allowed-address=x.x.x.x/yy

где x.x.x.x — ip-адрес, yy — маска сети

Службы роутера Mokrotik

Для безопасного подключения к администрированию роутера используются доступы по SSH, HTTPS и приложение Winbox.

Смотрим какие службы задействованы на Mikrotik.

/ip service print

Отключаем службы, которые не используют безопасное подключение.

/ip service disable telnet,ftp,www,api,api-ssl

Меняем стандартный порт службы SSH, чтобы предотвратить большинство случайных попыток входа в систему различных SSH-взломщиков

/ip service set ssh port=2200

Дополнительно можно задать доступ к службам только с определенного IP-адреса или сети. Например для службы Winbox установим доступ из сети 192.168.88.0 и маской 24

/ip service set winbox address=192.168.88.0/24

Чтобы отключить возможность обнаружения роутера в сетях можно отключить следующие службы.

Отключение обнаружения MAC-адреса

Отключаем Mac-telnet

/tool mac-server set allowed-interface-list=none

Отключаем MAC-Winbox

/tool mac-server mac-winbox set allowed-interface-list=none

Отключаем MAC-Ping

/tool mac-server ping set enabled=no

Отключаем Bandwidth server

Bandwidth serverиспользуется для проверки пропускной способности между двумя роутерами Mokrotik.

/tool bandwidth-server set enabled=no

Отключаем Neighbor Discovery

Протокол Neighbor Discovery используется для распознавании других роутерово Mikrotik в сети. Отключаем его на всех интерфейсах

/ip neighbor discovery-settings set discover-interface-list=none

Кэширование DNS

В роутере может быть включена функция кэширования DNS для более быстрого разрешения доступа к удаленным серверам. Если у вас нет потребности в этом, то можете отключить.

/ip dns set allow-remote-requests=no

Прочие службы Mikrotik

Кэширующий Proxy

/ip proxy set enabled=no

Socks proxy

/ip socks set enabled=no

UPNP

/ip upnp set enabled=no

Служба динамических имен или Cloud IP

/ip cloud set ddns-enabled=no update-time=no

Усиление безопасности SSH подключений

Включение усилинного шифрования для SSH

ip ssh set strong-crypto=yes

Интерфейсы роутера

Ethernet / SFP

Возьмите за правило отключать на роутере те интерфейсы, которые не используются. Это позволит снизить вероятность несанкцианированных подключений.

/interface print/interface set x disabled=yes

где x — номер неиспользованного интерфейса

LCD

Некоторые роутеры Mikrotik снабжены для удобства информационным дисплеем. Установите pin-код или отключите дисплей.

/lcd set enabled=no

Firewall

Обработка подключений к роутеру IPv4

  • работаем с новыми соединениями для снижения нагрузки на маршрутизатор;
  • создаем список ip-адресов, которым разрешен доступ к маршрутизатору;
  • разрешаем ICMP запросы;
  • сбрасываем все остальные подключения.

/ip firewall filteradd action=accept chain=input comment=”default configuration” connection-state=established,relatedadd action=accept chain=input src-address-list=allowed_to_routeradd action=accept chain=input protocol=icmpadd action=drop chain=input/ip firewall address-listadd address=192.168.88.2-192.168.88.254 list=allowed_to_router

Настройки firewall для клиентов роутера IPv4

  • Пакеты установленных и сопутствующих соединений добавляем в fasttrack для повышения пропускной способности;
  • сбрасываем все недействительные соединения и отмечаем их префиксом invalid;
  • сбрасываем все пакеты, которые направлены из локальной сети не на публичный IP-адрес, используем список dst-address-list=not_in_internet для входящего интерфейса bridge1, записываем в log с префиксом log-prefix=!public_from_LAN;
  • Сбрасываем взодящие пакеты на порт интернета ether1, которые не были обработаны NAT, записываем в журнали с префиксом !NAT;
  • сбрасываем входящие пакеты из интернета, у которых  нет публичного ip-адреса, пишем в логи спрефиксом !public;
  • сбрасываем все подключения с локальной сети, которые не имеют ip-адреса подсети нашего роутера.

/ip firewall filteradd action=fasttrack-connection chain=forward comment=FastTrack connection-state=established,relatedadd action=accept chain=forward comment=”Установленные и дополнительные соединения” connection-state=established,relatedadd action=drop chain=forward comment=”Сбрасываем недействительные” connection-state=invalid log=yes log-prefix=invalidadd action=drop chain=forward comment=”Сбрасываем попытки подключиться не к публичному ip-адресу из локальной сети” dst-address-list=not_in_internet in-interface=bridge1 log=yes log-prefix=!public_from_LAN out-interface=!bridge1add action=drop chain=forward comment=”Сбрасываем входящие пакеты не обработанные NAT” connection-nat-state=!dstnat connection-state=new in-interface=ether1 log=yes log-prefix=!NATadd action=drop chain=forward comment=”Сбрасываем входящие пакеты из интернета без публичного IP-адреса” in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internetadd action=drop chain=forward comment=”Сбрасываем пакеты из локальной сети, которые не имеют локального адреса” in-interface=bridge1 log=yes log-prefix=LAN_!LAN src-address=!192.168.88.0/24 /ip firewall address-listadd address=0.0.0.0/8 comment=RFC6890 list=not_in_internetadd address=172.16.0.0/12 comment=RFC6890 list=not_in_internetadd address=192.168.0.0/16 comment=RFC6890 list=not_in_internetadd address=10.0.0.0/8 comment=RFC6890 list=not_in_internetadd address=169.254.0.0/16 comment=RFC6890 list=not_in_internetadd address=127.0.0.0/8 comment=RFC6890 list=not_in_internetadd address=224.0.0.0/4 comment=Multicast list=not_in_internetadd address=198.18.0.0/15 comment=RFC6890 list=not_in_internetadd address=192.0.0.0/24 comment=RFC6890 list=not_in_internetadd address=192.0.2.0/24 comment=RFC6890 list=not_in_internetadd address=198.51.100.0/24 comment=RFC6890 list=not_in_internetadd address=203.0.113.0/24 comment=RFC6890 list=not_in_internetadd address=100.64.0.0/10 comment=RFC6890 list=not_in_internetadd address=240.0.0.0/4 comment=RFC6890 list=not_in_internetadd address=192.88.99.0/24 comment=”6to4 relay Anycast [RFC 3068]” list=not_in_internet

IPv6

Работа с пакетами протокола IPv6 отключена в роутерах Mikrotik по-умолчанию. При включении IPv6 роутер самостоятельно не создает правил для Firewall.

Отключаем обнаружение соседями для IPv6

/ipv6 nd set [find] disabled=yes

Обработка подключений к роутеру IPv6

  • обрабатываем новые пакеты, принимаем установленные соединения и связанные (сопутствующие);
  • сбрасываем недействительные пакеты и помечаем префиксом;
  • принимаем ICMP пакеты;
  • пропускаем соединения от клиентов роутера в интернет;
  • сбрасываем все остальное.

/ipv6 firewall filteradd action=accept chain=forward comment=”установленные, связанные” connection-state=established,relatedadd action=drop chain=forward comment=”недействительные” connection-state=invalid log=yes log-prefix=ipv6,invalidadd action=accept chain=forward comment=”icmpv6″ in-interface=!sit1 protocol=icmpv6add action=accept chain=forward comment=”LAN” in-interface=!sit1 src-address-list=allowedadd action=drop chain=forward log-prefix=IPV6

Источник: //soft-setup.ru/oborudovanie/mikrotik-nastrojka-firewall/

Настройка MikroTik Firewall

Настройка файервола в роутере Mikrotik

В целом базовая настройка безопасности mikrotik firewall , основанная на брандмауэре Linux iptables, позволяет трафику фильтроваться внутри, вне и через устройства RouterOS. Эта реализация брандмауэра принципиально отличается от некоторых вендоров, таких как Cisco.

Однако в том случае, если у вас есть знания об iptables или о брандмауэрах в целом, этого будет достаточно для погружения в тему. Понимание брандмауэра RouterOS имеет решающее значение для обеспечения безопасности ваших устройств и защиты от удаленного проникновения злоумышленников.

Которые могут попытаться сканировать или получить доступ к вашей сети.

Мы обсудим дизайн, цепочки, действия, правила и общие рекомендации.

Дизайн mikrotik firewall

Общая идея представлена в mikrotik firewall, и ее описание заключается в том, что трафик, который вам нужен, должен быть разрешен, а весь остальной трафик должен быть удален.

В целом базовая настройка firewall mikrotik предполагает, что сеть можно разделить на ненадежные, полунадежные и надежные сетевые анклавы.

В сочетании с разделением сети с использованием VLAN это позволит создать надежную, защищенную сеть, которая может оградить область нарушения, если оно произойдет.

Трафик, который разрешен из одной сети в другую, должен иметь деловые или организационные требования и быть документирован для того, чтобы mikrotik firewall настройка была успешной. Наилучший подход заключается в том, чтобы вывести ваш текущий дизайн сети и провести сетевые подключения, которые должны быть разрешены.

Разрешенный трафик будет иметь mikrotik правила firewall, позволяющие его передавать, а затем окончательное правило сработает как «уловка» и весь остальной трафик будет отброшен. Иногда это называется правилом “Deny All”,  а в случае с Cisco, часто встречается правило “Deny Any-Any”.

В целом mikrotik firewall rules можно значительно упростить, если разрешить все то, что вам нужно, а все остальное удалить.

Первой концепцией для понимания являются сети брандмауэров и то, как они используются в правилах брандмауэра, и  mikrotik firewall примеры явно это показывают.

Цепочки передачи пакетов Firewall Chains

Итак, mikrotik правильная настройка firewall предполагает, что цепи брандмауэра соответствуют трафику, входящему и выходящему из интерфейсов.

После того, как трафик сопоставлен, вы можете действовать по нему, используя правила, которые блокируют действия – разрешают, блокируют, отклоняют, регистрируют и т. д. Существуют три цепочки по умолчанию для соответствия трафику – вход, выход и пересылка.

Вы можете создавать свои собственные сети, но это более продвинутая тема, которая будет рассмотрена в другой статье.

  Разбираемся с характеристиками Mikrotik RB1100AHx4 Dude edition

Пакеты, адресованные маршрутизатору MikroTik (Input Chain)

Также есть мы mikrotik настраиваем firewall, то Input Chain соответствует трафику, направленному по направлению к самому маршрутизатору, адресованному интерфейсу на устройстве. Это может быть трафик Winbox, сеансы SSH или Telnet или администратор, непосредственно пинговый маршрутизатор.

Обычно большинство входных трафиков в WAN отбрасываются, чтобы остановить сканеры портов, попытки взлома входа в систему и т.д. В некоторых организациях также удаляется входной трафик из локальных сетей, поскольку Winbox, SSH и другой административный трафик ограничиваются управлением VLAN.

Не все организации используют выделенную VLAN управления, но она считается лучшей практикой в ​​целом и есть в mikrotik настройка firewall. Это помогает убедиться, что злоумышленник или кто-то, кто получает внутренний доступ, не может напрямую обращаться к устройствам и попытаться обойти меры безопасности организации, и что mikrotik firewall connection безопасна.

Исходящие пакеты (Output Chain)

Output Chain соответствует трафику, исходящему от самого маршрутизатора. Это может быть администратор, отправляющий пинг непосредственно с маршрутизатора на шлюз ISP для проверки возможности подключения.

Это также может быть маршрутизатор, отправляющий DNS-запрос от имени внутреннего хоста, или маршрутизатор, обращающийся к mikrotik.com, для проверки обновлений. Многие организации не защищают исходящий трафик, потому что трафик, соответствующий цепочке вывода, должен исходить от самого маршрутизатора.

  Mikrotik firewall настройка безопасность предполагает, что трафик, вызывающий доверие, которым предполагается, что устройство не было скомпрометировано.

Пакеты, предназначенные внутренним абонентам (Forward Chain)

Forward Chain в mikrotik firewall filter сопоставляет трафик, проходящий через маршрутизатор, от одного интерфейса к другому.

Это маршрутизируемый трафик, который устройство передает из одной сети в другую. Для большинства организаций основная часть их межсетевого трафика находится в этой цепочке.

В конце концов, мы говорим о маршрутизаторе, чья задача заключается в том, чтобы нажимать пакеты между сетями.

Примером трафика, который соответствует цепочке Forward, будут пакеты, отправленные с хоста LAN через маршрутизатор, исходящий на шлюз поставщика услуг через маршрут по умолчанию. В одном интерфейсе и из другого, направленного таблицей маршрутизации.

Операции с пакетами (Firewall Actions)

Правила брандмауэра mikrotik vpn firewall могут выполнять несколько операций с пакетами, когда они проходят через брандмауэр. Существует три основных действия, которые правила брандмауэра RouterOS могут принимать пакеты – Accept, Drop и Reject. Другие действия существуют и будут охватываться различными статьями по мере их применения, но эти три являются основой брандмауэра.

Пропуск пакетов (Accept)

Это правила, которые «принимают» трафик позволяют сопоставлять пакеты через брандмауэр. Пакеты не изменяются и не перенаправляются, их просто разрешают путешествовать через брандмауэр. Помните, мы должны только разрешить трафик, который нам нужен, и заблокировать все остальное.

Отклонение пакетов (Reject)

“Reject” – это правила, которые отклоняют пакеты блоков трафика в  mikrotik firewall script и отправляют ICMP «отклонять» сообщения источнику трафика. Получение отказа ICMP показывает, что пакет действительно прибыл, но был заблокирован.

Это действие в mikrotik скрипт firewall  будет безопасно блокировать вредоносные пакеты, но сообщения об отказе могут помочь злоумышленнику отпечатать ваши устройства во время сканирования порта.

Он также позволяет злоумышленнику узнать, что на этом IP-устройстве работает устройство, и что они должны исследовать дальше.

Во время оценки безопасности, в зависимости от аудитора и стандартов, которые вы проверяете против него, может быть, а может и не быть аудит, если ваш брандмауэр отклоняет пакеты. Не рекомендуется в качестве лучшей практики защиты отклонять пакеты, вместо этого вы должны молча «отбрасывать» их.

  Правильный выбор Wi-Fi роутера

Сброс пакетов (Drop)

«Drop» – это правила, которые блокируют пакеты трафика в брандмауэре, молча отбрасывая их без сообщения об ошибке для источника трафика. Это предпочтительный метод обработки. Когда правила сброса настроены правильно, сканер ничего не получит назад, как будто на конкретном IP-адресе ничего не происходит. Это желаемый эффект хороших правил брандмауэра.

Правила MikroTik Firewall

Правила брандмауэра определяют, какие пакеты разрешены, и которые будут отброшены. Они представляют собой комбинацию цепей, действий и адресации (источник / место назначения).

Хорошие правила брандмауэра позволяют трафику, который требуется пройти для подлинной деловой или организационной цели, и отбрасывает весь другой трафик в конце каждой цепочки.

Используя правило «запретить все» в конце каждой цепочки, мы сохраняем множество правил брандмауэра намного короче, потому что для всех других профилей трафика не должно быть кучи правил «запретить».

Цепочки правил межсетевого экрана (Chains)

Каждое правило применяется к определенной цепочке, а присвоение цепочки по каждому правилу необязательно. Пакеты соответствуют определенной цепочке, а затем правила этой сети брандмауэра оцениваются в порядке убывания.

Поскольку порядок имеет значение, правила в правильной последовательности могут сделать брандмауэр более эффективным и безопасным.

Наличие правил в неправильном порядке может означать, что основная часть ваших пакетов должна быть оценена по многим правилам, прежде чем ударить правило, которое, наконец, позволяет это, тратя время на ценные ресурсы обработки.

Действия при обработке пакетов

Все правила брандмауэра должны иметь действие, даже если это действие предназначено только для регистрации соответствующих пакетов. Три типичных действия, используемые в правилах: Accept, Reject и Drop, как описано выше.

Адресация пакетов

Это сообщает брандмауэру для каждого правила, какой трафик соответствует правилу. Эта часть является необязательной – вы можете просто заблокировать весь протокол без указания его источника или адресата. Существует несколько вариантов адресации трафика, поступающего в маршрутизатор или через него.

Вы можете указать IP-адреса источника или назначения, включая отдельные IP-адреса хоста или подсети, используя нотацию CIDR (/24, /30 и т. д.).

Интерфейсы также могут использоваться для фильтрации трафика на определенном интерфейсе или из него, который может осуществляться через физический интерфейс, такой как Ethernet-порт или логический интерфейс, например, созданные GRE-туннелями. Это часто делается при блокировании трафика, когда источник или место назначения трафика не всегда известны.

Хорошим примером этого является трафик, поступающий на маршрутизатор через поставщика услуг – этот трафик может происходить из Азии, Европы или где-либо еще. Поскольку вы не знаете, что этот трафик является правилом deny, он используется для входящего на интерфейс WAN, чтобы просто его удалить.

Источник: //14bytes.ru/nastrojka-mikrotik-firewall/

Настройка файервола в роутере Mikrotik

Настройка файервола в роутере Mikrotik

Роутеры компании Mikrotik достаточно популярны и установлены в домах или офисах у многих пользователей. Основной безопасности работы с таким оборудованием является верно настроенный firewall. Он включает в себя набор параметров и правил, позволяющих обезопасить сеть от посторонних соединений и взломов.

Настраиваем firewall роутера Mikrotik

Настройка маршрутизатора осуществляется с помощью особой операционной системы, которая позволяет использовать веб-интерфейс или специальную программу. В двух этих версиях присутствуют все необходимое для редактирования файервола, поэтому не имеет значения, чему вы отдадите предпочтение. Мы же остановимся на браузерной версии. Перед началом вам необходимо выполнить вход:

  1. Через любой удобный браузер перейдите по адресу 192.168.88.1.
  2. В стартовом окне веб-интерфейса роутера выберите «Webfig».
  3. Перед вами отобразится форма для входа. Введите в строках логин и пароль, которые по умолчанию имеют значения admin.

Детальнее о полной настройке роутеров данной компании вы можете узнать в другой нашей статье по ссылке ниже, а мы перейдем непосредственно к конфигурации защитных параметров.

Подробнее: Как настроить роутер Mikrotik

Очищение листа правил и создание новых

После входа перед вами отобразится главное меню, где слева присутствует панель со всеми категориями. Перед добавлением собственной конфигурации вам потребуется выполнить следующее:

  1. Разверните категорию «IP» и перейдите в раздел «Firewall».
  2. Очистите все присутствующие правила нажатием на соответствующую кнопку. Произвести это необходимо для того, чтобы в дальнейшем не возникало конфликтов при создании собственной конфигурации.
  3. Если вы вошли в меню через браузер, переход к окну создания настройки осуществляется через кнопку «Add», в программе же вам следует нажать на красный плюс.

Теперь, после добавления каждого правила, вам нужно будет кликать на эти же кнопки создания, чтобы заново развернуть окно редактирования. Давайте подробнее остановимся на всех основных параметрах безопасности.

Проверка связи устройства

Соединенный с компьютером роутер иногда проверяется операционной системой Windows на наличие активного подключения. Запустить такой процесс можно и вручную, однако доступно это обращение будет только в том случае, если в файерволе присутствует правило, разрешающее связь с ОС. Настраивается оно следующим образом:

  1. Нажмите на «Add» или красный плюс для отображения нового окна. Здесь в строке «Chain», что переводится как «Сеть» укажите «Input» – входящий. Так это поможет определить, что система обращается к маршрутизатору.
  2. На пункт «Protocol» установите значение «icmp». Данный тип служит для передачи сообщений, связанных с ошибками и другими нестандартными ситуациями.
  3. Переместитесь в раздел или вкладку «Action», где поставьте «Accept», то есть такое редактирование разрешает проводить пинговку устройства Windows.
  4. Поднимитесь вверх, чтобы применить изменения и завершить редактирование правила.

Однако на этом весь процесс обмена сообщениями и проверки оборудования через ОС Виндовс не заканчивается. Вторым пунктом является передача данных. Поэтому создайте новый параметр, где укажите «Сhain» — «Forward», а протокол задайте таким, как это сделали на предыдущем шаге.

Не забудьте проверить «Action», чтобы там было поставлено «Accept».

Разрешение установленных подключений

К роутеру иногда подключаются другие устройства посредством Wi-Fi или кабелей. Кроме этого может использоваться домашняя или корпоративная группа. В таком случае потребуется разрешить установленные подключения, чтобы не возникало проблем с доступом в интернет.

  1. Нажмите «Add». Снова укажите тип входящий тип сети. Опуститесь немного вниз и поставьте галочку «Established» напротив «Connection State», чтобы указать установленное соединение.
  2. Не забывайте проверить «Action», чтобы там был выбран необходимый нам пункт, как и в предыдущих конфигурациях правил. После этого можно сохранить изменения и перейти далее.

Еще в одном правиле поставьте «Forward» возле «Chain» и отметьте галочкой тот же пункт. Действие также следует подтвердить, выбрав «Accept», только после этого переходите далее.

Разрешение связанных подключений

Примерно такие же правила потребуется создать и для связанных подключений, дабы не возникало конфликтов при попытке аутентификации. Весь процесс осуществляется буквально в несколько действий:

  1. Определите для правила значение «Chain» — «Input», опуститесь вниз и отметьте галочкой «Related» напротив надписи «Connection State». Не забудьте и про раздел «Action», где активируется все тот же параметр.
  2. Во второй новой настройке тип соединения оставьте такой же, а вот сеть установите «Forward», также в разделе действия вам необходим пункт «Accept».

Обязательно сохраняйте изменения, чтобы правила добавлялись в список.

Разрешение подключений из локальной сети

Пользователи локальной сети смогут подключаться только в том случае, когда это установлено в правилах firewall. Для редактирования вам сначала потребуется узнать, куда подключен кабель провайдера (в большинстве случаев это ether1), а также IP-адрес вашей сети. Детальнее об этом читайте в другом нашем материале по ссылке ниже.

Подробнее: Как узнать IP-адрес своего компьютера

Далее нужно настроить всего один параметр. Делается это следующим образом:

  1. В первой строке поставьте «Input», после чего опуститесь к следующей «Src. Address» и напечатайте там IP-адрес. «In. Interface» укажите «Ether1», если входной кабель от провайдера подключен именно к нему.
  2. Переместитесь во вкладку «Action», чтобы проставить там значение «Accept».

Запрет ошибочных соединений

Создание этого правила поможет вам предотвращать ошибочные соединения. Происходит автоматическое определение недостоверных подключений по определенным факторам, после чего производится их сброс и им не будет предоставлен доступ. Вам нужно создать два параметра. Делается это следующим образом:

  1. Как и в некоторых предыдущих правилах, сначала укажите «Input», после чего опуститесь вниз и поставьте галочку «invalid» возле «Connection State».
  2. Перейдите во вкладку или раздел «Action» и установите значение «Drop», что означает сброс соединений такого типа.
  3. В новом окне измените только «Chain» на «Forward», остальное выставьте так, как и в предыдущем, включая действие «Drop».

Можно также запретить и другие попытки соединения из внешних источников. Осуществляется это настройкой всего одного правила. После «Chain» — «Input» проставьте «In. Interface» — «Ether1» и «Action» — «Drop».

Разрешение прохождения трафика из локальной сети в интернет

Работа в операционной системе RouterOS позволяет разрабатывать множество конфигураций прохождения трафика. Мы не будет останавливаться на этом, поскольку обычным пользователям такие знания не пригодятся. Рассмотрим только одно правило файервола, позволяющее проходить трафику из локальной сети в интернет:

  1. Выберите «Chain» — «Forward». Задайте «In. Interface» и «Out. Interface» значения «Ether1», после чего отметьте восклицательным знаком «In. Interface».
  2. В разделе «Action» выберите действие «Accept».

Запретить остальные подключения вы можете тоже всего одним правилом:

  1. Выберите только сеть «Forward», не выставляя больше ничего.
  2. В «Action» убедитесь, что стоит «Drop».

По итогу конфигурации у вас должна получится примерно такая схема firewall, как на скриншоте ниже.

Источник: //lumpics.ru/tuning-firewall-on-mikrotik-router/

Настройка firewall Mikrotik

Настройка файервола в роутере Mikrotik

Сервер в кармане, или просто о сложном!

главная – Статьи – Беспроводные сети WiFi

Mikrotik

Вместо вступления

Итак, имеем роутер Mikrotik, например, очень популярный RB951G-2HnD.

Считаем, что внутренняя сеть осталась нетронутой (192.168.88.0/24), IP роутера 192.168.88.1, внешний интерфейс ether1-gateway.

Первое, что надо сделать: защитить роутер от маньяков из интернета. По умолчанию, брандмауэр роутера разрешает все подключения. Мы не можем подключить к нему клавиатуру и монитор для настройки или корректировки того, что мы натворим в дальнейшем, поэтому отнеситесь внимательно к тому, что и как вы настраиваете.

Доступ к терминалу через WinBox

Огромное преимущество WinBox состоит в том, что даже если сетевой адаптер компьютера, с которого вы подключаетесь к Mikrotik, находится в другой подсети (ну, настройка у вас такая), то WinBox все равно сможет подключиться к роутеру – по mac. Если вы еще не установили WinBox, самое время это сделать! В браузере открываем веб-интерфейс роутера и находим почти в самом низу ссылочку WinBox.

Запускаем WinBox и выбираем New Terminal.

Дальше все как в нормальных взрослых железках, по tab автодополнение команд и др. Вам понравится!

При вводе команд учтите, что внесенные изменения применяются сразу же, поэтому не заблокируйте сами себя. После ввода команд новые правила будут доступны для редактирования через WinBox или веб-интерфейс. Порядок правил имеет значение – выполняются сверху вниз. Где бы вы ни взяли сами команды, сначала посмотрите, что они делают!

Цепочка INPUT работает тогда, когда данные предназначены роутеру (его ip адресу). Когда мы что-то настраиваем для этой цепочки, мы в первую очередь защищаем сам роутер (ssh, telnet, веб-интерфес и др.) от взлома.

Пожалуй, больше всего внимания требует именно эта цепочка.

Общий принцип построения правил: явно запрещаем что-то (например, все новые соединения из интернета ;)) или явно что-то разрешаем (например, удаленный ssh), остальное запрещаем.

Цепочка FORWARD работает тогда, когда данные проходят через роутер, например, когда ваш локальный компьютер хочет открыть сайт ya.ru. Всякие блокировки на этом этапе защищают вас, например, от того, что зараженный компьютер в вашей локальной сети начнет рассылать спам или учавствовать в DDOS. Т.е.

каждый банк-клиент, IM-месенджер и куча другого софта требуют своих особых разрешений, то если вы не защищаете банк от хакеров, то мы просто запретим некоторые наиболее распространенные виды трафика, которые используются зараженными компьютерами.

А так весь проходящий из локалки в интернет (но не наоборот!) мы разрешим.

Цепочка OUTPUT работает тогда, когда данные генерятся на самом роутере и идут наружу. Например, для запросов DNS. Эту цеопчку по сути нам нет смысла фильтровать. Почти.

Цепочка forward позволяет нам разрешать или не разрешать проходящий трафик, а вот за то, какой трафик и куда мы будем перенаправлять, отвечают цепочки SRCNAT и DSTNAT.

Цепочка SRCNAT (Source NAT) предназначена для трафика, условно названного “наружу”. Изменяется адрес источника (source) на адрес внешнего интерфейса. Например, чтобы дать возможность клиентам локальной сети посещать сайты в интернет.

Цепочка DSTNAT (Destination NAT) определяет как будет проходить “входящий” трафик. Роутер изменит адрес назначения (destination). Например, можно сделать доступным из вне веб сервер, размещенный в локальной сети.

INPUT

Минимальный набор правил – сделать недоступным из вне внешний интерфейс роутера.

/ip firewall filteradd chain=input connection-state=invalid action=drop comment=”drop invalid connections”add chain=input connection-state=related action=accept comment=”allow related connections”add chain=input connection-state=established action=accept comment=”allow established connections”

add chain=input action=drop comment=”drop everything else” in-interface=ether1-gateway

где в последнем правиле мы запрещаем весь входящий трафик на внешнем интрфейсе. Не играйтесь настройками удаленно! Легко лишить себя доступа к роутеру.

Далее, по мере надобности, можно будет помещать разрешающие правила перед последним запрещающим.

NAT

IP -> Firewall – NAT.  По-умолчанию, nat уже включен.Это правило “маскарадинга”:

/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1-gateway

Исходящий интерфейс (out-interface) всегда внешний, смотрящий и интернет (или просто в другую сеть, если у вас все непросто). В принципе, минимально этих правил nat и input уже достаточно. Учтите, что если у вас цепочка forward по-умолчанию блокирует все, что возможно, то надо добавить соответствующее правило:

/ip firewall filter add chain=forward out-interface=ether1-gateway

Проброс портов

Предположим, вам надо сделать доступным веб-сервер (tcp/80), запущенный на локальной машине с IP 192.168.88.22.

/ip firewall nat add action=dst-nat chain=dstnat dst-port=80 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.88.22 to-ports=80

Все бы ничего, но скорее всего, у вас включен firewall, который режет все, что не соответствует политике партии. Тогда надо разрешить forward пакетов:

/ip firewall filter add chain=forward protocol=tcp dst-port=80 action=accept

Это правило надо переместить повыше, т.е. ближе к началу списка правил.

Перенаправление трафика, адресованного одному ip, на другой ip

Если вам надо все подключения на один ip-адрес переадресовать другому ip-адресу:

/ip firewall nat add action=netmap chain=dstnat protocol=tcp dst-address=192.168.88.3 to-addresses=192.168.4.200

Ждем и давим, как блох любителей чужого ssh

Если мы не используем ssh для работы с Mikrotik, то нам может быть мало просто отключить ssh в IP -> Services. Если мы не пользуемся ssh, значит, любая попытка коннекта по ssh – вражеская!

Следующее правило добавляет IP-адреса источников (action=add-src-to-address-list), которые подключаются к 22 порту, в список ssh_blacklist, на 60 минут. Само это правило ничего не блокирует, просто заносит в черную книжечку:

/ip firewall filter
add chain=input protocol=tcp dst-port=22 address-list=ssh_blacklist action=add-src-to-address-list address-list-timeout=60m comment=”record ssh brute forcers” disabled=no log=yes log-prefix=” — SSH ATTEMPT — “

А вот теперь, имея на руках список хулиганов (ssh_blacklist), можно банить им либо только работу с ssh, либо вообще любые действия в сторону нашего микротика:

/ip firewall filter
add chain=input protocol=tcp src-address-list=ssh_blacklist action=drop comment=”drop ssh brute forcers”

Правила по отлову и блокированию маньяков надо разместить выше последнего запрещающего правила, иначе ничего не сработает.

А еще лучше, если у вас есть открытый VPN или другие сервисы на микроте – оба этих правила поставить самыми первыми, чтобы тех, кто пытался наш ssh открыть, отгородить вообще от всего на нашем роутере, по принципу – если кто-то в одном что-то замышляет, то и в другом он тоже пакость готовит. Главное – не перестараться! Вдруг вы сами случайно забудете об этом правиле и решите с работы посканить роутер nmap-ом, например.

По этому принципу настраивают защиту микротика от брутфорса, но здесь я уже не буду засорять эфир, и так уже нагородил простыню.

Настройка с помощью скрипта

Вводить каждое правило firewall с консоли руками очень быстро может надоесть, к тому же готовый скрипт легко сохранить “на память”. В открытом WinBox выбираем System -> Scripts. В текстовом редакторе готовим скрипт правил, копируем его и жмем Run Script. Потом можно что-то добавить по мелочи, что-то подправить, а может и опять скриптом все…

Приведу пример скрипта настройки firewall:

/ip firewall filter # INPUTadd chain=input connection-state=invalid action=drop comment=”drop invalid connections”add chain=input connection-state=related action=accept comment=”allow related connections”add chain=input connection-state=established action=accept comment=”allow established connections” # ext input # local inputadd chain=input src-address=192.168.88.0/24 action=accept in-interface=!ether1-gateway # drop all other inputadd chain=input action=drop comment=”drop everything else” # OUTPUTadd chain=output action=accept out-interface=ether1-gateway comment=”accept everything to internet”add chain=output action=accept out-interface=!ether1-gateway comment=”accept everything to non internet”add chain=output action=accept comment=”accept everything” # FORWARDadd chain=forward connection-state=invalid action=drop comment=”drop invalid connections” add chain=forward connection-state=established action=accept comment=”allow already established connections”add chain=forward connection-state=related action=accept comment=”allow related connections” add chain=forward src-address=0.0.0.0/8 action=dropadd chain=forward dst-address=0.0.0.0/8 action=dropadd chain=forward src-address=127.0.0.0/8 action=dropadd chain=forward dst-address=127.0.0.0/8 action=dropadd chain=forward src-address=224.0.0.0/3 action=dropadd chain=forward dst-address=224.0.0.0/3 action=drop # (1) jumpingadd chain=forward protocol=tcp action=jump jump-target=tcpadd chain=forward protocol=udp action=jump jump-target=udpadd chain=forward protocol=icmp action=jump jump-target=icmp # (3) accept forward from local to internetadd chain=forward action=accept in-interface=!ether1-gateway out-interface=ether1-gateway  comment=”accept from local to internet” # (4) drop all other forwardadd chain=forward action=drop comment=”drop everything else” # (2) deny some types common typesadd chain=tcp protocol=tcp dst-port=69 action=drop comment=”deny TFTP”add chain=tcp protocol=tcp dst-port=111 action=drop comment=”deny RPC portmapper”add chain=tcp protocol=tcp dst-port=135 action=drop comment=”deny RPC portmapper”add chain=tcp protocol=tcp dst-port=137-139 action=drop comment=”deny NBT”add chain=tcp protocol=tcp dst-port=445 action=drop comment=”deny cifs”add chain=tcp protocol=tcp dst-port=2049 action=drop comment=”deny NFS”add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment=”deny NetBus”add chain=tcp protocol=tcp dst-port=20034 action=drop comment=”deny NetBus”add chain=tcp protocol=tcp dst-port=3133 action=drop comment=”deny BackOriffice”add chain=tcp protocol=tcp dst-port=67-68 action=drop comment=”deny DHCP” add chain=udp protocol=udp dst-port=69 action=drop comment=”deny TFTP”add chain=udp protocol=udp dst-port=111 action=drop comment=”deny PRC portmapper”add chain=udp protocol=udp dst-port=135 action=drop comment=”deny PRC portmapper”add chain=udp protocol=udp dst-port=137-139 action=drop comment=”deny NBT”add chain=udp protocol=udp dst-port=2049 action=drop comment=”deny NFS”add chain=udp protocol=udp dst-port=3133 action=drop comment=”deny BackOriffice” add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment=”echo reply”add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment=”net unreachable”add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment=”host unreachable”add chain=icmp protocol=icmp icmp-options=3:4 action=accept comment=”host unreachable fragmentation required”add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment=”allow source quench”add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment=”allow echo request”add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment=”allow time exceed”add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment=”allow parameter bad”add chain=icmp action=drop comment=”deny all other types” # (5) drop all other forwardadd chain=forward action=drop comment=”drop (2) everything else”

Обратите внимание: этот скрипт не привязан к внешнему IP или MAC или чему-то уникальному. Его можно брать и использовать. Если вы ничего не меняли в своем роутере и обновили до версии 6.* после покупки, вам на всякий случай следует проверить название внешнего интерфейса и убедиться, что внутренняя сеть 192.168.88.0/24. И все.

ether1-gateway – внешний интерфейс, первый по счету. Это его имя по-умолчанию. Остальные порты – внутренние.

В секции ext input ничего нет – мне не нужно, чтобы кто-то подключался к роутеру. Если вам необходим удаленный доступ к роутеру, скажем, по ssh, то впишите команду:

add chain=input protocol=tcp dst-port=22 action=accept in-interface=ether1-gateway comment=”allow remote ssh”

В секции OUTPUT хватило бы и последней команды (add chain=output action=accept comment=”accept everything”), но для интереса я немного разделил по исходящим интерфейсам. Теперь при беглом просмотре будет видно, есть ли вообще трафик от роутера, и если есть, куда он идет – наружу или в локалку.

Скажем, увидим, что был трафик наружу, уточним правила по протоколам (tcp, udp, icmp). Если будет еще интереснее, можно будет поставить правило для логирования определенного вида трафика. Особо не увлекайтесь, все-таки роутер не имеет кучи места под логи.

Да и лишний раз напрягать слабенький процессор тоже не очень.

Последнее правило (5) никогда не будет выполняться, я его добавил сюда специально, чтобы продемонстрировать работу jump. Последнее правило для цепочки forward будет (4) drop.

Т.е. предположим, мы запросили исходящее соединение с удаленным ssh-сервером (т.е. из локальной сети через через цепочку forward, протокол tcp, dst-port 22).

Дойдя до блока (1) jumping, выполнится переход в (2) deny для tcp. Т.к. в цепочке tcp нет решения по поводу tcp/22, то выполнение вернется к (3), которое выполнит forward нашего пакета.

Если наш пакет не удовлетворит требованиям (3), следующее за ним правило (4) блокирует его.

Наглядно это очень интересно смотреть, когда в окне Firewall видишь счетчик пакетов по правилам.

Если вы начали подозревать, что 100500 правок выполняют уже невесть что, просто выделяете все правила брандмауэра и нажимаете delete. Затем снова Run Script 😉

Чтобы не листать всю простыню, можно отфильтровать листинг правил по цепочкам (фильтр вверху справа):

Запаситесь терпением, не экспериментируйте в состоянии ночного анабиоза и второпях. В принципе, это все.

Авторизуйтесь для добавления комментариев!

Источник: //bozza.ru/art-189.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.