Mikrotik уроки

Подключение к маршрутизатору

Существует два типа маршрутизаторов:

Дополнительную информацию о текущей конфигурации по умолчанию можно найти в кратком руководстве, прилагаемом к вашему устройству. Документ с кратким руководством будет содержать информацию о том, какие порты следует использовать для первого подключения и как подключать ваши устройства.

В этом документе описывается, как настроить устройство с нуля, поэтому мы попросим вас удалить все настройки по умолчанию.

Маршрутизатор без конфигурации по умолчанию

Если на маршрутизаторе нет конфигурации по умолчанию, у вас есть несколько вариантов, но здесь мы будем использовать один метод, который соответствует нашим потребностям.

Подключите порт ether1 маршрутизатора к кабелю WAN и подключите ваш компьютер к ether2. Теперь откройте WinBox и найдите свой маршрутизатор в обнаружении соседей. Подробный пример смотрите в статье Winbox.

Если вы видите маршрутизатор в списке, щелкните MAC-адрес и нажмите Подключиться.

Самый простой способ убедиться, что у вас абсолютно чистый роутер, это запустить

/system reset-configuration no-defaults=yes skip-backup=yes

Или из WinBox (Рис. 1-1):

Mikrotik уроки

Поскольку MAC-соединение не очень стабильное, первое, что нам нужно сделать, это настроить маршрутизатор, чтобы было доступно IP-соединение:

Установить мост и IP-адрес довольно просто:

/interface bridge add name=local
/interface порт моста add interface=ether2 bridge=local
/ip-адрес add address=192.168.88.1/24 interface=local

Если вы предпочитаете WinBox/Webfig в качестве инструментов настройки:

Mikrotik уроки

Mikrotik уроки

Следующим шагом является настройка DHCP-сервера. Запустим команду setup для простой и быстрой настройки:

Обратите внимание, что большинство параметров конфигурации определяются автоматически, и вам просто нужно нажать клавишу ввода.

Такой же инструмент настройки также доступен в WinBox/WeBfig:

Mikrotik уроки

Теперь подключенный ПК должен получить динамический IP-адрес. Закройте Winbox и снова подключитесь к роутеру, используя IP-адрес (192.168.88.1)

Настройка подключения к Интернету

Следующим шагом будет получение интернет-доступа к роутеру. Может быть несколько типов подключения к Интернету, но наиболее распространенными являются:

Динамический общедоступный IP-адрес

Конфигурация динамического адреса самая простая. Вам просто нужно настроить DHCP-клиент на общедоступном интерфейсе. Клиент D HCP получит информацию от интернет-провайдера (ISP) и настроит для вас IP-адрес, DNS, серверы NTP и маршрут по умолчанию.

/ip dhcp-client add disabled=no interface=ether1

После добавления клиента вы должны увидеть назначенный адрес и статус должны быть привязаны

Статический общедоступный IP-адрес

В случае настройки статического адреса ваш интернет-провайдер предоставляет вам параметры, например:

Это три основных параметра, которые необходимы для работы интернет-соединения

Чтобы установить это в RouterOS, мы вручную добавим IP-адрес, добавим маршрут по умолчанию с предоставленным шлюзом и настроим DNS-сервер

/ip-адрес add address=1.2.3.100/24 ​​interface=ether1
/ip маршрут добавить шлюз=1.2.3.1
/ip dns set server=8.8.8.8

Соединение PPPoE

Mikrotik уроки

Далее в настройках интерфейс WAN теперь является интерфейсом pppoe-out, а не ether1.

Проверка подключения

После успешной настройки вы сможете получить доступ к Интернету через маршрутизатор.

Проверка IP-подключения путем проверки связи с известным IP-адресом (например, DNS-сервер Google)

Проверка DNS-запроса

Если все настроено правильно, пинг в обоих случаях не должен давать сбоев.

В случае неисправности обратитесь к разделу устранения неполадок

Защита маршрутизатора

Теперь любой человек со всего мира может получить доступ к нашему маршрутизатору, поэтому сейчас самое время защитить его от злоумышленников и базовых атак

Маршрутизаторы MikroTik требуют настройки пароля, мы предлагаем использовать генератор паролей для создания безопасных и неповторяющихся паролей. Под безопасным паролем мы имеем в виду:

Другой вариант установки пароля,

Мы настоятельно рекомендуем использовать второй метод или интерфейс Winbox для установки нового пароля для вашего маршрутизатора, просто чтобы защитить его от несанкционированного доступа.

Убедитесь, что вы помните пароль! Если вы его забудете, восстановления не будет. Вам нужно переустановить роутер!

По умолчанию сервер Mac работает на всех интерфейсах, поэтому мы отключим все записи по умолчанию и добавим локальный интерфейс, чтобы запретить подключение MAC из порта WAN. Функция M AC Telnet Server позволяет накладывать ограничения на «список» интерфейса.

Сначала создайте список интерфейсов:

Затем добавьте ранее созданный мост с именем «local» в список интерфейсов:

Применить вновь созданный «список» (интерфейсов) к MAC-серверу:

Сделайте то же самое для доступа Winbox MAC

Протокол обнаружения MikroTik Neighbor используется для отображения и распознавания других маршрутизаторов MikroTik в сети. Отключить обнаружение соседей на публичных интерфейсах:

/ip настройка-настройки обнаружения соседа установить discovery-interface-list=listBridge

x.x.x.x/yy — ваш IP-адрес или подсеть, которой разрешен доступ к вашему маршрутизатору.

IP-подключения на общедоступном интерфейсе должны быть ограничены брандмауэром. Мы принимаем только ICMP (ping/traceroute), IP Winbox и доступ по ssh.

В случае, если публичный интерфейс является pppoe, то внутренний интерфейс должен быть установлен на «pppoe-out».

Первые два правила принимают пакеты от уже установленных соединений, поэтому мы предполагаем, что это нормально, чтобы не перегружать ЦП. Третье правило отбрасывает любой пакет, который отслеживание соединения считает недопустимым. После этого мы настраиваем типовые правила принятия для конкретных протоколов.

Если вы используете Winbox/Webfig для настройки, вот пример того, как добавить установленное/связанное правило:

Mikrotik уроки

Mikrotik уроки

Чтобы добавить другие правила, нажмите + для каждого нового правила и заполните те же параметры, что и в примере с консолью.

Административные службы

Хотя брандмауэр защищает маршрутизатор от общедоступного интерфейса, вы все же можете отключить службы RouterOS.

Держите только надежные,

/ip service отключить telnet,ftp,www,api

Измените служебные порты по умолчанию, это немедленно остановит большинство случайных попыток входа в систему SSH методом перебора:

/ip service set ssh port=2200

/ip service set winbox address=192.168.88.0/24

Прочие услуги

Сервер пропускной способности используется для проверки пропускной способности между двумя маршрутизаторами MikroTik. Отключите его в производственной среде.

/инструментальная полоса пропускания-сервера включена=нет

На маршрутизаторе может быть включен кеш DNS, что сокращает время обработки DNS-запросов от клиентов к удаленным серверам. Если на вашем роутере не требуется кеш DNS или для этих целей используется другой роутер, отключите его.

/ip dns set allow-remote-requests=no

Некоторые RouterBOARD имеют ЖК-модуль для информационных целей, установите пин-код или отключите его.

Хорошей практикой является отключение всех неиспользуемых интерфейсов на вашем маршрутизаторе, чтобы уменьшить несанкционированный доступ к вашему маршрутизатору.

/печать интерфейса
/interface set x disabled=yes

Где «X» — количество неиспользуемых интерфейсов.

RouterOS использует более надежную криптографию для SSH, большинство новых программ используют ее, чтобы включить надежную криптографию SSH:

/ip ssh set strong-crypto=yes

/ip cloud set ddns-enabled=no update-time=no

На данный момент ПК еще не может получить доступ к Интернету, поскольку локально используемые адреса не маршрутизируются через Интернет. Удаленные хосты просто не умеют правильно отвечать на ваш локальный адрес.

Решение этой проблемы состоит в том, чтобы изменить исходный адрес для исходящих пакетов на общедоступный IP-адрес маршрутизатора. Это можно сделать с помощью правила NAT:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade

Если общедоступный интерфейс является pppoe, то внешний интерфейс должен быть установлен на «pppoe-out».

Другим преимуществом такой настройки является то, что клиенты NAT за маршрутизатором не подключены напрямую к Интернету, поэтому дополнительная защита от атак извне в большинстве случаев не требуется.

Переадресация портов

Некоторым клиентским устройствам может потребоваться прямой доступ в Интернет через определенные порты. Например, клиент с IP-адресом 192.168.88.254 должен быть доступен по протоколу удаленного рабочего стола (RDP).

После быстрого поиска в Google мы обнаруживаем, что RDP работает на TCP-порту 3389. Теперь мы можем добавить целевое правило NAT для перенаправления RDP на клиентский ПК.

/ip firewall nat
add chain=dstnat protocol=tcp port=3389 in-interface=ether1 action=dst-nat to-address=192.168.88.254

Если вы настроили строгие правила брандмауэра, то протокол RDP должен быть разрешен в цепочке пересылки фильтра брандмауэра.

Настройка беспроводной сети

Для простоты использования будет выполнена настройка беспроводного моста таким образом, чтобы ваши проводные хосты находились в том же широковещательном домене Ethernet, что и беспроводные клиенты.

Важно убедиться, что наша беспроводная сеть защищена, поэтому первым шагом является профиль безопасности.

Профили безопасности настраиваются из меню /interface wireless security-profiles в терминале.

в Winbox/Webfig нажмите «Беспроводная связь», чтобы открыть окна беспроводной сети, и выберите вкладку «Профиль безопасности».

Mikrotik уроки

Если есть устаревшие устройства, которые не поддерживают WPA2 (например, Windows XP), вы также можете разрешить протокол WPA.

Теперь, когда профиль безопасности готов, мы можем включить беспроводной интерфейс и установить нужные параметры

Читайте также:  Делаем свой собственный хостинг — часть 5 выбираем билл

/интерфейс беспроводной
включить wlan1;
установить диапазон wlan1 = 2 ГГц-b / g / n ширина канала = 20/40 МГц-Ce расстояние = режим в помещении = ap-bridge ssid = MikroTik-006360 беспроводной протокол = 802.11 безопасность-профиль = мой профиль частота-режим = регуляторный-домен установить страну=латвия антенна-усиление=3

Чтобы сделать то же самое из Winbox/Webfig:

Mikrotik уроки

Последний шаг — добавить беспроводной интерфейс к локальному мосту, иначе подключенные клиенты не получат IP-адрес:

/ порт моста интерфейса
добавить interface=wlan1 bridge=local

Теперь беспроводная связь должна иметь возможность подключаться к вашей точке доступа, получать IP-адрес и выходить в Интернет.

Защита клиентов

Теперь пришло время добавить некоторую защиту для клиентов в нашей локальной сети. Мы начнем с основного набора правил.

фильтр брандмауэра /ip
add chain=forward action=fasttrack-connection connection-state=installed,related comment=»fast-track для установленных,связанных»;
добавить цепочку=вперед действие=принять состояние соединения=установлено, связанный комментарий=»принять установленное, связанное»;
добавить цепочку = действие вперед = удалить состояние соединения = недействительно
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1 comment=»отключить доступ к клиентам за NAT из WAN»

Набор правил аналогичен правилам входной цепочки (принимать установленные/связанные и отбрасывать недействительные), за исключением первого правила с action=fasttrack-connection. Это правило позволяет установленным и связанным соединениям обходить брандмауэр и значительно снижать нагрузку на ЦП.

Другим отличием является последнее правило, которое отбрасывает все новые попытки подключения с порта WAN к нашей сети LAN (если только не используется DstNat). Без этого правила, если злоумышленник знает или угадывает вашу локальную подсеть, он/она может устанавливать соединения напрямую с локальными хостами и создавать угрозу безопасности.

Блокировка нежелательных веб-сайтов

Во-первых, нам нужно добавить правило NAT для перенаправления HTTP на наш прокси. Мы будем использовать встроенный прокси-сервер RouterOS, работающий на порту 8080.

/ip firewall nat
add chain=dst-nat protocol=tcp dst-port=80 src-address=192.168.88.0/24 action=redirect to-ports=8080

Включить веб-прокси и удалить некоторые веб-сайты:

/ip proxy set enabled=yes
/ip прокси-доступ добавить dst-host=www.facebook.com action=deny
/ip прокси-доступ add dst-host=*.youtube.* action=deny
/ip прокси-доступ добавить dst-host=:vimeo action=deny

Mikrotik уроки

Mikrotik уроки

Устранение неполадок

RouterOS имеет встроенные различные инструменты для устранения неполадок, такие как ping, traceroute, torch, анализатор пакетов, тест пропускной способности и т. д.

В этой статье мы уже использовали инструмент ping для проверки подключения к Интернету.

Устранение неполадок при сбое ping

Проблема с инструментом ping заключается в том, что он говорит только о том, что пункт назначения недоступен, но более подробная информация отсутствует. Давайте рассмотрим основные ошибки.

Вы не можете получить доступ к www.google.com с вашего компьютера, который подключен к устройству MikroTik:

Mikrotik уроки

Если вы не знаете, как именно настроить шлюз, обратитесь за помощью к официальным консультантам MikroTik.

Сегодня хочу поподробнее раскрыть тему защиты современных латвийских марок. Речь пойдет о базовой установке брандмауэра в Mikrotik для обеспечения безопасности и удобства. Статья на эту тему была написана уже давно, но я решил ее полностью переделать и актуализировать.

Научиться на неприятность MikroTik с нуля или систематизироваться, уже ощущая, что можно узнать об углубленном курсе по администрированию MikroTik. Автор курка, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично предложил лабораторные работы и выбрал прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов опыта и доступности навсегда.

Данная статья является частью единого цикла статьи про Mikrotik.

Некоторое время назад я обновил и актуализировал статью о базовой совокупности микротик. В комментариях многие люди пеняли мне на то, что я совсем не уделил внимание настройке фаервола. Мне не захотелось мешать все в кучу, поэтому я пишу отдельную подробную статью на эту тему, а в настройке роутера оставлю ссылку на нее.

Итак, будем считать, что вы уже настроили роутер примерно так же, как я описал в своей статье. Есть локальная сеть, которая будет выходить в интернет через микротик. И есть сам микротик, который хочется защитить, ограничив доступ для всего лишнего, разрешив только то, что нам нужно.

Default firewall в Mikrotik

Если вы используете дефолтную конфигурацию роутера, то она по-умолчанию имеет стандартные правила firewall. Привожу список стандартных правил (rules) с комментариями. Напоминаю, что экспорт правил firewall в mikrotik можно выполнить следующей командой:

Вот список стандартных правил:

/ip firewall filter
add action=accept chain=input comment=»defconf: accept established,related,untracked» connection-state=established,related,untracked
add action=drop chain=input comment=»defconf: drop invalid» connection-state=invalid
add action=accept chain=input comment=»defconf: accept ICMP» protocol=icmp
add action=drop chain=input comment=»defconf: drop all not coming from LAN» in-interface-list=!LAN
add action=accept chain=forward comment=»defconf: accept in ipsec policy» ipsec-policy=in,ipsec
add action=accept chain=forward comment=»defconf: accept out ipsec policy» ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=»defconf: fasttrack» connection-state=established,related
add action=accept chain=forward comment=»defconf: accept established,related, untracked» connection-state=established,related,untracked
add action=drop chain=forward comment=»defconf: drop invalid» connection-state=invalid
add action=drop chain=forward comment=»defconf: drop all from WAN not DSTNATed» connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment=»defconf: masquerade» ipsec-policy=out,none out-interface-list=WAN

В принципе, по приведенным комментариям примерно понятно, что тут происходит. Дропаются все входящие и транзитные соединения не из локальной сети, разрешен пинг — icmp, разрешен ipsec, разрешены установленные соединения. Все. Ну и настроен NAT через WAN интерфейс.

Во многих случаях данных правил по-умолчанию может быть достаточно обычному пользователю, который просто настроил маршрутизатор дома для выхода в интернет. Берите на вооружение, если вам от маршрутизатора больше ничего не надо.

Если же вы хотите получше разобраться в устройстве firewall и попробовать настроить его самостоятельно, то давайте разбираться дальше вместе.

Firewall и базовая настройка безопасности

Давайте теперь немного порассуждаем, зачем нужен файрвол и какие вопросы он решает. Причем не только в контексте микротика, а вообще. Сейчас каждый доморощенный админ рассказывает, как важно всегда настраивать firewall, иногда даже не понимая, для чего он нужен. Лично я не сторонник создания лишних сущностей, поэтому там где межсетевой экран не нужен, я его не настраиваю.

Сетевой экран позволяет настраивать доступ как к самому шлюзу, так и к ресурсам за ним. Допустим, у вас не запущено никаких сервисов на роутере, и нет никакого доступа извне в локальную сеть. У вас есть какая-то служба на шлюзе, с помощью которой к нему подключаются и управляют (ssh, winbox, http и т.д.), причем ограничение доступа к этой службе настраивать не планируется. Вопрос — зачем вам в таком случае настраивать фаервол? Что он будет ограничивать и какие правила туда писать? В таком случае вам будет достаточно отключить все сервисы на роутере, которые слушают подключения из вне и все.

На самом деле такой кейс очень популярный дома или в мелких организациях, где нет постоянного админа. Просто настроен какой-то роутер, поднят NAT и все. Я понимаю, что не правильно не настраивать ограничения на доступ к управлению, но я рассказываю, как часто бывает. То есть firewall должен решать конкретную задачу по ограничению доступа к ресурсам, а не существовать просто так, чтобы был.

Еще популярны случаи, когда настроена куча правил, а в конце все равно стоит accept для всех подключений. Такие ляпы я сам иногда делал, когда отлаживал где-то работу сервиса и забывал потом вернуть обратно ограничения. Фаервол вроде настроен, но реально его нет. Если отключить — ничего не изменится.

К чему я все это написал? К тому, что прежде чем настраивать firewall, надо определиться с тем, для чего мы это делаем. Какие разрешения или ограничения и для кого мы будем вводить. После этого можно переходить к настройке.

В своем примере я буду настраивать межсетевой экран на микротике, находясь в локальной сети. Вам всегда советую поступать так же. Есть старая админская примета — удаленная настройка файрвола к дальнему пути.

У Mikrotik есть интересное средство в виде Safe Mode, которое позволяет относительно безопасно настраивать Firewall удаленно. Суть его очень простая. Вы включаете этот режим через соответствующую настройку.


Mikrotik уроки

Далее, если вы некорректно выйдете из этого режима, то все созданные вами настройки будут отменены. Корректным выходом из режима является ручное его отключение через ту же настройку. Таким образом, если во время настройки фаервола у вас пропала связь из-за неверного правила или по какой-то другой причине, Микротик откатит обратно сделанные вами изменения и вы сможете снова подключиться к роутеру.

В терминале этот режим включается комбинацией клавиш CTRL+X. Время ожидания, перед откатом изменений максимум 9 минут (время TCP timeout). Подробнее об этом режиме можно почитать в официальной документации.

Порядок расположения правил в Firewall

Перед началом настройки firewall в mikrotik, отдельно остановлюсь на одном очень важном моменте — порядке расположения правил. Многие, да и я сам ранее, не придавал большого значения этому, так как не сталкивался с высокими нагрузками на сетевое оборудование. Если нагрузки нет, то разницу не замечаешь. Тем не менее, лучше ее понимать.

Читайте также:  Masternode Hosting Platforms Compared

Пакеты проходят по списку правил по порядку, сверху вниз. Если пакет соответствует какому-то правилу, то он прекращает движение по цепочке. Из этого следует важный вывод — первыми в цепочке должны быть правила, которые охватывают максимальный объем трафика, чтобы он дальше не обрабатывался устройством. Примером такого правила является разрешение пакетов уже установленных (established) или связанных (related) соединений, которые ранее были разрешены каким-то правилом. Повторно проверять по всем правилам их не нужно. Сделаем такое правило для цепочки input — входящие соединения роутера.

/ip firewall filter
add action=accept chain=input comment=»accept establish & related» connection-state=established,related


Mikrotik уроки

Mikrotik уроки

В дефолтном правиле фаервола сюда же добавлены untracked подключения. Я не стал их добавлять, так как обычно не использую данную возможность. Untracked — это пакеты, не отслеживаемые connection tracker. То есть идущие мимо многих функций фаервола. В конце статьи я отдельно расскажу об этой возможности.

Первое правило фаервола для цепочки input мы уже написали, но при этом я забыл немного рассказать о существующих цепочках правил в микротиковском фаерволе. Они наследуются из линуксового фаервола iptables. По сути, в mikrotik работает именно он.

При составлении правил firewall нет смысла пытаться как-то перемешивать правила из разных цепочек. Они все равно будут читаться по порядку в соответствии с той цепочкой, в которую попадает пакет. Поэтому я обычно сначала описываю все правила для input, потом для forward и в конце, в случае необходимости, для output.

Примеры готовых правил

Двигаемся дальше. Одно правило у нас есть, рисуем следующее. Отбрасываем все неверные (Invalid) пакеты. Это чистой воды паразитный трафик. Его пакеты не являются частью ни одного из отслеживаемых соединений. Поэтому чем раньше мы их отбросим, тем меньше они будут нагружать дальше фаервол проверками.

add action=drop chain=input comment=»drop invalid» connection-state=invalid


Mikrotik уроки

Mikrotik уроки

Дальше не буду приводить скрины, очень хлопотно их под каждое правило делать, да и нет смысла. Просто вставляйте через консоль правила и изучайте их сами в winbox. Разрешаем icmp трафик, чтобы можно было пинговать роутер.

add action=accept chain=input comment=»accept ICMP» protocol=icmp

Соответственно, если хотите его заблокировать, то вместо action=accept сделайте drop, или просто не пишите правило, если в конце у вас будет полная блокировка всего, что не разрешено явно.

Дальше я обычно разрешаю подключаться к портам, отвечающим за управление роутером (ssh, winbox, https) с доверенных ip адресов. Подробно этот вопрос я рассмотрю отдельно ниже, поэтому пока это правило пропустим.

Создаем заключительное правило для цепочки input, которое будет блокировать все запросы, пришедшие не из локальной сети. В моем примере у меня локальная сеть подключена к бриджу bridge1-lan. В него входят все порты, подключенные в локалку.

add action=drop chain=input comment=»drop all not from lan» in-interface=!bridge1-lan

В этом правиле я использовал отрицание !bridge1-lan, то есть все, что не относится к указанному бриджу.


Mikrotik уроки

На текущий момент мы запретили все запросы из вне к роутеру, кроме пингов. При этом доступ из локальной сети полный. Настроим теперь правила для транзитного трафика цепочки forward. Здесь по аналогии с input первыми идут правила для established, related, invalid пакетов.

add action=accept chain=forward comment=»accept established,related» connection-state=established,related
add action=drop chain=forward comment=»drop invalid» connection-state=invalid

Теперь запретим все запросы из внешней сети, связь с которой через интерфейс ether1-wan к локальной сети.

add action=drop chain=forward comment=»drop all from WAN to LAN» connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan

Что такое dstnat мы рассмотрим чуть позже, когда будем разбираться с NAT. На этом список базовых правил закончен. Дальше немного пояснений на тему того, что у нас получилось.

Важное замечание, о котором я забыл упомянуть. По умолчанию, в Mikrotik Firewall нормально открытый. Это значит, все, что не запрещено явно, разрешено.

На текущий момент у нас запрещены все входящие соединения, кроме пинга. При этом разрешены все запросы из локальной сети во внешнюю, так как мы не указали никаких блокирующих правил для этого, а значит, все открыто. Покажу для примера, что нужно сделать, чтобы запретить все запросы из локалки и разрешить, к примеру, только http и https трафик.

Для этого мы сначала создаем разрешающее правило для 80 и 443 портов. Если используете внешний DNS сервер для запросов из сети, не забудьте разрешить еще и 53 порт UDP, иначе dns запросы не будут проходить и страницы загружаться не будут, даже если разрешить http трафик.

add action=accept chain=forward comment=»accept http & https from LAN» dst-port=80,443 in-interface=bridge1-lan out-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment=»accept dns from lan» dst-port=53 in-interface=bridge1-lan out-interface=ether1-wan protocol=udp

Разрешил http и dns трафик, так как в моем тестовом окружении используется внешний dns сервер. Теперь блокируем все остальные запросы по цепочке forward из локальной сети.

add action=drop chain=forward comment=»drop all from LAN to WAN» in-interface=bridge1-lan out-interface=ether1-wan

Когда я писал статью, завис минут на 10 и не мог понять, почему не работает разрешающее правило для http. Я его несколько раз проверил, все верно было. Тут и ошибиться негде, но страницы из интернета не грузились в браузере. Чтобы разобраться, я просто включил логирование для последнего запрещающего правила.


Mikrotik уроки

После того, как сделал это, увидел, что у меня блокируется dns трафик по 53-му порту. После этого сделал для него разрешение и все заработало как надо.


Mikrotik уроки

Забыл предупредить. Если вы с нуля настраиваете фаервол в микротик, то доступа в интернет из локальной сети у вас еще нет. Для этого нужно настроить NAT, чем мы займемся в следующем разделе. Так что пока отложите тестирование правил и вернитесь к ним, когда настроите NAT.

Когда у вас что-то не получается, смело включайте логирование запрещающих правил и вы быстро поймете в чем проблема. Это универсальный совет для настройки любого фаервола. Только не забудьте в конце отладки отключить логирование. Иногда я это забывал сделать. Если использовалось какое-то хранилище для логов, оно быстро забивалось, так как в блокирующие правила попадает очень много запросов.

Итак, мы настроили базовый нормально закрытый firewall в микротике. У нас запрещено все, что не разрешено явно, в том числе и для трафика из локальной сети. Скажу честно, я редко так делал, потому что хлопотно постоянно что-то открывать из локальной сети (skype, teamviewer и т.д.). В общем случае, если нет повышенных требований безопасности, в этом нет необходимости. Блокирование не разрешенного трафика можно включать в случае необходимости.

Итоговый список правил, которые получились:

/ip firewall filter
add action=accept chain=input comment=»accept establish & related» connection-state=established,related
add action=drop chain=input comment=»drop invalid» connection-state=invalid
add action=accept chain=input comment=»accept ICMP» protocol=icmp
add action=drop chain=input comment=»drop all not from lan» in-interface=!bridge1-lan
add action=accept chain=forward comment=»accept established,related» connection-state=established,related
add action=drop chain=forward comment=»drop invalid» connection-state=invalid
add action=drop chain=forward comment=»drop all from WAN to LAN» connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan
add action=accept chain=forward comment=»accept http & https from LAN» dst-port=80,443 in-interface=bridge1-lan out-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment=»accept dns from LAN» dst-port=53 in-interface=bridge1-lan out-interface=ether1-wan protocol=udp
add action=drop chain=forward comment=»drop all from LAN to WAN» in-interface=bridge1-lan out-interface=ether1-wan


Mikrotik уроки

Пока у нас еще не настроен выход в интернет для локальной сети. Сделаем это далее, настроив NAT.

Настройка NAT в микротик

С натом в микротике есть один важный нюанс, о котором я не знал, пока не прочитал презентацию одного из сотрудников, которую я в итоге перевел — My «holy war» against masquerade. Я всегда и везде использовал masquerade для настройки NAT. К тому же это действие предлагается и в дефолтной конфигурации. По своей сути masquerade — частный случай src-nat, который следует использовать в том случае, если у вас не постоянный ip адрес на внешнем интерфейсе. Причем, в некоторых случаях с masquerade могут быть проблемы. Какие именно — описаны в презентации.

Таким образом, если у вас постоянный ip адрес, то для NAT используйте src-nat, если динамический — masquerade. Разница в настройках минимальна.

/ip firewall nat
add action=src-nat chain=srcnat out-interface=ether1-wan to-addresses=10.20.1.20


Mikrotik уроки

Mikrotik уроки

В данном случае 10.20.1.20 ip адрес на wan интерфейсе. Если не постоянный ip адрес на wan интерфейсе, то делаем с masquerade.

add action=masquerade chain=srcnat out-interface=ether1-wan


Mikrotik уроки

Все, NAT настроен, пользователи могут выходить в интернет. Теперь предлагаю проверить работу firewall, который мы настроили. Сбросьте все счетчики в правилах.

Читайте также:  Разблокировка Asterisk: руководство для начинающих по успеху


Mikrotik уроки

Теперь сгенерируйте как можно больше трафика и посмотрите, через какие правила он будет идти. Можно воспользоваться сервисом от ндекса по измерению скорости интернета — https://yandex.ru/internet/.


Mikrotik уроки

Большая часть трафика прошла по правилу с established, related соединениям, минимально нагружая роутер своей обработкой в контексте именно фаервола. Особенно это будет актуально, если у вас много правил в firewall. Важно их расположить в правильном порядке.

Покажу на простом примере, как при настроенном NAT и включенном фаерволе выполнить проброс порта в mikrotik для доступа к службе в локальной сети. Пробросить порт можно в той же вкладке NAT в настройках Firewall.

Для примера выполним проброс порта rdp из интернета через микротик. Извне будет открыт порт 41221, а проброс будет идти на локальный адрес 192.168.88.200 и порт 3389.

add action=dst-nat chain=dstnat dst-port=41221 in-interface=ether1-wan protocol=tcp to-addresses=192.168.88.200 to-ports=3389


Mikrotik уроки

Mikrotik уроки

Если у вас остальной фаревол микротика настроен по поему описанию выше, то проброс порта уже заработает и больше ничего делать не надо. Так как у нас правило на блокировку запросов из вне в локальную сеть сделано с учетом исключения цепочки dstnat, все будет работать сразу. Напоминаю это правило.

Если вы настраивали firewall ранее по каким-то другим материалам, там могло быть другое правило, без учета dstnat, например вот так:

К такому правилу надо обязательно выше добавить разрешающее, примерно вот так:

Я настоятельно не рекомендую открывать доступ к rdp порту для всего интернета. Лично имел печальный опыт в такой ситуации. Обязательно настройте ограничение доступа по ip к этому порту, если такое возможно. Если невозможно, то не пробрасывайте порт, а сделайте доступ по vpn. Ограничение по ip делается просто. Добавляем еще один параметр Src. Address в правило проброса порта.


Mikrotik уроки

Если используется список ip адресов, который будет меняться, проще сразу в правиле проброса указать на список, а потом править уже сам список. Для этого его надо создать. Создать список ip можно на вкладке Address List. Добавим список:


Mikrotik уроки

Возвращаемся в правило проброса порта, переходим на вкладку Advanced и добавляем указанный список в Src. Adress List


Mikrotik уроки

Теперь для изменения списка доступа к проброшенному порту не надо трогать само правило. Достаточно отредактировать список.

На этом по настройке NAT и пробросу портов на Mikrotik все. Надеюсь, у меня получилось подробно и понятно объяснить основные моменты и некоторые нюансы.

Защита подключения через winbox

Расскажу отдельно о том, как защитить подключение по winbox с помощью firewall. В микротиках время от времени находят критические уязвимости. Единственным способом надежно от них защититься — ограничить доступ к winbox с помощью фаервола. После этого можно спать спокойно и делать обновления системы не экстренно, после публикации уязвимости, а планово.

В рассмотренном ранее списке правил для фаервола заблокированы все внешние подключения полностью. Это самый безопасный вариант настроек. Иногда нужен доступ к удаленному управлению. Если невозможно создать статический список ip адресов, для которых будет разрешено подключение, то выходом в этом случае настроить vpn сервер на микротике и подключаться через vpn. Это хоть и менее безопасно прямого ограничения на уровне списка ip адресов, но все равно значительно лучше, чем оставлять доступ через winbox без ограничения через интернет.

Тема настройки vpn в mikrotik выходит за рамки данной статьи. Читайте отдельный материла на этот счет. Сделаем простое ограничение доступа к управлению на уровне ip. Для начала создадим список IP адресов, которым будет разрешено подключаться удаленно к winbox.


Mikrotik уроки

Добавляем правило в Firewall. Оно должно быть выше правила, где блокируются все входящие соединения.

add action=accept chain=input comment=»accept management for white-list» dst-port=8291 in-interface=ether1-wan protocol=tcp src-address-list=winbox_remote


Mikrotik уроки

В вкладке Advanced указываем список:


Mikrotik уроки

В разделе action ставим accept. Так мы обезопасили удаленный доступ через winbox. Считаю это самым простым и безопасным способом защиты микротика. Если есть возможность ограничений по ip, всегда используйте. Это универсальный способ, годный для любого случая и системы, не только в отношении Mikrotik.

В современном мире ИТ постоянно находят уязвимости. Невозможно всегда оперативно ставить обновления. Зачастую, эти обновления могут либо нарушить работу системы, либо содержать другие уязвимости. Только ограничение доступа к службам и системам позволяет более ли менее надежно защититься и спать спокойно, не торопясь обновляться со всех ног при обнаружении очередной критической уязвимости.

Итоговый список правил после всех наших настроек в этой статье должен получиться примерно таким.


Mikrotik уроки

В дефолтном правиле firewall mikrotik включен режим Fasttrack. Я в своих правилах его обычно не использую. Попробую своими словами объяснить, что это такое. Я долго пытался вникнуть в суть этой технологии, когда разбирался.

Fasttrack — проприетарная технология Mikrotik, позволяющая маркировать ip пакеты для более быстрого прохождения пакетного фильтра. Включить режим маркировки пакетов fasttrack очень просто. Достаточно добавить в цепочку forward первым следующее правило:

/ip firewall filter add action=fasttrack-connection chain=forward comment=fasttrack connection-state=established,related

Дальше остаются все те же самые правила, что я описал ранее в статье.

В этом режиме пакеты перемещаются по упрощенному маршруту в пакетном фильтре, поэтому не работают следующие технологии обработки пакетов:

За счет того, что маршрут обработки пакетов более короткий, он меньше нагружает процессор в ущерб функционалу. Если вы ничего из перечисленного не используете, то можно пользоваться fasttrack. Однако, чаще всего нужны queues, поэтому от него приходится отказываться. Если же у вас не используются очереди и какие-то особенные правила в firewall, то можете использовать технологию.

Чтобы убедиться, что режим fasttrack работает, можно посмотреть раздел Mangle. Счетчик с маркированными пакетами должен расти.


Mikrotik уроки

И в завершении по fasttrack важное замечание — он не работает в CHR. Я с этим столкнулся лично, когда тестировал. У меня тестовое окружение настроено на CHR и там fasttrack не работал. Причем его можно включить, но все счетчики пакетов будут нулевыми. Реально технология не работает.

Как на микротике отключить файрвол

Для того, чтобы полностью отключить Firewall на микротике, достаточно просто отключить или удалить все правила в списке. По умолчанию, в mikrotik используются разрешающие правила. Все, что не запрещено — разрешено, то есть firewall нормально открытый. Если у вас нет ни одного активного правила, можно считать, что файрвол отключен, так как он пропускает все соединения без ограничений.

Вот пример отключенного фаервола на микротике 🙂


Mikrotik уроки

Итоговый список правил, настроенный по этой статье, получился вот такой:

/ip firewall address-list
add address=10.20.1.1 list=winbox_remote
/ip firewall filter
add action=accept chain=input comment=»accept establish & related» connection-state=established,related
add action=drop chain=input comment=»drop invalid» connection-state=invalid
add action=accept chain=input comment=»accept ICMP» protocol=icmp
add action=accept chain=input comment=»accept management for white-list» dst-port=8291 in-interface=ether1-wan protocol=tcp src-address-list=winbox_remote
add action=drop chain=input comment=»drop all not from lan» in-interface=!bridge1-lan
add action=accept chain=forward comment=»accept established,related» connection-state=established,related
add action=drop chain=forward comment=»drop invalid» connection-state=invalid
add action=drop chain=forward comment=»drop all from WAN to LAN» connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan
add action=accept chain=forward comment=»accept http & https from LAN» dst-port=80,443 in-interface=bridge1-lan out-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment=»accept dns from lan» dst-port=53 in-interface=bridge1-lan out-interface=ether1-wan protocol=udp
add action=drop chain=forward comment=»drop all from LAN to WAN» in-interface=bridge1-lan out-interface=ether1-wan
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-wan
add action=dst-nat chain=dstnat dst-port=41221 in-interface=ether1-wan protocol=tcp to-addresses=192.168.88.200 to-ports=3389

На этом все по базовой настройке firewall на mikrotik. Постарался показать максимально подробно базовый набор правил фаервола для обеспечения безопасности и защиты локальной сети и самого роутера.

Тема эта обширная, наверняка у кого-то есть замечания и свои советы по предложенной настройке. Тут нет универсальных правил на все случаи жизни. Firewall в микротике основан на линуксовых iptalbes, а  это безграничное поле для маневра.

Напоминаю, что данная статья является частью единого цикла статьей про Mikrotik.

Онлайн курcы по Mikrotik

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курcы по программе, основанной на информации из официального курcа MikroTik Certified Network Associate. Помимо официальной программы, в курcах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте Курcы по ИТ.

Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курcов:

Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Оцените статью
Хостинги