Mikrotik

MikroTik Firewall

Firewall в MikroTik RouterOS — мощная система фильтрации трафика на базе iptables. Позволяет контролировать входящий, исходящий и транзитный трафик, защищать маршрутизатор от атак и управлять доступом в сети.

Цепочки (Chains)

input — трафик, направленный на сам маршрутизатор (SSH, Winbox, DNS)
forward — транзитный трафик, проходящий через маршрутизатор
output — трафик, исходящий от маршрутизатора

Базовая защита маршрутизатора

Минимальный набор правил для защиты:

/ip/firewall/filter
add chain=input connection-state=established,related action=accept comment="Allow established"
add chain=input connection-state=invalid action=drop comment="Drop invalid"
add chain=input protocol=icmp action=accept comment="Allow ICMP"
add chain=input src-address=192.168.1.0/24 action=accept comment="Allow LAN"
add chain=input action=drop comment="Drop all other input"

Защита forward-трафика

/ip/firewall/filter
add chain=forward connection-state=established,related action=accept
add chain=forward connection-state=invalid action=drop
add chain=forward src-address=192.168.1.0/24 out-interface=ether1 action=accept comment="LAN to WAN"
add chain=forward action=drop comment="Drop all other forward"

NAT (Masquerade)

Для выхода локальной сети в интернет:

/ip/firewall/nat add chain=srcnat out-interface=ether1 action=masquerade

Проброс портов (DNAT)

/ip/firewall/nat add chain=dstnat protocol=tcp dst-port=80 
  in-interface=ether1 action=dst-nat to-addresses=192.168.1.100 to-ports=80

Address Lists

Группировка адресов для упрощения правил:

/ip/firewall/address-list add list=blocked address=10.0.0.0/8
/ip/firewall/filter add chain=forward src-address-list=blocked action=drop

Защита от bruteforce (SSH/Winbox)

/ip/firewall/filter
add chain=input protocol=tcp dst-port=22 src-address-list=ssh-blacklist action=drop
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh-stage3 
  action=add-src-to-address-list address-list=ssh-blacklist address-list-timeout=1d
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh-stage2 
  action=add-src-to-address-list address-list=ssh-stage3 address-list-timeout=1m
add chain=input protocol=tcp dst-port=22 connection-state=new 
  action=add-src-to-address-list address-list=ssh-stage2 address-list-timeout=1m

Полезные команды

/ip/firewall/filter print stats    — правила со счётчиками
/ip/firewall/nat print             — NAT-правила
/ip/firewall/connection print      — активные соединения
/ip/firewall/address-list print    — адресные списки

Услуги

Нужна помощь в настройке фаервола и защите сети на MikroTik?
Предоставляю услуги по аудиту безопасности, настройке фильтрации трафика и защите от атак.
Свяжитесь со мной для консультации и обсуждения деталей.