Данная инструкция предназначена для самостоятельной настройки роутера MikroTik. В качестве примера будет использоваться роутер MikroTik hAP ac lite(RB952Ui-5ac2nD), который будет настроен для работы интернета и использования локальных сетей Ethernet и WiFi(включая Apple Iphone).
Инструкция состоит из двух больших примеров: “Быстрая настройка” и ‘Ручная настройка“, задача которых состоит в демонстрации двух методов настроек: с помощью внутреннего мастера настроек Quick Set и распределённая настройка посредством Winbox или Webfig.
- Быстрая настройка
- Ручная настройка
- Нужна настройка MikroTik в базовой конфигурации?
- Пример №1. Быстрая настройка MikroTik
- Сброс через кнопку RESET
- Подключение роутера MikroTik по кабелю
- Подключение роутера MikroTik по WiFi
- Вход в настройки роутера MikroTik
- Настройка MikroTik с помощью Quick Set
- Обновление прошивки
- Настройка MikroTik WiFi
- Настройка интернета, автоматические настройки
- Настройка интернета, статический IP адрес
- Настройка интернета, PPPoE
- Настройка локальной сети
- Подключение роутера MikroTik к компьютеру
- Вход в настройки MikroTik RouterOS
- Сброс роутера MikroTik
- Reset через Winbox
- Ошибки при подключении к Winbox
- Установить пароль на роутер MikroTik
- Обновление прошивки в MikroTik RouterOS
- Редакции прошивок MikroTik
- Настройка локальной сети MikroTik LAN
- Настройка MikroTik Bridge
- Добавление портов MikroTik в Bridge
- Назначение локального IP адреса
- Настройка DCHP сервера в MikroTik
- Определение диапазона назначаемых IP адресов
- Задание сетевых настроек для клиента
- Общие настройки MikroTik DCHP сервера
- Настройка MikroTik DNS
- DNS сервера Google
- Настройка Интернета на роутере MikroTik
- Настройка DHCP client в MikroTik
- Настройка статического IP в MikroTik
- Установка IP адреса на выбранный интерфейс
- Добавление статического маршрута(шлюз по умолчанию)
- Настройка PPPoE в MikroTik
- Настройка MikroTik NAT
- Настройка WiFi на роутере MikroTik
- Настройка пароля для WiFi в MikroTik
- Настройка WiFi на частоте 2,4ГГц
- Настройка WiFi на частоте 5ГГц
- Проброс портов(port forwarding) в роутере MikroTik
- Настройка Mikrotik FireWall
- Разрешение для уже установленных соединений
- Доверительные правила для локальной сети
- Разрешить ICMP запросы с WAN интерфейсов
- Удалить все входящие пакеты с WAN интерфейсов
- Удалить все пакеты в состоянии invalid
- Сброс MikroTik до заводских настроек, hard reset
- Reset через кнопку RESET
- Базовая настройка защиты роутера MikroTik
- Обновление прошивки до актуальной версии
- Создание новой учётной записи администратора
- Добавление Address List
- Пример базовых правил MikroTik Firewall(Default Rules)
- Деактивация неиспользуемых служб
- Ограничение по автообнаружению(Discovery) Neighbors
- Отключение функций MAC Server
- MAC Telnet Server
- MAC WinBox Server
- MAC Ping Server
- Нужна настройка MikroTik Firewall?
- Разрешение установленных и связанных подключений для входящего и проходящего трафика
- Удалить все остальные пакеты
- Правила настройки Firewall в роутере MikroTik
- Как защитить MikroTik от DDOS атаки
- Разрешены(Accept)
- Запрещены(Drop)
- Нет подключения к MikroTik, роутер не отвечает
- Что такое Quick Set?
- Безопасность
- Защита от DDoS
- RFC 1918
- UPnP
- SIP Conntrack
- IPv6 туннели
- Динамические и вложенные списки интерфейсов
- Bridge & ARP
- Прочее
- Небольшое предисловие
- В чем проблема стандартных (QuickSet) правил Filter?
- Задача
- Условия
- Что потребуется?
- Как реализовать и куда тыкать?
- Firewall RAW, великий и ужасный
Быстрая настройка
- Подключение по кабелю
- Подключение по WiFi
- Вход в настройки
- Quick Set настройка
Настройка интернета, автоматические настройкиНастройка интернета, статический IPНастройка интернета, PPPoE - Настройка интернета, автоматические настройки
- Настройка интернета, статический IP
- Настройка интернета, PPPoE
Ручная настройка
- Подключение к ПК
- Вход в настройки
- Сброс на заводские настройки
- Задать вопрос по настройке MikroTik
Нужна настройка MikroTik в базовой конфигурации?
Настройка служб на роутерах MikroTik: подключение интернета, DHCP, brige, VLAN, WiFi, Capsman, VPN, IpSec, PPTP, L2TP, Mangle, NAT, проброс портов, маршрутизация(routing), удаленное подключение и объединение офисов.
Пример №1. Быстрая настройка MikroTik
Данный пример настройки роутера MikroTik самый простой и не требует детального изучения принципов работы MikroTik. Его можно применять с использованием ПК или ноутбука, а также мобильного телефона.
Исходные настройки роутера MikroTik должны соответствовать заводским, если по какой причине это не так, следует их сбросить через кнопку Reset.
при использовании кнопки RESET оборудование MikroTik может принимать 3 разных состояния. Переход между состоянии зависит от времени нажатия кнопки RESET. Внимательно изучите последовательность сброса для перехода к заводским настройкам.
Сброс через кнопку RESET
На задней панели расположена кнопка RESET

Необходимо последовательно совершить действия:
- Отключить питание роутера;
- Нажать и держать кнопку Reset;
- Включить питание роутера(Reset нажат);
- Как только замигал индикатор. отпустить Reset.
Подключение роутера MikroTik по кабелю
- Включить роутер MikroTik в электросеть;
- На порт ether1 – подключить интернет провайдера(WAN);
- На любой порт из ether2-ether5 подключить компьютер. Эти порты считаются локальными (LAN).

Подключение роутера MikroTik по WiFi
Подключение к роутеру MikroTik через WiFi может стать актуальным, если у ноутбука нет Ethernet порта или настройка роутера производится через смартфон. В списке доступных WiFi подключений должен отображаться роутер MikroTik, по аналогии как на примере ниже.

Вход в настройки роутера MikroTik
Для входа в настройки MikroTik можно воспользоваться любым web браузером.

- Отрыть web браузер;
- В адресной строке ввести IP адрес 192.168.88.1 и нажать переход(Enter);

Настройка MikroTik с помощью Quick Set
Quick Set это мастер быстрых настроек, который содержит оптимизированные шаблоны уже готовых конфигураций, достаточно только их заполнить пользовательскими данными. В рамках данной настройки будет выбран шаблон Home AP Dual.

Обновление прошивки
- Нажать кнопку Check For Updates;
- Установить Channel = long term;
- Нажать кнопку Download&Install.


Роутер MikroTik будет перезагружен и после будет доступен по прежнему адресу “192.168.88.1“.
Настройка MikroTik WiFi
- Заполнить Network Name для 2GHz и 5GHz;
- Frequency = auto;
- Band 2GHz = 2GHz-B-G-N, Band 5GHz = 5GHz-A-N-AC
- Country = no_country_set
- Заполнить WiFi Password.

Настройка интернета, автоматические настройки

Настройка интернета, статический IP адрес
- Выбрать Address Acquusition = Static;
- Заполнить параметрами выданные провайдером: IP Address, Netmask, Gateway, DNS Servers.

Настройка интернета, PPPoE

Настройка локальной сети
- Заполнить IP Address;
- Netmask 255.255.255.0 (/24);
- Включить DHCP Server;
- Заполнить DHCP Server Range;
- Включить NAT.

Подключение роутера MikroTik к компьютеру
Предварительно стоит отметить, что у роутера MikroTik в качестве порта WAN может выступать любой порт. Однако в заводской прошивке, в качестве WAN порта выступает ether1, на котором активен dhcp client. Эту особенность заводской прошивки стоит учитывать при подключении к роутеру MikroTik, т.к. конфигурация определена так, что все входящие подключения на ether1 будут недоступны.
- Включить роутер MikroTik в электро сеть;
- На порт ether1 – подключить интернет провайдера(WAN);
- На любой порт из ether2-ether5 подключить компьютер. Эти порты считаются локальными (LAN).
Вход в настройки MikroTik RouterOS
Для настройки роутера MikroTik лучше всего воспользоваться утилитой , которая специально разработана для управления оборудованием MikroTik.
обнаружит устройство независимо от назначенного ему адреса. Чаще всего это 192.168.88.1, но и встречаются варианты когда ip адрес = «0.0.0.0». В этом случае подключение происходит по MAC адресу устройства. Кроме этого Winbox отображается все найденные устройства MikroTik в сети, а также дополнительную информацию(версия прошивки, UpTime):

- Запустить утилиту для настройки MikroTik;
- Среди списка устройств выбрать нужный роутер MikroTik и нажать кнопку Connect;
Учётная запись(пароль) по умолчанию:
Сброс роутера MikroTik
Т.к. ручная настройка предполагает полную настройку роутера MikroTik с нуля, при первом подключении необходимо полностью удалить заводскую настройку.

Если по какой-то причине роутер MikroTik не вывел форму сброса, это можно сделать в ручном режиме.
Reset через Winbox
- Установить переключатели No Default Configuration и Do Not Backup;
- Нажать кнопку Reset Configuration.

/system -configuration -=yes -=yes
Сброс роутера MikroTik будет сопровождаться перезагрузкой устройства, после которой можно повторно подключиться к роутеру через MAC адрес.
Ошибки при подключении к Winbox
router does not support secure connection, please enable legacy mode if you want to connect anyway
Решение: необходимо активировать режим Legacy Mode.

Решение-2: Обновить версию Winbox.
ERROR: could not connect to MikroTik-Ip-Address
Решение: Проблема связана с доступом, частые причины:
- Подключение закрыто через Firewall;
- Изменён порт управления через Winbox с 8291 на другой;
- Подключение происходит через WAN порт, интернет провайдер которого блокирует подобные соединения;
Установить пароль на роутер MikroTik
Первым важным делом настройки нового роутера MikroTik это обновление пароля администратора. Случаи бывали разные, это пункт просто нужно выполнить.
- Нажать + и добавить новую учётную запись администратора;
- Заполнить параметры: Name, Group, Password;

добавление нового пользователя с полными правами:
деактивация старого пользователя:
Рекомендация: Для повышения уровня безопасности роутера MikroTik следует:
Обновление прошивки в MikroTik RouterOS
Одной из важной задачей при вводе в эксплуатацию нового устройства MikroTik: маршрутизатора(роутера), коммутатора(свитча) или точки доступа WiFi это обновление прошивки. Чаще всего это имело рекомендованный характер, но недавний инцидент с “back door” в категории long-term указал на то, что актуальность прошивки в устройствах MikroTik имеет критический характер.
- Нажать кнопку Check For Updates;
- Выбрать Channel = long term;
- Загрузить и установить прошивку на MikroTik кнопкой Download&Install.

Действия в кнопке Download&Install произведут закачку выбранной редакции прошивки и автоматическую перезагрузку роутера MikroTik. Установка будет произведена в момент загрузки. Не выключайте роутер MikroTik до полной перезагрузки и обеспечьте стабильное питание электросети при обновлении прошивки.

Редакции прошивок MikroTik
- long term(bug fix only) – самая стабильная версия. Рекомендовано для производственных сред!
- stable(current) – long term плюс поддержка новых функций. Новые технологии это всегда хорошо.
Другие редакции не рекомендуется устанавливать в рабочие устройства MikroTik, т.к. это может привести к нежелательным последствиям.
Важным дополнением в обновлении прошивки является обновление Current Firmware – это аппаратная прошивка, аналог BIOS в компьютере.

Настройка локальной сети MikroTik LAN
В основе работы локальной сети (LAN) на роутере MikroTik находится Bridge – программное объединение портов в свитч. В состав Bridge может входить любая последовательность портов роутера MikroTik, а если туда добавить все порты – роутер станет точкой доступа WiFi или коммутатором.
Стоит учитывать, что такое объединение управляется CPU. Этот факт важен при значительных нагрузках на CPU.
Настройка LAN на роутере MikroTik состоит из следующих ключевых этапов:
- Объединение все локальных портов в Bridge;
- Настройка локального IP адреса для роутера MikroTik;
- Настройка DHCP сервера.
Настройка MikroTik Bridge
- Нажать + и добавить новый Bridge;
- Присвоить Name для выбранного Bridge;

ether3:bridge port received packet with own address as source address (MAC ether3), probably loop”
Добавление портов MikroTik в Bridge
- Нажать + и добавить новый Port;
- Выбрать соответствующие значение в параметрах: Interface, Bridge;
- Повторить аналогичные действия для всех интерфейсов, которые определены как LAN.

добавление портов(LAN, VLAN, WLAN и тд)
/interface bridge port add bridge=bridge-1 hw=yes interface=ether2
/interface bridge port add bridge=bridge-1 hw=yes interface=ether3
/interface bridge port add bridge=bridge-1 hw=yes interface=ether4
/interface bridge port add bridge=bridge-1 hw=yes interface=ether5
/interface bridge port add bridge=bridge-1 interface=wlan1
/interface bridge port add bridge=bridge-1 interface=wlan2
Hardware Offload — аппаратная поддержка bridge отдельным чипом. Список поддерживаемых устройств.

Назначение локального IP адреса
После добавления портов в Bridge нужно назначить статический IP адрес и правильней всего это указать в качестве интерфейса созданный bridge-1. С этого момента любая настройка адресации или маршрутизации в роутере MikroTik будет осуществляться через bridge-1.
- Нажать + и добавить новый IP адрес;
- Заполнить параметры: Address, Interface.
При заполнение IP адреса важно указать маску подсети. Это частая опечатка может произвести к отсутствию отклика от роутера MikroTik. При этом значение Network заполнится автоматически.

установка ip адреса на выбранный интерфейс
/ip address add address=192.168.0.1/24 interface=bridge-1 network=192.168.0.0
Настройка DCHP сервера в MikroTik
DHCP сервер занимается выдачей IP адресов всем устройствам, которые отправляют соответствующий запрос. Это незаменимая опция при настройке WiFi на роутере MikroTik, но и также облегчает обслуживание локальной сети в этом вопросе.
Будет состоять из 3-ёх пунктов:
Определение диапазона назначаемых IP адресов
- Нажать + и добавить новый IP Pool;
- Заполнить параметры: Name, Addresses.
Диапазон Addresses содержит IP адреса для всех клиентов роутера MikroTik и часто принимает значение или как показано на изображении или 192.168.0.100-192.168.0.254. Это даст возможность указывать статические IP адреса для: сервера, принтера, видеорегистратора, IP камеры и тд.

/ip pool add name=pool-1 ranges=192.168.0.2-192.168.0.254
Задание сетевых настроек для клиента
- Нажать + и добавить новую DHCP сеть;
- Заполнить параметры: Address, Gateway, Netmask, DNS Server.
- Netmask = 24 – это эквивалент привычному значению 255.255.255.0;
- Gateway -шлюз по умолчанию(роутер MikroTik);
- DNS Servers – DNS сервер, который будет выдан клиенту. В данном случае это также роутер MikroTik.

/ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=24
Общие настройки MikroTik DCHP сервера
- Нажать + и добавить новый DHCP сервер;
- Заполнить параметры: Interface, Address Pool.

/ip dhcp-server add address-pool=pool-1 disabled=no interface=ether-1 lease-time=1w name=server-1
Дополнение: если DHCP нужно применить к одному из портов bridge, то в качестве интерфейса нужно указать именно этот bridge.
Add ARP For Leases — добавляет MAC адрес устройства в таблицу ARP, которому был выдан IP адрес. Можно использовать в качестве блокировки статических IP. Без присутствия соответствующего MAC в таблице ARP пакеты с данного устройства не будут обрабатываться.
Настройка MikroTik DNS
В рамках данной инструкции по настройке роутера MikroTik будет рассмотрена конфигурация, когда сам роутер выступает в качестве DNS сервера. Это имеет несколько преимуществ:
- DNS записи кэшируются на локальный роутер MikroTik, доступ к которому в разы быстрее чем к DNS серверу провайдера;
- Если к роутеру подключено 2 провайдера, не будет возникать конфликтов по доступу к DNS серверам 1-ого или 2-ого провайдера. DNS сервер один – роутер MikroTik.
Для такой конфигурации DNS сервера нужно:
- Активировать параметр Allow Remote Requests. Это разрешит внешним запросам обращаться к роутеру MikroTik как к DNS серверу;
- Обратить внимание на Cache Size. В больших сетях(от 100 узлов) его стоит увеличить в 2 или 3 раза. По умолчанию его значение = 2048Кб.

DNS сервера Google
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
Настройка Интернета на роутере MikroTik
Для настройки интернета на роутере MikroTik нужно совершить два действия:
- определить тип подключения на определенном порту(куда вставлен провайдер);
- активировать функцию NAT (masquerade).
Настройка DHCP client в MikroTik
Это самый распространённый тип подключения интернета на роутерах MikroTik. На указанный порт(ether1) будут приходить настройки от интернет провайдера. DHCP клиент не только облегчает настройку интернета, но и служит индикатором, когда услуга отсутствует на линии(не работает интернет), но и также позволяется добавить скрипт, который будет выполняться при изменении значения Status.
- Нажать + и добавить новый DHCP клиент;
- Выбрать интерфейс, на котором подключен интернет в роутер MikroTik;
- Остальные параметры оставить без изменений.

/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=ether1
Опцией Add Default Route можно манипулировать, но выключенное состояние потребует ручного добавления маршрута. Это может стать полезным при использовании балансировки между несколькими линиями интернета.
Настройка статического IP в MikroTik
Настройка статического IP адреса в роутере MikroTik ни чем не отличается от аналогичной настройки любого сетевого устройства и состоит из трех разделов:
- Настройка IP адреса на интерфейсе;
- Создание статического маршрута.
Установка IP адреса на выбранный интерфейс
Популярные маски подсети:
- IP-Address/31 – 255.255.255.254
- IP-Address/30 – 255.255.255.252
- IP-Address/29 – 255.255.255.248
- IP-Address/28 – 255.255.255.240
- IP-Address/27 – 255.255.255.224
- IP-Address/26 – 255.255.255.192
- IP-Address/25 – 255.255.255.128
- IP-Address/24 – 255.255.255.0

/ip address add address=81.21.12.15/27 interface=ether1 network=81.21.12.0
Добавление статического маршрута(шлюз по умолчанию)
- Нажать + и добавить новый статический маршрут в MikoTik;
- Заполнить параметры: Gateway.
- Dst. Address = 0.0.0.0/0 – типичное обозначение для любого трафика. Таким значением в MikroTik необходимо определять интернет трафик;
- Gateway – это шлюз по умолчанию со стороны интернет провайдера, который подключен к роутеру MikroTik.

/ip route
distance=1 gateway=81.21.12.1
Настройка PPPoE в MikroTik
PPPoE сохраняет свою популярность при настройке интернета на роутере MikroTik.
В случае успешного соединения, на PPPoE интерфейсе будет определен статус RUN.


Настройка MikroTik NAT
NAT это механизм, который позволяет преобразовывать IP адреса для транзитных пакетов. Именно NAT является основной настройкой, которая обычное устройство MikroTik преобразовывает в роутер.
- Нажать + и добавить новое правило NAT;
- Установить Chain = srcnat;
- Out Interface = интерфейс с интернетом;
- Action = Masquerade.
Masquerade это основное правило NAT для работы интернета на роутере MikroTik.


правило для работы интернета
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1
Дополнение: srcnat можно использовать ещё в ситуации, когда на исходящем порту несколько ip адресов: провайдер выделил диапазон адресов на одном проводном подключении.
Настройка WiFi на роутере MikroTik
Рассмотрим ситуацию, когда у роутера MikroTik имеется два WiFi модуля 2.4ГГц и 5ГГц. Такая конфигурация позволит одновременно работать в двух разных диапазонах. Для их включения нужно последовательно настроить каждый из них.
Первым делом нужно настроить конфигурацию безопасности. Если локальная сеть не содержит гостевой сети, можно отредактировать конфигурацию по умолчанию.
Настройка пароля для WiFi в MikroTik
- Открыть профиль default для установки пароля WiFi ;
- Установить Mode = dynamic keys;
- Authentication Types = WPA2 PSK;
- Chiphers = aes com;

Настройка WiFi на частоте 2,4ГГц
Роутер MikroTik не будет блокировать настройку конфигурации WiFi если задать одно SSID имя. WiFi сигналы будут распространяться на абсолютно разных антеннах и в разных частотных диапазонах.
- Открыть WiFi интерфейс wlan1;
- Установить режим работы точки доступа Mode = ap bridge;
- Поддерживаемые стандарты WiFi Band = 2Ghz-B/G/N;
- Ширину канала Channel Width =20/40Mhz Ce;
- Частоту WiFi Frequency = auto;
- Имя WiFi сети SSID = MikroTik;
- Пароль для WiFi Security Profile = default.

Настройка WiFi на частоте 5ГГц
- Открыть WiFi интерфейс wlan2;
- Установить режим работы точки доступа Mode = ap bridge;
- Поддерживаемые стандарты WiFi Band = 5Ghz-A/N/AC;
- Ширину канала Channel Width =20/40/80Mhz Ceee;
- Частоту WiFi Frequency = auto;
- Имя WiFi сети SSID = MikroTik;
- Пароль для WiFi Security Profile = default.

Важно принимать факт нахождения WiFi интерфейса в составе bridge, без этой настройки WiFi клиенты не смогут получит IP адрес(dhcp сервер настроен на bridge), взаимодействовать с локальной сетью и будут ограничены доступом в интернет.
Проброс портов(port forwarding) в роутере MikroTik
Проброс портов это популярная функция любого роутера MikroTik, которая обеспечивает удаленный доступ к локальному ресурсу: VPN серверу, видеорегистратору, web сайту и тд. Для настройки проброса порта в роутере MikroTik следует добавить правило:
- Нажать + и добавить новое правило NAT;
- Выбрать Chain=dstnat;
- Dst. Address = внешний адрес роутера MikroTik;
- Protocol = tcp;
- Dst. Port = 80,443;
- In. Interface = интерфейс с интернет провайдером;
- Action = dst-nat;
- To Addresses = IP адрес во внутренней сети.
- Цепочка dstnat – весь входящий трафик;
- To Ports – можно не заполнять, если их значения совпадают с Dst. Port.
В данном примере рассмотрен проброс портов http и https для web сервера, который находится в локальной сети.


/ip firewall nat add action=dst-nat chain=dstnat dst-address=10.10.10.52 dst-port=80,443 in-interface=ether1 protocol=tcp to-addresses=192.168.0.2
Настройка Mikrotik FireWall
Firewall в роутере MikroTik является одним из самых важных компонентов на текущий момент. Неправильно настроенный Firewall может привести к ограниченному доступу к роутеру MikroTik, а его отсутствие поставит под угрозу всю сетевую инфраструктуру.
Специалисты настоятельно рекомендуют не пренебрегать -ом роутера MikroTik, при настройке ИТ инфраструктуры
Разрешение для уже установленных соединений
- Нажать + и добавить новое правило Firewall;
- Выбрать Chain=forward;
- Connection state = established,related;
- Action=accept.

/ip firewall filter add action=accept chain=forward connection-state=established,related
- Нажать + и добавить новое правило Firewall;
- Выбрать Chain=input;
- Connection state = established,related;
- Action=accept.

/ip firewall filter add action=accept chain=in connection-state=established,related
Доверительные правила для локальной сети
- Нажать + и добавить новое правило Firewall;
- Выбрать Chain=input;
- Установить значение LAN интерфейса In. Interface = bridge1;
- Action=accept.

- Нажать + и добавить новое правило Firewall;
- Выбрать Chain=forward;
- Установить значение LAN интерфейса In. Interface = bridge1;
- Action=accept.

/ip firewall filter
add action=accept chain=input in-interface=bridge1
add action=accept chain=forward in-interface=bridge1
Разрешить ICMP запросы с WAN интерфейсов
- Нажать + и добавить новое правило Firewall;
- Выбрать Chain=input;
- Protocol = icmp;
- In. Interface = Интернет интерфейс;
- Action=accept.

/ip firewall filter add action=accept chain=in protocol=icmp in-interface=pppoe-out1
Удалить все входящие пакеты с WAN интерфейсов
- Нажать + и добавить новое правило Firewall;
- Выбрать Chain = input;
- In. Interface = Интернет интерфейс;
- Action = drop.


/ip firewall filter add action=drop chain=input in-interface=pppoe-out1
Удалить все пакеты в состоянии invalid
- Нажать + и добавить новое правило Firewall;
- Выбрать Chain = forward;
- Connection state = invalid;
- Action = drop.

/ip firewall filter add action=drop chain=forward connection-state=invalid
- Нажать + и добавить новое правило Firewall;
- Выбрать Chain = input;
- Connection state = invalid;
- Action = drop.

/ip firewall filter add action=drop chain=input connection-state=invalid
С расширенной версией по настройке Firewall в роутере MikroTik можно ознакомиться в статье Настройка Firewall в MikroTik, защита от DDOS атаки.
Сброс MikroTik до заводских настроек, hard reset
Если по каким-то причинам необходимо сбросить роутер MikroTik до заводских настроек, это можно выполнить двумя методами:

Reset через кнопку RESET
Данные правила рекомендуется применять ко всем моделям маршрутизаторов(роутеров) MikroTik, как базовая защита от внешних атак, а также особенностей и изъянов прошивки:

Базовая настройка защиты роутера MikroTik
В качестве примера будет взят маршрутизатор(роутер) MikroTik hAP ac2 как самое популярное решения для дома и офиса 2019-2020гг.

Обновление прошивки до актуальной версии
Одной из важной задачей при вводе в эксплуатацию нового устройства MikroTik: маршрутизатора(роутера), коммутатора(свчитча) или точки доступа WiFi это обновление прошивки. Чаще всего это имело рекомендованный характер, но недавний инцидент с «back door» в категории long-term указал но то, что актуальность прошивки на устройствах MikroTik имеет критический характер.
Действия в кнопке Download&Install произведут закачку выбранной редакции прошивки и автоматическую перезагрузку устройства. Установка будет произведена в момент загрузки. Не выключайте устройство до полной перезагрузки и обеспечьте стабильное питание электросети при обновлении прошивки.
- long term(bug fix only) — самая стабильная версия. Рекомендовано для производственных сред!
- stable(current) — long term плюс поддержка новых функций. Новые технологии это всегда хорошо.
Другие редакции не рекомендуется устанавливать в рабочие устройства, т.к. это может привести к нежелательным последствиям.
Важным дополнением в обновлении прошивки является обновление Current Firmware — это аппаратная прошивка, аналог BIOS в компьютере.
Создание новой учётной записи администратора
Самые распространенные случаи взлома маршрутизаторов(роутеров) MikroTik связаны с игнорированием контроля учётных записей. Частым случаем можно встретить отсутствие пароля как такового, но и происходят более сложные взломы на уровне прошивки.

Добавление Address List

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface list member
add interface=Bridge-LAN list=LAN
add interface=ether1 list=WAN
Пример базовых правил MikroTik Firewall(Default Rules)
Данные список правил содержится в заводской конфигурации и способен защитить маршрутизатор(роутер) MikroTik от большинства попыток взлома, а также ускоряет работу устройства.

/ip firewall filter
add action=accept chain=input comment=»defconf: accept established,related,untracked» connection-state=established,related,untracked
add action=drop chain=input comment=»defconf: drop invalid» connection-state=invalid
add action=accept chain=input comment=»defconf: accept ICMP» protocol=icmp
add action=drop chain=input comment=»defconf: drop all not coming from LAN» in-interface-list=!LAN
add action=accept chain=forward comment=»defconf: accept in ipsec policy» ipsec-policy=in,ipsec
add action=accept chain=forward comment=»defconf: accept out ipsec policy» ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=»defconf: fasttrack» connection-state=established,related
add action=accept chain=forward comment=»defconf: accept established,related, untracked» connection-state=established,related,untracked
add action=drop chain=forward comment=»defconf: drop invalid» connection-state=invalid
add action=drop chain=forward comment=»defconf: drop all from WAN not DSTNATed» connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
Деактивация неиспользуемых служб

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
Ограничение по автообнаружению(Discovery) Neighbors
Если не обратить внимание на эту опцию, то маршрутизатор(роутер) MikroTik будет отображаться как Neighbor на порту провайдера. Используя утилиту Winbox злоумышленник может выявить все устройства MikroTik и подвергнуть их взлому или атаке.

/ip neighbor discovery-settings
set discover-interface-list=LAN
Отключение функций MAC Server
Настройка содержит три опции:
MAC Telnet Server
Рекомендуется активировать только для списка LAN.

MAC WinBox Server

MAC Ping Server

/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool mac-server ping
set enabled=no
Краткое описание: Руководство по настройке строго Firewall в MikroTik, корпоративного уровня. Базовая защита от DDOS атаки.
Нужна настройка MikroTik Firewall?
Настройка сервисов на маршрутизаторах MikroTik: подключение интернета, DHCP, brige, VLAN, WiFi, Capsman, VPN, IpSec, PPTP, L2TP, Mangle, NAT, проброс портов, маршрутизация(routing), удаленное подключение и объединение офисов.
Для корпоративного сегмента настройки Firewall-а является обязательной мерой, для обеспечения соответствующего уровня сетевой безопасности. Однако и в частных системах встречаются случаи, когда не согласованные попытки внешнего подключение могут привести в состояние отказа сетевого оборудования.
ВНИМАНИЕ! Неверное пользование инструкцией может произвести к потере связи с роутером MikroTik!
Перед настройкой рекомендуется сделать резервную копию.
Будет описана ситуация, когда любой пакет не получивший предварительного разрешения будет отвергнут. Эта конфигурация также положительно отражается на состоянии загрузки CPU.
Правила работают сверху вниз, приоритетным считается правило c меньшим номером.
Разрешение установленных и связанных подключений для входящего и проходящего трафика




Удалить все остальные пакеты


Правила настройки Firewall в роутере MikroTik
Практический пример. Mikrotik hap Lite имеет активные службы: NAT(scrnat и dstnat), DHCP, WiFi, Firewall и VPN туннель типа Ipsec с аналогичной моделью. Правила Firewall-а были приняты в работу после инцидентов со 100% загрузкой CPU(роутер тормозит и зависает). Счетчики пакетов после 11 дней работы выглядят следующим образом:

Как защитить MikroTik от DDOS атаки
В первой части статьи, описанные правила Firewall имеют определенно строгий вид и если их описать словами то:
Разрешены(Accept)
- все установленные ранее подключения(было разрешено ранее, значит и сейчас будет разрешено);
- запросы с локальной сети, полное доверие;
- запросы на команду PING с внешней сети, имеет диагностический характер.
Запрещены(Drop)
- пакеты в состоянии invalid;
- все другие пакеты, которые не подошли ни к одному из правил выше.
Как правило DDOS атаки совершаются через ICMP запросы и этой единственный возможный запрос, на который ответит роутер MikroTik по цепочке Input. Все остальные пакеты он будет напросто отклонять.
В качестве метода по борьбе с DDoS атакой будет рассмотрен сценарий, в котором будет применяться фильтр на количество новых подключений в цепочках Input и Forward.

/ip firewall filter
add action=jump chain=forward connection-state=new in-interface=pppoe-out jump-target=Pre-DDoS
add action=jump chain=input connection-state=new in-interface=pppoe-out jump-target=Pre-DDoS
add action=drop chain=forward connection-state=new src-address-list=BAN-DDoS
add action=drop chain=input connection-state=new src-address-list=BAN-DDoS
add action=return chain=Pre-DDoS dst-limit=32,32,src-address/10s
add action=add-src-to-address-list address-list=BAN-DDoS address-list-timeout=14d chain=Pre-DDoS
Нет подключения к MikroTik, роутер не отвечает
Данную ситуацию может исправить только сброс через кнопку Reset. Подробная инструкция описана в статье Сброс настроек в MikroTik, заводские настройки через Reset.
Время на прочтение
Распространенность оборудования Mikrotik растет с каждым днем, все больше устройств, а значит и RoS, появляется не только в корпоративном секторе, но и у обычных, домашних пользователей.
К сожалению, не смотря на вполне нормальные настройки по умолчанию, которые можно сделать через Quick Set, в интернете можно встретить множество советов очистить конфигурацию, и сделать как-то по «особому», с «нуля». В этой статье я хочу поделится своим опытом и дать рекомендации, как изменить конфигурацию из Quick Set под свои нужды, при этом сохранив достаточный уровень защищенности.
Что такое Quick Set?
Quick Set — это мастер автоматической конфигурации, который помогает быстро, не погружаясь в глубины тонкой настройки RoS, настроить роутер и начать им пользоваться. В зависимости от устройства, вам могут быть доступны несколько шаблонов:
- CAP — Режим управляемой точки доступа, требует наличия настроенного CAPsMAN
- CPE — Режим WiFi клиента, когда интернет вам приходит по WiFi
- PTP Bridge APCPE — Режим организации беспроводного моста, одна точка настраивается в AP, остальные в CPE
- WISP AP — Почти то-же, что и HomeAP, но настроек больше, и названия более «профессиональные»
- Basic AP — Почти пустая конфигурация, подходит для развертывания автономно управляемых точек доступа (без CAPsMAN)
Дальше мы будем в основном настраивать HomeAPWISP AP, но советы пригодятся и в других конфигурациях.
Безопасность
Отключаю не нужные в домашней сети (и не во всех не домашних сетях) сервисы, а оставшиеся ограничиваю областью действия, указывая адреса, с которых можно к этим сервисам подключится.

Следующим шагом, будет ограничение на обнаружение роутера с помощью поиска соседей. Для этого, у вас должен быть список интерфейсов, где данный протокол может работать, настроим его:
/interface list add exclude=dynamic name=discover

Добавим в список discovery интерфейсы, на которых мы хотим, чтобы протокол Neighbors Discovey работал.
Теперь настроим работу протокола, указав список discovery в его настройках:

В простой, домашней конфигурации, в списке discovery могут быть интерфейсы, на которых может работать протокол доступа по MAC адресу, для ситуаций, когда IP не доступен, поэтому настроим и эту функцию:

Теперь, роутер станет «невидимым» на внешних интерфейсах, что скроет информацию о нем (не всю конечно), от потенциальных сканеров, и даже, лишит плохих парней легкой возможности получить управление над роутером.
Защита от DDoS
Теперь, добавим немного простых правил в пакетный фильтр:
/ip firewall filter
add action=jump chain=forward connection-state=new in-interface-list=ISP jump-target=anti-DDoS
add action=jump chain=input connection-state=new in-interface-list=ISP jump-target=anti-DDoS
add action=drop chain=forward connection-state=new src-address-list=BAN-DDoS
add action=return chain=anti-DDoS dst-limit=15,15,src-address/10s
add action=add-src-to-address-list address-list=BAN-DDoS address-list-timeout=1d chain=anti-DDoS
add action=jump chain=input connection-state=new dst-port=22,8291 in-interface-list=ISP jump-target=anti-BruteForce-3 protocol=tcp
add action=drop chain=forward connection-state=new src-address-list=BAN-BruteForce-3
add action=return chain=anti-BruteForce-3 dst-limit=4/1m,1,src-address/1m40s
add action=add-src-to-address-list address-list=BAN-BruteForce-3 address-list-timeout=1d chain=anti-BruteForce-3
И поместим их после правила defcon для протокола icmp.
Результатом будет бан на сутки для тех, кто пытается открыть более 15 новых соединений в секунду. Много или мало 15 соединений, вопрос спорный, тут уже сами подбирайте число, я выбрал 50 для корпоративного применения, и таких банит у меня 1-2 в сутки. Вторая группа правил гораздо жестче, блокирует попытки соединений на порт ssh(22) и winbox(8291), 3-и попытки за минуту, и отдыхай сутки ;). Если вам необходимо выставить DNS сервер в интернет, то подобным правилом можно отсекать попытки DNS Amplification Attacks, но решение не идеальное, и ложно-положительных срабатываний бывает много.
RFC 1918
RFC 1918 описывает выделение адресных пространств для глобально не маршрутизируемых сетей. Поэтому, имеет смысл блокировать трафик отк таким сетям, на интерфейсе, который смотрит к провайдеру, за исключением ситуаций, когда провайдер выдает вам «серый» адрес.
/ip firewall address-list
add address=10.0.0.0/8 list=»RFC 1918″
add address=172.16.0.0/12 list=»RFC 1918″
add address=192.168.0.0/16 list=»RFC 1918″
/ip firewall filter
add action=drop chain=input comment=»Drop RFC 1918″ in-interface-list=WAN src-address-list=»RFC 1918″
add action=drop chain=forward comment=»Drop RFC 1918″ dst-address-list=»RFC 1918″ out-interface-list=WAN
add action=drop chain=output comment=»Drop RFC 1918″ dst-address-list=»RFC 1918″ out-interface-list=WAN
Поместите эти правила ближе к началу и не забудьте, добавить в список WAN интерфейс, смотрящий в сторону провайдера.
А вот набор маршутов в «черную дыру»
/ip route
add comment=»RFC 1918″ distance=249 dst-address=10.0.0.0/8 type=blackhole
add comment=»RFC 1918″ distance=249 dst-address=172.16.0.0/12 type=blackhole
add comment=»RFC 1918″ distance=249 dst-address=192.168.0.0/16 type=blackhole
Этот набор маршрутов направит весь трафик до сетей RFC 1918 в «черную дыру», однако, если будут маршруты с меньшей метрикой, то такой трафик пойдет через эти маршруты. Полезно для гарантии того, что приватный трафик не просочится во внешнюю сеть.
За совет благодарим achekalin
UPnP
Довольно спорная технология, которая позволяет приложениям попросить роутер пробросить порты через NAT, однако, протокол работает без всякой авторизации и контроля, этого просто нет в стандарте, и часто является точкой снижающей безопасность. Настраивайте на свое усмотрение:

SIP Conntrack
Кроме всего прочего, стоит отключить модуль conntrack SIP, который может вызывать неадекватную работу VoIP, большинство современных SIP клиентов и серверов отлично обходятся без его помощи, а SIP TLS делает его окончательно бесполезным.

IPv6 туннели
Если вы не используете IPv6 или не хотите что-бы рабочие машины с Windows поднимали IPv6 туннели без спроса, тогда заблокируйте следующий трафик:
/ip firewall filter
add action=drop chain=forward comment=»Teredo TCP» dst-port=3544 protocol=tcp
add action=drop chain=forward comment=»Teredo UDP» dst-port=3544 protocol=udp
add action=drop chain=forward comment=6to4 protocol=ipv6
За совет опять благодарим achekalin
Динамические и вложенные списки интерфейсов
Эта функция появилась совсем недавно (с версии 6.41), и она очень удобная. Однако, есть особенность: глубина вложенности. Невозможно вложить вложенный список во вложенный список. Если вы так сделаете (фича такая) вам не сообщат о проблеме, просто такой список работать по факту не будет.
В городской среде, когда эфир крайне зашумлен, имеет смысл отказаться от каналов в 40MGhz, это увеличивает удельную мощность сигнала на канале, так как 40MGHz канал по сути, это два канала по 20MGHz.
Bridge & ARP
Если у вас роутер раздает интернет и дает клиентам настройки по DHCP, имеет смысл установить настройку arp=reply-only, а в DHCP Server включить add-arp=yes


Такая настройка помешает выставить IP адрес вручную, так как роутер согласится работать только с той парой MAC-IP, которую выдавал сам.
Прочее
Для корпоративного применения рекомендую заводить списки интерфейсов и адресов, которые олицетворяют зоны доступа. Тогда, создав такие списки, вы сможете настроить правила прохождения трафика из одной зоны в другую, а так-же легко изменять состав зон. Вообще, чаще используйте списки, а не сами интерфейсы, это облегчит перенос конфигурации.

Логотип из интернета;
С чего бы начать?.. RAW по сути своей сильно урезан по функционалу, из-за того что он идёт до Conntrack и теряет много полезных ништяков, но это не критично.
Как уже было сказано выше, Raw — обрабатывает пакеты до их попадания в Connection Tracking (Далее — Conntrack) и по сравнению с Filter Rules, Raw обработка или удаление быстрее примерно также, как и FastTrack, а это разгрузка CPU ~ в 6 раз.
Небольшое предисловие
Я не претендую на 100% достоверность, по той простой причине, что не являюсь сертифицированным специалистом Mikrotik. И не имею никаких сертификатов, дипломов. Я лишь монтажник сетей, и пишу сюда свой опыт с этими устройствами.
В чем проблема стандартных (QuickSet) правил Filter?
При стандартных параметрах маршрутизатора, мы видим что пакеты приходящие через интерфейс WAN проходят до цепочки Input. То есть маршрутизатор их обрабатывает полноценно через Routing Decision, заносит их в Conntrack с соответствующими данными, и в конце этот пакет либо встречает свою погибель в лице стандартного правила Drop, либо пройдет как новое подключение с локальным процессом, если порт роутера открыт. Либо в уйдет в Forward цепочку, если настроен проброс портов через сетевую трансляцию адресов, но это уже скорее исключение.
Посмотрите на схему цепочек RouterOS:

Она довольно упрощена, но.. Видите? Пакет проходит до цепочки Input, и также проходит через Conntrack, Mangle, NAT и Routing Decision и только потом в Filter. Это абсолютно бесполезная трата ресурсов процессора и оперативной памяти маршрутизатора. Таким образом, при довольно больших объемах бесполезного трафика, CPU уйдет в 100% или Conntrack переполнится новыми подключениями рано или поздно. Всё потому что у нашего подопытного — аппаратное обеспечение оставляет желать лучшего. (Хотя это довольно спорный момент, некоторые гигабитные маршрутизаторы уходили гулять в 100% при 200мбит трафика, что является абсурдом).
Задача
Разгрузить маршрутизатор для работы хотя бы с локальной сетью, если из внешней сети гадят большим количеством пустого трафика. Закрыть полностью все порты управления RouterOS для WAN одним правилом и попытаться если не полностью предотвратить, то хотя бы ослабить переполнение Conntrack.
Условия
Маршрутизатор полностью настроен через QuickSet в качестве домашней точки доступа, что может вам показаться кощунством (Простите мне просто было лень пилить всё вручную по статьям из интернета). Включен IPv4 FastTrack и прочие службы управления RouterOS. Всё эти службы видны и в локальной сети, и в интернете по IP. Сценарий пользования: Домашний/Офисный, с динамическим/статическим адресом; По большому счету, это роли не играет, потребуется чуть-чуть поменять правила для каждого случая, но их объединяет одно — открытый доступ извне. Я конечно же предоставлю оба варианта в графическом, и в текстовом для терминала формате.
Что потребуется?
Нам потребуется Winbox или терминал SSH — выбирайте по вкусу. Знания как работает NAT, прямые руки и подключение к RouterOS, очень желательно из локальной сети, поскольку соблюсти истину «Удаленной настройки Firewall — это к дальнему выезду» ни мне, ни вам не охота, верно?
Как реализовать и куда тыкать?
Потребуется создать 3 правила NAT для TCP, UDP и ICMP подключений локальной сети, чтобы исходящий трафик машин из LAN менял свои SRC порты на наш диапазон, который мы укажем. Рекомендуется выбирать диапазон и количество портов исходя из количества клиентов, и того, сколько подключений делается в самое пиковое время, (не обязательно, но желательно). Можно взять за пример ~2 тысячи подключений с одного устройства к примеру. Предположим что в сети около 4 устройств, итого 8 тысячи портов требуется зарезервировать под нашу затею. Также необходимо учесть, что этот диапазон должен быть нестандартным, чтобы боты-сканеры не смогли определить тип операционной системы по IP, и не попали в открытые порты маршрутизатора, и чтобы NAT правила не накладывались на опубликованные порты типа 1-8000. Правильнее было бы указать допустим — 42000-50000, поскольку он изначально зарезервирован.
Недостаток такого метода: Если клиентов к роутеру подключено слишком много, то в таком случае, реализовать эту систему правил необходимо без NAT. Но должны быть заблокированы все порты служб маршрутизатора из WAN, что не является нашей задачей.
Разумеется, от меня существует две версии. При динамическом адресе, и при статическом.Сначала рассмотрим правила NAT при динамическом адресе.
Диапазон 12000-18000 указан как пример собственной конфигурации;

Masquerade NAT Rule
Правила в текстовом режиме для терминала:
/ip firewall nat add action=masquerade chain=srcnat comment=»SRC RAW NAT TCP» out-interface-list=WAN protocol=tcp to-ports=42000-50000
add action=masquerade chain=srcnat comment=»SRC RAW NAT UDP» out-interface-list=WAN protocol=udp to-ports=42000-50000
add action=masquerade chain=srcnat comment=»SRC RAW NAT ICMP» out-interface-list=WAN protocol=icmp
Как вы можете заметить, используется Masquerade. Это сделано для совместимости с динамической выдачей адресов от провайдера (DHCP) и как более совместимый/универсальный вариант. Однако, он же является менее безопасным, поскольку в сеть провайдера могут улететь ваши локальные IP адреса при внезапном разрыве, но беспокоиться не о чем. Это явление крайне редкое.
Если у вас статический IP адрес, есть другой вариант. Он чуть безопаснее, и надежнее, поскольку при внезапном разрыве локальные адреса не улетят в публичную сеть и немного разгрузится маршрутизатор.

/ip firewall nat add action=src-nat chain=srcnat comment=»SRC NAT TCP RAW» out-interface-list=WAN protocol=tcp to-addresses=INSERTYOURIP to-ports= 42000-50000
add action=src-nat chain=srcnat comment=»SRC NAT UDP RAW» out-interface-list=WAN protocol=udp to-addresses=INSERTYOURIP to-ports= 42000-50000
add action=src-nat chain=srcnat comment=»SRC NAT ICMP RAW» out-interface-list=WAN protocol=icmp to-addresses=INSERTYOURIP
Firewall RAW, великий и ужасный
Здесь нам необходимо почесать репу, сделать 5 базовых правил RAW. Оперируем мы всегда цепочкой Prerouting, и никогда Output. Это сделано для того, чтобы работали исходящие подключения от системы роутера к службам обновлений, внешним DNS.
Первое фундаментальное правило — блокировать фрагментированные пакеты со всех интерфейсов Ethernet. Такие пакеты, если приходят из интернета — ничего хорошего обычно не сулят и очень сильно нагружают как оконечные устройства нашей сети, так и сам маршрутизатор. (Ведь фрагментированный пакет надо собрать, чтобы его принять). Обзываем правило хоть как. Я из глупости назвал оный Security Rule.Пример правила в терминале:

IP Fragment Delete Rule
2 по 4 правило — Принимать пакеты на указанные в NAT порты, но в зависимости от скорости сети указывать ограничение количества пакетов в секунду. (Каждый 1 мбит = 2 пакета. Если сеть высоконагруженная, или есть проблемы с доступом — 1Мбит = 4 пакета). Во всех правилах далее — указываем интерфейс WAN.
Текстовый формат правила:
/ip firewall raw add action=accept chain=prerouting comment=»Src NAT TCP» dst-port=12000-18000 in-interface-list=WAN limit=200,200:packet protocol=tcp
add action=accept chain=prerouting comment=»Src NAT UDP» dst-port=12000-18000 in-interface-list=WAN limit=200,200:packet protocol=udp
add action=accept chain=prerouting comment=»Src NAT: RAW ICMP» limit= 10,10:packet protocol=icmp
Опытным путем было установлено, что ограничения в 200 входящих пакетов в секунду для TCP/UDP протоколов по линии 100Мбит — достаточно при включенном FastTrack, поскольку при помощи этой технологии организуется беспрепятственное прохождение соединения. Каждый пакет с установленным соединением обрабатывается нулевым правилом FastTrack, и редко, единично для каждого соединения может зайти в RAW. Если такое происходит — Routing Decision и Conntrack сам решает куда отнести этот пакет, в Forward (Это Related и Established подключения) или в Input (Удаление пакета, или доступ к RouterOS) цепочки. Напоминаю, что порты на скриншота 12000-18000 указаны из примера собственной конфигурации.
ICMP принимаем как есть, ограничение ставим на 10 пакетов в секунду по стандарту.

Accept connections in our NAT ports
Пятое правило — блокировать всё, что явно не разрешено с интерфейса WAN.

Достоинства данной системы правил:
- Высокая производительность Drop-а пустого трафика. (Да, она может спасти от DDoS с IP Spoofing-ом, если службы ваших LAN-машин экранированы через NAT и ограничены в RAW, поскольку учтены таймеры соединений Conntrack внешних служб для защиты последнего).
- Гибкость, вы спокойно можете опубликовать ваши службы.
- Вы можете сделать подобие Conntrack через Address List и Mangle, если потребуется обслуживать клиентов вашей службы в первую очередь, и устроить мониторинг IP подключенных клиентов к вашим службам для диагностики.
- Она не влияет на LAN подключения, поскольку все правила проработаны только для WAN.
- Полностью закрывает все порты маршрутизатора извне, при верном выборе диапазона SRC портов. Это происходит поскольку пакеты не доходят до Input цепочки без соответствующего разрешающего правила, а даже если и доходят, то отлавливаются стандартным правилом Drop all from WAN. Либо принимаются, исходя из вашей конфигурации.Таким образом мы исключаем атаки на DNS порт, порт SSH, порты FTP, Bandwitch Server, а также атаки на Winbox-порты одним правилом.Также комплекс правил не исключает и не мешает технике ICMP Port Knocking для доступа извне.
- Есть возможность прикрутить систему, которая обнаруживает IP сканеры, хецкеров и удалять такие пакеты не в Input цепочке, а в Prerounting, выполняя тем самым разгрузку CPU.
- Ограничение количества пользовательских портов.
- Возможно не совместим с VPN. (Поправьте, если это не так).
- Требуется более детальная настройка портов, которые смотрят наружу. Требуется добавлять в Raw дополнительные правила с ограничениями.

В статье рассмотрены различные подходы к организации практической безопасности сетей, построенных на оборудовании MikroTik, в том числе при помощи дополнительного открытого программного обеспечения, расширяющего имеющиеся штатные возможности, что в комплексе позволяет качественно администрировать сетевые средства, а также своевременно реагировать на различные угрозы информационной безопасности.

