Настройка фаервола mikrotik: MikroTik настраиваем Filter Firewall часть 1
MikroTik настраиваем Filter Firewall часть 1
За несколько лет работы, мы для себя нашли некоторую золотую середину в настройке Firewall MikroTik, и естественно хотим поделится её с вами.
MikroTik Firewall Filter
Хочу признаться мне не очень нравиться дефолтный конфиг Firewall, но я прекрасно понимаю, что тем кто его придумал, была задача найти условно общую конфигурацию которая бы подходила к большинству и покрывала решение зада большенства, но мы не большинство, и будем «лепить» свой конфиг.
Естественно чистим конфигурацию или просто очищаем полностью Filter Firewall-а.
/ip firewall filter remove [find]
В первую очередь мы должны защитить наш маршрутизатор от условных проблем, атак или злоумышленников из сети интернет.
Interface List ISP
В моём случае для примера у меня три провайдера ether1, ether2, ether3 и поверх ether3 запущен PPPoE туннель для получения доступа к интернету.
Создадим лист интерфейсов в котором перечисляем все интерфейсы подключенные к сетям провайдеров. Причём не важно один или два или десять у вас таковых интерфейсов.
/interface list add name=ISP
Как вы его назовёте, не имеет значения, главное чтобы вам был понятен смысл имени и наверное очень важно, то что-бы было понятно любому другому человеку который взглянет на ваши настройки. Ведь согласитесь если вы его назовёте «Bla-bla-bla» смысл для любого человека будет непонятен, хотя возможно для вас он и будет иметь сакральный смысл.
Я предпочитаю называть данный лист ISP, что обозначает Internet Service Provider.
Соответственно добавляем в данный лист все интерфейсы провайдеров.
/interface list member
add list=ISP interface=ether1
add list=ISP interface=ether2
add list=ISP interface=ether3
add list=ISP interface=ether3.PPPoE
Обратите вниманию я добавил ether3 и PPPoE интерфейс которые поднят через него же. По поводу наименование PPPoE туннеля не удивляйтесь у меня есть привычка использовать в наименовании интерфейсов точку в случае если данные интерфейс является sub интерфейсом другого интерфейса. К примеру если у меня будет vlan 100 на первом интерфейсе его имя будет ether1.100.
На данный момент, мы закончили с настройкой листа ISP и может приступить непосредственно к настройке Firewall.
Firewall Filter
Начнём непосредственно настраивать наш filter.
Firewall Filter Input
Первым делом мы будем настраивать трафик который пришёл на маршрутизатор, и является потенциально опасным для маршрутизатора.
Все дальнейшие правила мы делаем в разделе фильтра, я не буду указывать в приведённых примерах.
/ip firewall filter
Самым первым правилом отправляем весь трафик с интерфейсов провайдеров в кастомную цепочку (custom chain) с помощью jump.
add chain=input in-interface-list=ISP action=jump jump-target=ISP-Input
С этого момента мы будет работать ТОЛЬКО с цепочкой ISP-Input
, про цепочку input
можете пока забыть, хотя она нам ещё понадобится.
Следующим правило мы разрешаем, пакеты established
которые возвращаются на уже установленное соединение, такие пакеты необходимо разрешать.
add chain=ISP-Input connection-state=established action=accept
Обратите внимание что я не указываю не интерфейсы не список интерфейсов, нам нет необходимости этого делать, так как самое первое правило отправило в данную цепочку только трафик которые приходит с интерфейсов провайдеров перечисленных в листе ISP.
Следующее правило разрешаем related
, это пакеты которые создали вторичное соединение, такие пакеты помечаются когда на основании какого либо payload создаются новые соединения, например если вы используете NAT-helper ftp или SIP. Также related
в некоторых случаях это ICMP ответ маршрутизатора.
add chain=ISP-Input connection-state=related action=accept
Мы часто используем возможность снижение нагрузки на connection-tracker с помощью исключения пакетов с помощью raw untracked, также используется для обхода NAT в случае когда необходимо исключить процедуру изменения заголовка пакета.
add chain=ISP-Input connection-state=untracked action=accept
Кто-то из вас скажет, «Стоп-стоп но ведь мы может все эти три последние правила описать одним, просто перечислив состояния через запятую!!! Зачем создавать три правила?!» Да можем, но моя задача во-первых показать вам все правила наглядно, а во вторых у нас появляется возможность видеть количество трафика и нагрузку pps
по каждому конкретному типу пакетов, и в случае необходимости изменить порядок для оптимизации.
Ну что-же наше первое запрещающее правило, мы должны запретить пакеты с состоянием invalid
, таким состоянием помечаются пакеты в нескольких случаях:
- Если на вашем маршрутизаторе закончится память и connection-tracker не сможет создать запись для соединения, но это редкий случай.
- Если пакет принадлежит к одному из протоколов
GRE
,ICMP
илиTCP
то RouterOS умеет понимать по содержимому пакетов данных протоколов должен являться данный пакет частью существующего соединения или нет. Если по признакам он является частью соединения, но соединения нет в connection-tracker, то такой пакет помечается какinvalid
. Пример на маршрутизатор пришёл один пакет TCP с флагамиsyn
иack
, т.е. Какой-то хост «по идеи» ответил на посылкуsyn
пакета, но если соединения нет, то нам такой пакет не нужен. Также это простая защита от TCP RST Flood.
add chain=ISP-Input connection-state=invalid action=drop
Как вы наверное знаете в RouterOS с включенным connection-tracker существует пять состояний пакетов, четыре из которых мы описали, а так как правила в firewall терминирующие, т.е после срабатывания правила пакет прекращает обработку в filter. У нас остаётся всего один тип пакетов это new
это те самые пакеты которые создают соединения, другими словами когда кто-то инициализирует соединение к маршрутизатору такой пакет имеет состояние new
. Но так как мы описали четыре состояния, нет смысла указывать состояние, так как подразумевается по остаточному принципу, что в следующем правиле и так будут только new
.
Мне часто приходится настраивать RouterOS под проекты, и зачастую я подготавливаю оборудование так чтобы с ним было комфортно работать заказчику, так как со временем у заказчика могут появится дополнительные кейсы, и чтобы было однотипность в настройках мы поступаем следующим образом.
Выносим все разрешающие правила в отдельную цепочку например с именем ISP-Input-Allow
. В таком случае нет необходимости думать в каком месте по порядку разместить правила, чтобы они были правильно расположены относительно всех других правил.
add chain=ISP-Input action=jump jump-target=ISP-Input-Allow
Следующим правилом мы запрещает все остальные пакеты, которые дошли до следующего правила. Будте аккуратны, возможно если вы подключены через провайдера к маршрутизатору, вы не сможете подключится к маршрутизатору в случае разрыва соединения.
add chain=ISP-Input action=drop
Ну вот пожалуй с каркасом закончили, теперь нам необходимо разрешить какойто-то трафик на сам маршрутизатор.
Для закрепления результата представим, что у нас поднят на RouterOS l2tp сервер и мы хотим иметь возможность подключаться по ssh, а также маршрутизатор должен отвечать на запросы icmp.
Мы будем использовать кастомную цепочку ISP-Input-Allow и порядок правил в нём не важен, а также не важно расположение правил в этой цепочке относительно всех других правил, хоть в разнобой, хоть в конце, хоть в начале. Это не принципиально. Наверное всё таки для удобства желательно расположить их по порядку и в одном месте, но это только для тех кто использует winbox для настроек, а для тех кто используется CLI или как-то оркестратор типа ansible, как раз проявляется удобство в том, что вам не надо думать о прядке правил.
Опишу правила одним блоком
add chain=ISP-Input-Allow protocol=icmp action=accept
add chain=ISP-Input-Allow protocol=tcp dst-port=22 action=accept
add chain=ISP-Input-Allow protocol=udp dst-port=1701 action=accept
Если пакет которых поступает в данную цепочку дойдёт до конца её, то он перейдёт на следующее правило после которого он попал в данную цепочку.
Вот таким образом у вас должен выглядеть filter в winbox.
Я отформатировал вывод убрав отображение некоторых столбцов.
А теперь давайте посмотрим как будут работать данные правила, при поступления трафика в цепочку INPUT.
Первый пример HOST 5.5.5.5 хочет установить соединение с SSH MikroTik с адресом 2.2.2.2.
Хост 5.5.5.5 отправляет syn пакет для установления соединения с ssh сервером на MikroTik
Такой пакет первым же правилом попадает под jump и отправляется к custom chain ISP-Input
Далее маршрутизатор находит все правила в кастомной цепочке ISP-Input переберать соответствию пакета дял правила
В первых 4 правилах в цепочке ISP-Input он не найдёт соответствия, а вот в пятом правиле сделает jump на ещё одну цепочку. Соответственно выберет все правила из новой цепочке ISP-Input-Allow
И будет снова сверять по порядку, соответствия пакета правилу.
Как только найдено терминирующее правило, а в нашем случае это accept, маршрутизатор заканчивает обработку данного пакета в filter firewall и отправляет пакет в Local Process.
SSH сервер ответит пакетом TCP c флагами syn,ack после получения такого пакета клиент отправит пакет с флагом ACK и такой пакет уже будет обрабатываться как established
.
Но первым же правилом в цепочек ISP-input у нас есть разрешающее терминирующее правило для пакетов с состоянием established. Такой пакет сразу отправиться в Local Process.
А теперь давайте попробуем разобраться, что будет если хост отправит пакет на порт Winbox TCP 8291, который мы явно не запрещали.
Начало будет одинаковое
Когда пакет будет проверяться соответствиям правилам в цепочке ISP-Input-Allow, для него не найдётся не одного подходящего правила.
В этом случае произойдёт автоматически return, и обработка выйдет из цепочки ISP-Input-Allow
и продолжит обрабатываться в цепочке ISP-Input,
а у нас есть правило, которое отбрасывает все пакеты DROP всё, такой пакет не когда не попадёт в Local Process.
Т.е если в custom chain не найдено соответствие не с одним правилом, то обработка такого пакета возвращается обратно и продолжает обработку по порядку со следующего правила места входа.
Для удобства восприятия поставил слева номера, чтобы был понятен порядок обработки
И ещё раз порядок правил имеет значения только для каждой отдельной цепочки, а не относительно всех цепочек.
На этом этапе мы закончили работу с трафиком Input и переходим к Forward.
Firewall Filter Forward
Естественно нам необходимо защитить трафик которых проходит со стороны провайдеров через маршрутизатор.
Многие наверное скажут, а зачем его защищать, ведь трафик нельзя отправить через маршрутизатор, для этого необходимо адрес маршрутизатора прописать как шлюз, что в свою очередь говорит о том, что маршрутизатор должен находится в Connected сети.
Вот вам маленькая история.
Мне провайдер выдаёт внутренней адрес из сети /22 и со всеми соседями я нахожусь в одном брудкаст домене. Получилось так, что пропустил платёж и мне провайдер на шлюзе зарезал интернет, но он не отключил порт на коммутаторе, и мне всё также была доступна внутренняя сеть. Запустил LLDP на интерфейсе провайдера и увидел что со мной в одной сети находятся как минимум пять маршрутизаторов MikroTik. И логика была у меня такая:
По умолчания в RouterOS на первом порту отключен LLDP, а если я вижу это значит что либо конфигурации была сброшена либо используется порт не ether1. Соответственно возможно, что на нём неправильно настроен firewall.
Так и получилось я на своём маршрутизаторе прописал адрес MikroTik первого из списка и у меня появился интернет, да с другого IP адреса, но этого достаточно. Сразу скажу, что на всех пяти MikroTik-ах которые я видел, и кстати до сих пор я наблюдаю в сети данные MikroTik c таким образом настроенным Firewall, что я в любой момент могу получить доступ в интернет через них.
Вот именно от таких ситуаций нам необходимо защитится.
И опять же мы будем использовать кастомную цепочку.
Первым правилом мы отправляем весь проходящий forward трафик с интерфейсов провайдеров в цепочку ISP-Forward.
add action=jump chain=forward in-interface-list=ISP jump-target=ISP-Forward
Следующие правила вам должны быть уже знакомы. Не буду повторять описание
add chain=ISP-Forward connection-state=established action=accept
add chain=ISP-Forward connection-state=related action=accept
add chain=ISP-Forward connection-state=untracked action=accept
add chain=ISP-Forward connection-state=invalid action=drop
Единственно, что необходимо уточнить, что в случае если вы используете BGP или у вас возникает ситуация, что у вас может быть асинхронная маршрутизация. То вам необходимо разрешать трафик invalid. Но в большинстве случаев это не так.
Далее вы помните, что по типу исключения у нас остаётся только пакеты которые имеют состояние new, и если по думать то такие пакеты могут проходить через маршрутизатор со стороны провайдера только если они попадают под процедуру изменения адреса назначения.
Поэтому нам необходимо разрешить пакеты new которые попадают под dst Нат.
add chain=ISP-Forward connection-nat-state=dstnat action=accept
И последний правилом мы закрывает доступ из вне всем отвальным пакетам.
add chain=ISP-Forward action=drop
Собственно всё.
Давайте взглянем на наши правила.
Соответственно, если вам необходимо разрешить подключаться к маршрутизатору, будь то по VPN или ещё как-то, вы всегда можете добавить правило в цепочку ISP-Input-Allow и не думать о порядке правил.
Я приведу итоговый результат немного отформатированный.
/ip firewall filter
add chain=input in-interface-list=ISP action=jump jump-target=ISP-Input
add chain=forward in-interface-list=ISP action=jump jump-target=ISP-Forward
add chain=ISP-Input connection-state=established action=accept
add chain=ISP-Input connection-state=related action=accept
add chain=ISP-Input connection-state=untracked action=accept
add chain=ISP-Input connection-state=invalid action=drop
add chain=ISP-Input jump-target=ISP-Input-Allow action=jump
add chain=ISP-Input action=drop
add chain=ISP-Forward connection-state=established action=accept
add chain=ISP-Forward connection-state=related action=accept
add chain=ISP-Forward connection-state=untracked action=accept
add chain=ISP-Forward connection-state=invalid action=drop
add chain=ISP-Forward connection-nat-state=dstnat action=accept
add chain=ISP-Forward action=drop
add chain=ISP-Input-Allow protocol=icmp action=accept
add chain=ISP-Input-Allow dst-port=22 protocol=tcp action=accept
add chain=ISP-Input-Allow dst-port=1701 protocol=udp action=accept
На этом на сегодня всё, продолжение следует…
Рассказать друзьям
Чатик телеграм
cisco — GRE mikrotik правила firewall
Имеем головной офис cisco и удаленный офис mikrotik.
Между ними настроен GRE тунель (Пока без IPSec с ним отдельная песня)
Сеть в туннеле 10.1.0.0/24:
Mikrotik- 10.1.0.90
Cisco- 10.1.0.1
Сеть за cisco 192.168.0.0/24
Сеть за mikrotik 192.168.90.0/24
Поблема в том что sip трафик заворачивается не в том направлении.
Хотя пинги с удаленного офиса приходят с верным src address.
Иными словами пакеты до сервера назначения идут с «белым» IP источника
16:56:58.435548 IP 10.1.0.90 > voip-main.ruan.local: ICMP echo request, id 1, seq 1, length 40
16:56:58.435598 IP voip-main.ruan.local > 10.1.0.90: ICMP echo reply, id 1, seq 1, length 40
16:56:59.455200 IP 10.1.0.90 > voip-main.ruan.local: ICMP echo request, id 1, seq 2, length 40
16:56:59.455229 IP voip-main.ruan.local > 10.1.0.90: ICMP echo reply, id 1, seq 2, length 40
16:57:00.471614 IP 10.1.0.90 > voip-main.ruan.local: ICMP echo request, id 1, seq 3, length 40
16:57:00.471667 IP voip-main.ruan.local > 10.1.0.90: ICMP echo reply, id 1, seq 3, length 40
А вот подключение по sip протоколу:
17:21:44.851772 IP 93.171.00.00.sip > voip-main.ruan.local.sip: SIP: REGISTER sip:192.168.0.3:5060 SIP/2.0
17:21:48.881832 IP 93.171.00.00.sip > voip-main.ruan.local.sip: SIP: REGISTER sip:192.168.0.3:5060 SIP/2.0
17:21:52.911773 IP 93.171.00.00.sip > voip-main.ruan.local.sip: SIP: REGISTER sip:192.168.0.3:5060 SIP/2.0
17:21:56.961973 IP 93.171.00.00.sip > voip-main.ruan.local.sip: SIP: REGISTER sip:192.168.0.3:5060 SIP/2.0
17:22:00.972916 IP 93.171.00.00.sip > voip-main.ruan.local.sip: SIP: REGISTER sip:192.168.0.3:5060 SIP/2.0
Настройка Firewall
add action=accept chain=forward disabled=yes dst-address=192.168.0.0/24 src-address=192.168.90.0/24
add action=accept chain=output disabled=yes protocol=gre
add action=accept chain=input disabled=yes protocol=gre
add action=accept chain=output protocol=gre
add action=accept chain=input protocol=ospf
add action=accept chain=output protocol=ospf
add action=accept chain=input protocol=gre
add action=accept chain=forward dst-port=5060 in-interface=local_bridge out-interface=TO_HQGW protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat dst-address=192.168.0.0/24 out-interface=TO_HQGW protocol=udp src-port=5060
add action=masquerade chain=srcnat src-address=192.168.90.0/24
add action=accept chain=srcnat dst-address=192.168.0.0/24 src-address=192.168.90.0/24
Настройки GRE
add allow-fast-path=no ipsec-secret=<ключ> local-address=<ip mikrotik> mtu=1476 name=TO_HQGW remote-address=<ip cisco>
Настройки cisco:
interface Tunnel1
ip address 10.1.0.1 255.255.255.0
ip mtu 1280
tunnel source GigabitEthernet0/0
tunnel destination 93.171.00.00
end
Настройка IPv6 с помощью Tunnelbrocker на MikroTik • Блог.telecom-sales.ru
Как настроить получить IPv6, если ваш провайдер дает только IPv4
- Маршрутизатор MikroTik с включенным пакетом IPv6 (после включения пакета, перезагрузите роутер)
- Белый (выделенный) IP
Получение адреса 6to4 tunnel
- Регистрируемся и заходим на сайт тунельброкера
- Выбрать в левом меню «User Functions > Create Regular Tunnel»
- На открывшейся странице «Setup Regular IPv6 Tunnel» ввести свой текущий IP-адрес. Важно, чтобы у вас не были заблокированы входящие пакеты ICMP (ping)
- В строке «We recommend you use:» будет указан рекомендованный (самый близкий к вам, по мнению HE.net) туннельный сервер. Можно выбрать его, либо какой-нибудь другой из списка ниже. В списке также указаны IP-адреса этих серверов, так что перед выбором можно проверить время отклика и маршрут до каждого с помощью
ping
илиtraceroute
. Некоторые сервера также могут быть недоступны для выбора (например по причине заполненности, «Not available (full)»). Для находящихся в России, оптимальным сервером будет один из находящихся в Европе (какой именно – зависит от вашего провайдера и точек его подключения к европейским сетям) - Нажать кнопку «Create Tunnel»
- Открываем созданную конфигурацию туннеля — переходим во вкладку «Example Configurations» — выбираем в выпадающим списке mikrotik и вводим команды поочередно в терминал микротика.
Настройка IPv6 на любом маршрутизаторе MikroTik
Пример для IPv4 адреса 194.105.56.170
/interface 6to4 add comment="Hurricane Electric IPv6 Tunnel Broker" disabled=no \ local-address=194.105.56.170 mtu=1280 name=sit1 remote-address=216.66.80.90
/ipv6 route add comment="" disabled=no distance=1 dst-address=2000::/3 gateway=2001:470:27:37e::1 \ scope=30 target-scope=10
/ipv6 address add address=2001:470:27:37e::2/64 advertise=no disabled=no eui-64=no interface=sit1
Эти команды позволят поднять туннель с брокером IPv6, этого достаточно для подключения к сайтам, поддерживающим IPv6. Для того,.чтобы раздать адреса 6 версии на компьютеры локальной сети, добавьте адрес на интерфейс, смотрящий в локалку (может быть как bridge, так и Ethernet или Vlan)
/ipv6 address add address=2001:470:28:37e:: interface=bridge-local advertise=yes
Разрешите DNSv6 для раздачи
/ipv6 nd set [ find default=yes ] advertise-dns=yes
И добавьте IPv6 DNS servers (в примере Google public DNS servers, можете добавить дополнительно DNS От Hurricane Electric — 2001:470:20::2)
/ip dns set allow-remote-requests=yes servers=2001:4860:4860::8888,2001:4860:4860::4444
Далее настраиваем firewall ipv4
firewall filter add chain=input action=accept protocol=41 firewall filter add chain=output action=accept protocol=41
Далее заходим http://ipv6-test.com/ и проверяем работу ipv6
Не забудьте настроить Firewall на IPv6!!!
Базовый Firewall IPv6 для маршрутизаторов MikroTik
/ipv6 firewall filter
add action=drop chain=input connection-state=invalid in-interface=\
ether1-gateway
add action=accept chain=input connection-state=established,related \
in-interface=ether1-gateway
add action=accept chain=forward connection-state=established,related \
in-interface=ether1-gateway
add action=accept chain=input dst-port=546 in-interface=ether1-gateway \
protocol=udp
add action=accept chain=forward in-interface=bridge-lan out-interface=\
ether1-gateway
add action=accept chain=input in-interface=ether1-gateway protocol=icmpv6
add action=accept chain=forward in-interface=ether1-gateway protocol=icmpv6
add action=drop chain=input in-interface=ether1-gateway log=yes
add action=drop chain=forward in-interface=ether1-gateway
Услуги настройки программных и аппаратных Firewall Cisco, Windows СПб
Администрируем сети Cisco.
Настраиваем устройство сетевой безопасности Cisco ASA, в том числе FirePower 5, 6 версий.
Cisco Catalyst. Настройка VPN — туннелей.
Компания “Интегрус” предоставляет услуги подключения и настройки firewall — аппаратных и/или программных межсетевых экранов (сетевых фильтров) для обеспечения безопасности работы сети.
Корпоративная сеть включает в себя множество сегментов разного уровня доступа, в ней обмениваются между собой информацией территориально удаленные офисы и филиалы, а пользователи получают доступ к интернету с использованием разнообразных служб. Это создаёт дополнительную угрозу несанкционированного доступа к данным и ресурсам компании.
Для того, чтобы избежать этих рисков, необходима профессиональная установка и настройка межсетевого экрана (брандмауэра или firewall) — устройства, анализирующего трафик с точки зрения заданных ему правил и определяющего, можно ли передавать этот трафик по сети.
В зависимости от потребностей заказчика, мы можем предложить firewall двух типов:
- аппаратный файрвол (сетевой фильтр) — отдельное устройство “между” вашей сетью и интернетом, обеспечивает защиту всей сети сразу. Преимущества: его относительно просто развертывать и использовать, высокая производительность и надежность, небольшие размеры и энергопотребление.
- программный файрвол-антивирус — ПО, которое устанавливается на каждую машину в сети (и на сервера, и на рабочие станции). Преимущества: невысокая стоимость, возможность защитить сеть не только снаружи, но и изнутри, можно развернуть на уже имеющемся оборудовании. С другой стороны, он создает дополнительную нагрузку на ПК, необходимо следить за его обновлением и настройками на всех рабочих станциях, что приводит к дополнительным затратам рабочего времени.
Наши специалисты всегда тщательно изучают задачи клиента и особенности его сетевой инфраструктуры, подбирают оптимальный вариант и лишь потом выполняют подключение сетевого фильтра и настройку правил firewall.
Отправить заявку
Настройка firewall Cisco ASA
Решения Cisco — одни из самых популярных в мире в области сетевых технологий. Установка межсетевого экрана Cisco ASA предоставит в ваше распоряжение высокопроизводительную и надежную платформу безопасности.
У специалистов “Интегрус” есть опыт успешного внедрения, настройки межсетевых экранов Сisco и создания защищённых VPN-туннелей с их использованием.
Настройка firewall MikroTik
Firewall роутера MikroTik выгодно отличается от других соотношением сравнительно невысокой цены и широкой функциональности, хотя по степени надежности значительно уступает брандмауэрам Cisco ASA.
Возможна базовая и расширенная настройка firewall в MikroTik RouterOS, система правил позволяет гибко настроить фильтрацию трафика, классифицировать пакеты по IP, MAC-адресу, порту, протоколу, содержимому, размеру и времени получения.
Настройка firewall D-link
Межсетевой экран D-Link — одно из самых доступных по цене решений в области сетевой безопасности, его могут позволить себе даже самые небольшие организации. Он также сравнительно хорошо справляется с задачей защиты сетей от различных угроз при невысоком потенциальном уровне угрозы.
Настройка межсетевых экранов разных типов
Специалисты “Интегрус” могут выполнить подключение и настройку файерволов самых различных типов, вне зависимости от того, какая ОС у вас используется:
Аппаратные межсетевые экраны:
- Cisco ASA firewall
- MicroTik firewall
- D-Link firewall
- Juniper firewall
- Check Point firewall
- настройка межсетевого экрана ZyXEL
Программные межсетевые экраны:
- настройка межсетевого экрана Windows (Windows Firewall Control)
- настройка Comodo firewall
- CentOS firewall
- Outpost firewall
- Kerio WinRoute firewall
- FreeBSD firewall
- Debian firewall
и других, а также разработать для вас политики информационной безопасности.
Увеличьте уровень безопасности корпоративной сети, снизьте риски от возможного несанкционированного доступа, заказав услуги настройки программных межсетевых экранов у компьютерных специалистов “Интегрус”.
Заказать настройку firewall в СПб можно, позвонив нам или оставив заявку у нас на сайте.
Оставить заявку
Как мы работаем
Настройка Mikrotik RouterOS (SIP через NAT) — Виртуальная АТС «ВирТел»
Часто пользователи IP телефонии сталкиваются с проблемой односторонней слышимости. Проблема в том, что в SIP протоколе, в части где описываются возможности голосового соединения (кодеки, IP адреса и порты обмена) — в протоколе SDP (Session Description Protocol), имеется запись о IP адресе на котором клиент ожидает соединения, и этот IP адрес, естественно является «серым», то есть из сети, которая находится за NAT-ом. А прямое соединение на этот немаршрутизируемый IP естественно невозможно. Однако, все современные IP шлюзы, понимают, что такая ситуация может возникнуть и разруливают её соответствующим образом — то есть они не обращают внимание на этот адрес, а пакеты шлют на тот адрес с которого приходят к нему пакеты, то есть на наш реальный IP, находящийся на выходе из NAT.
SIP телефоны (софтфоны) вполне корректно работают из под NAT, и порты никакие пробрасывать не надо.
В процессе изучения Mikrotik и анализа проходящего VoIP трафика, выяснилось, что роутер по умолчанию лезет в SIP/SDP протокол и подменяет установленный там IP на свой внешний (так называемый SIP ALG). Таким образом, со стороны это выглядит так, как будто и нет никакого NAT-а. И всё в порядке, и всё в общем то работает. Однако если у вас проблема с односторонней слышимостью, то вам необходимо отключить SIP ALG на роутере. Делается это следующей командой в консоли RouterOS
/ip firewall service-port disable sip
Еще одна часто возникающая проблема с роутерами Mikrotik — это зависшие UDP соединения. По наблюдениям это происходит в результате цепочки событий
1. Происходит отключение Интернет соединения
2. Устройство, находящееся за NAT, отправляет запрос в сторону SIP сервера
3. Создается ошибочная запись в таблице conntrack
4. Интернет соединение восстанавливается
5. Таблица NAT netfilter не может получить корректную информацию для новых запросов
В результате SIP-устройства не могут зарегистрироваться, хотя запросы отправляются (клиенты Ростелеком с подключением по технологии PON страдают в первую очередь, т.к. раз в сутки биллинг провайдера принудительно разрывает сессию) .
TCPDUMP в данной ситуации показывает, что UAC отправляет в сторону сервера REGISTER, сервер отвечает запросом авторизации (SIP/2.0 401 Unauthorized), а в ответ ничего не приходит. Лечится это либо перезагрузкой роутера или удалением UDP соединений из консоли Mikrotik
/ip firewall connection remove [find where protocol=udp and dst-address~":5060"]
или так
/ip firewall connection remove [find where connection-type=sip and assured=no]
Если нет возможности перезагрузить роутер или удалить UDP сессии, то можно попробовать выключить SIP устройство на 15-20 минут и потом включить снова.
Если проблема не постоянная, а то появляется, то исчезает, то возможно поможет отключение технологии fastpath (необходимо перезагрузить роутер после выполнения этих команд)
/ip settings set allow-fast-path=no
/ip firewall filter disable [/ip firewall filter find where action=fasttrack-connection]
В новых версиях RouterOS появился параметр sip-timeout, который теоретически может помочь в решении данной проблемы. Попробуйте выполнить следующую команду
/ip firewall service-port set sip disabled=no ports=5060,5061 sip-direct-media=yes sip-timeout=5m
Базовая настройка фаервола в Микротик | Анвар Худайбергенов
Сегодня хочу поподробнее раскрыть тему защиты роутеров популярной латвийской марки. Речь пойдет о базовой настройке Firewall в Mikrotik для обеспечения безопасности и удобства. Статья на эту тему была написана уже давно, но я решил ее полностью переделать и актуализировать.
Данная статья является частью единого цикла статьей про Mikrotik
Введение
Долгое время у меня была опубликована статья про простую настройку файрвола на микротик. Там были перечислены базовые правила для ограничения доступа к роутеру, и тем не менее, статья собрала более 200 тыс. просмотров. Потом была вторая версия статьи, в которой тем не менее были неточности. После пройденного обучения, я актуализирую ее в третий раз.
Некоторое время назад я обновил и актуализировал статью про базовую настройку mikrotik. В комментариях многие люди пеняли мне на то, что я совсем не уделил внимание настройке фаервола. Мне не захотелось мешать все в кучу, поэтому я пишу отдельную подробную статью на эту тему, а в настройке роутера оставлю ссылку на нее.
Итак, будем считать, что вы уже настроили роутер примерно так же, как я описал в своей статье. Есть локальная сеть, которая будет выходить в интернет через микротик. И есть сам микротик, который хочется защитить, ограничив доступ для всего лишнего, разрешив только то, что нам нужно.
192.168.88.1локальный адрес микротикаbridge1-lanназвание бриджа, в который объединены все интерфейсы для локальной сетиether1-wanинтерфейс для внешнего подключения WAN192.168.88.0/24локальная сеть, которую обслуживает микротик
Default firewall в Mikrotik
Если вы используете дефолтную конфигурацию роутера, то она по-умолчанию имеет стандартные правила firewall. Привожу список стандартных правил (rules) с комментариями. Напоминаю, что экспорт правил firewall в mikrotik можно выполнить следующей командой:
>> ip firewall export file=rules
Вот список стандартных правил:
/ip firewall filter
add action=accept chain=input comment=»defconf: accept established,related,untracked» connection-state=established,related,untracked
add action=drop chain=input comment=»defconf: drop invalid» connection-state=invalid
add action=accept chain=input comment=»defconf: accept ICMP» protocol=icmp
add action=drop chain=input comment=»defconf: drop all not coming from LAN» in-interface-list=!LAN
add action=accept chain=forward comment=»defconf: accept in ipsec policy» ipsec-policy=in,ipsec
add action=accept chain=forward comment=»defconf: accept out ipsec policy» ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=»defconf: fasttrack» connection-state=established,related
add action=accept chain=forward comment=»defconf: accept established,related, untracked» connection-state=established,related,untracked
add action=drop chain=forward comment=»defconf: drop invalid» connection-state=invalid
add action=drop chain=forward comment=»defconf: drop all from WAN not DSTNATed» connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment=»defconf: masquerade» ipsec-policy=out,none out-interface-list=WAN
В принципе, по приведенным комментариям примерно понятно, что тут происходит. Дропаются все входящие и транзитные соединения не из локальной сети, разрешен пинг — icmp, разрешен ipsec, разрешены установленные соединения. Все. Ну и настроен NAT через WAN интерфейс.
Во многих случаях данных правил по-умолчанию может быть достаточно обычному пользователю, который просто настроил маршрутизатор дома для выхода в интернет. Берите на вооружение, если вам от маршрутизатора больше ничего не надо.
Если же вы хотите получше разобраться в устройстве firewall и попробовать настроить его самостоятельно, то давайте разбираться дальше вместе.
Firewall и базовая настройка безопасности
Давайте теперь немного порассуждаем, зачем нужен файрвол и какие вопросы он решает. Причем не только в контексте микротика, а вообще. Сейчас каждый доморощенный админ рассказывает, как важно всегда настраивать firewall, иногда даже не понимая, для чего он нужен. Лично я не сторонник создания лишних сущностей, поэтому там где межсетевой экран не нужен, я его не настраиваю.
Сетевой экран позволяет настраивать доступ как к самому шлюзу, так и к ресурсам за ним. Допустим, у вас не запущено никаких сервисов на роутере, и нет никакого доступа извне в локальную сеть. У вас есть какая-то служба на шлюзе, с помощью которой к нему подключаются и управляют (ssh, winbox, http и т.д.), причем ограничение доступа к этой службе настраивать не планируется. Вопрос — зачем вам в таком случае настраивать фаервол? Что он будет ограничивать и какие правила туда писать? В таком случае вам будет достаточно отключить все сервисы на роутере, которые слушают подключения из вне и все.
На самом деле такой кейс очень популярный дома или в мелких организациях, где нет постоянного админа. Просто настроен какой-то роутер, поднят NAT и все. Я понимаю, что не правильно не настраивать ограничения на доступ к управлению, но я рассказываю, как часто бывает. То есть firewall должен решать конкретную задачу по ограничению доступа к ресурсам, а не существовать просто так, чтобы был.
Еще популярны случаи, когда настроена куча правил, а в конце все равно стоит accept для всех подключений. Такие ляпы я сам иногда делал, когда отлаживал где-то работу сервиса и забывал потом вернуть обратно ограничения. Фаервол вроде настроен, но реально его нет. Если отключить — ничего не изменится.
К чему я все это написал? К тому, что прежде чем настраивать firewall, надо определиться с тем, для чего мы это делаем. Какие разрешения или ограничения и для кого мы будем вводить. После этого можно переходить к настройке.
В своем примере я буду настраивать межсетевой экран на микротике, находясь в локальной сети. Вам всегда советую поступать так же. Есть старая админская примета — удаленная настройка файрвола к дальнему пути.
Safe Mode
У Mikrotik есть интересное средство в виде Safe Mode, которое позволяет относительно безопасно настраивать Firewall удаленно. Суть его очень простая. Вы включаете этот режим через соответствующую настройку.
Далее, если вы некорректно выйдете из этого режима, то все созданные вами настройки будут отменены. Корректным выходом из режима является ручное его отключение через ту же настройку. Таким образом, если во время настройки фаервола у вас пропала связь из-за неверного правила или по какой-то другой причине, Микротик откатит обратно сделанные вами изменения и вы сможете снова подключиться к роутеру.
В терминале этот режим включается комбинацией клавиш CTRL+X. Время ожидания, перед откатом изменений максимум 9 минут (время TCP timeout). Подробнее об этом режиме можно почитать в официальной документации.
Порядок расположения правил в Firewall
Перед началом настройки firewall в mikrotik, отдельно остановлюсь на одном очень важном моменте — порядке расположения правил. Многие, да и я сам ранее, не придавал большого значения этому, так как не сталкивался с высокими нагрузками на сетевое оборудование. Если нагрузки нет, то разницу не замечаешь. Тем не менее, лучше ее понимать.
Пакеты проходят по списку правил по порядку, сверху вниз. Если пакет соответствует какому-то правилу, то он прекращает движение по цепочке. Из этого следует важный вывод — первыми в цепочке должны быть правила, которые охватывают максимальный объем трафика, чтобы он дальше не обрабатывался устройством. Примером такого правила является разрешение пакетов уже установленных (established) или связанных (related) соединений, которые ранее были разрешены каким-то правилом. Повторно проверять по всем правилам их не нужно. Сделаем такое правило для цепочки input — входящие соединения роутера.
Я сначала приведу это правило в виде команды для терминала, который вы можете открыть через winbox. Введите это правило через консоль, а потом уже изучите через визуальное представление. Переходим в соответствующий раздел IP -> Firewall и добавляем правило. Рекомендую всегда ставить комментарии для правил. Так их проще анализировать.
/ip firewall filter
add action=accept chain=input comment=»accept establish & related» connection-state=established,related
В дефолтном правиле фаервола сюда же добавлены untracked подключения. Я не стал их добавлять, так как обычно не использую данную возможность. Untracked — это пакеты, не отслеживаемые connection tracker. То есть идущие мимо многих функций фаервола. В конце статьи я отдельно расскажу об этой возможности.
Цепочки правил
Первое правило фаервола для цепочки input мы уже написали, но при этом я забыл немного рассказать о существующих цепочках правил в микротиковском фаерволе. Они наследуются из линуксового фаервола iptables. По сути, в mikrotik работает именно он.
- Input — пакеты, отправленные на сам роутер. Если вы подключаетесь к нему по ssh или winbox, пакеты попадают как раз в эту цепочку.
- Forward — транзитные пакеты, идущие через маршрутизатор. Например, в локальную сеть за ним, или из нее. Все запросы в интернет через маршрутизатор микротик будут попадать в цепочку forward.
- Output — пакеты, отправленные с маршрутизатора. Например, микротик синхронизирует время с внешними ntp серверами. Эти запросы будут попадать в цепочку output.
При составлении правил firewall нет смысла пытаться как-то перемешивать правила из разных цепочек. Они все равно будут читаться по порядку в соответствии с той цепочкой, в которую попадает пакет. Поэтому я обычно сначала описываю все правила для input, потом для forward и в конце, в случае необходимости, для output.
Примеры готовых правил
Двигаемся дальше. Одно правило у нас есть, рисуем следующее. Отбрасываем все неверные (Invalid) пакеты. Это чистой воды паразитный трафик. Его пакеты не являются частью ни одного из отслеживаемых соединений. Поэтому чем раньше мы их отбросим, тем меньше они будут нагружать дальше фаервол проверками.
add action=drop chain=input comment=»drop invalid» connection-state=invalid
Дальше не буду приводить скрины, очень хлопотно их под каждое правило делать, да и нет смысла. Просто вставляйте через консоль правила и изучайте их сами в winbox. Разрешаем icmp трафик, чтобы можно было пинговать роутер.
add action=accept chain=input comment=»accept ICMP» protocol=icmp
Соответственно, если хотите его заблокировать, то вместо action=accept сделайте drop, или просто не пишите правило, если в конце у вас будет полная блокировка всего, что не разрешено явно.
Дальше я обычно разрешаю подключаться к портам, отвечающим за управление роутером (ssh, winbox, https) с доверенных ip адресов. Подробно этот вопрос я рассмотрю отдельно ниже, поэтому пока это правило пропустим.
Создаем заключительное правило для цепочки input, которое будет блокировать все запросы, пришедшие не из локальной сети. В моем примере у меня локальная сеть подключена к бриджу bridge1-lan. В него входят все порты, подключенные в локалку.
add action=drop chain=input comment=»drop all not from lan» in-interface=!bridge1-lan
В этом правиле я использовал отрицание !bridge1-lan, то есть все, что не относится к указанному бриджу.
На текущий момент мы запретили все запросы из вне к роутеру, кроме пингов. При этом доступ из локальной сети полный. Настроим теперь правила для транзитного трафика цепочки forward. Здесь по аналогии с input первыми идут правила для established, related, invalid пакетов.
add action=accept chain=forward comment=»accept established,related» connection-state=established,related
add action=drop chain=forward comment=»drop invalid» connection-state=invalid
Теперь запретим все запросы из внешней сети, связь с которой через интерфейс ether1-wan к локальной сети.
add action=drop chain=forward comment=»drop all from WAN to LAN» connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan
Что такое dstnat мы рассмотрим чуть позже, когда будем разбираться с NAT. На этом список базовых правил закончен. Дальше немного пояснений на тему того, что у нас получилось.
Важное замечание, о котором я забыл упомянуть. По умолчанию, в Mikrotik Firewall нормально открытый. Это значит, все, что не запрещено явно, разрешено.
На текущий момент у нас запрещены все входящие соединения, кроме пинга. При этом разрешены все запросы из локальной сети во внешнюю, так как мы не указали никаких блокирующих правил для этого, а значит, все открыто. Покажу для примера, что нужно сделать, чтобы запретить все запросы из локалки и разрешить, к примеру, только http и https трафик.
Для этого мы сначала создаем разрешающее правило для 80 и 443 портов. Если используете внешний DNS сервер для запросов из сети, не забудьте разрешить еще и 53 порт UDP, иначе dns запросы не будут проходить и страницы загружаться не будут, даже если разрешить http трафик.
add action=accept chain=forward comment=»accept http & https from LAN» dst-port=80,443 in-interface=bridge1-lan out-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment=»accept dns from lan» dst-port=53 in-interface=bridge1-lan out-interface=ether1-wan protocol=udp
Разрешил http и dns трафик, так как в моем тестовом окружении используется внешний dns сервер. Теперь блокируем все остальные запросы по цепочке forward из локальной сети.
add action=drop chain=forward comment=»drop all from LAN to WAN» in-interface=bridge1-lan out-interface=ether1-wan
Когда я писал статью, завис минут на 10 и не мог понять, почему не работает разрешающее правило для http. Я его несколько раз проверил, все верно было. Тут и ошибиться негде, но страницы из интернета не грузились в браузере. Чтобы разобраться, я просто включил логирование для последнего запрещающего правила.
После того, как сделал это, увидел, что у меня блокируется dns трафик по 53-му порту. После этого сделал для него разрешение и все заработало как надо.
Забыл предупредить. Если вы с нуля настраиваете фаервол в микротик, то доступа в интернет из локальной сети у вас еще нет. Для этого нужно настроить NAT, чем мы займемся в следующем разделе. Так что пока отложите тестирование правил и вернитесь к ним, когда настроите NAT.
Когда у вас что-то не получается, смело включайте логирование запрещающих правил и вы быстро поймете в чем проблема. Это универсальный совет для настройки любого фаервола. Только не забудьте в конце отладки отключить логирование. Иногда я это забывал сделать. Если использовалось какое-то хранилище для логов, оно быстро забивалось, так как в блокирующие правила попадает очень много запросов.
Итак, мы настроили базовый нормально закрытый firewall в микротике. У нас запрещено все, что не разрешено явно, в том числе и для трафика из локальной сети. Скажу честно, я редко так делал, потому что хлопотно постоянно что-то открывать из локальной сети (skype, teamviewer и т.д.). В общем случае, если нет повышенных требований безопасности, в этом нет необходимости. Блокирование не разрешенного трафика можно включать в случае необходимости.
Итоговый список правил, которые получились:
/ip firewall filter
add action=accept chain=input comment=»accept establish & related» connection-state=established,related
add action=drop chain=input comment=»drop invalid» connection-state=invalid
add action=accept chain=input comment=»accept ICMP» protocol=icmp
add action=drop chain=input comment=»drop all not from lan» in-interface=!bridge1-lan
add action=accept chain=forward comment=»accept established,related» connection-state=established,related
add action=drop chain=forward comment=»drop invalid» connection-state=invalid
add action=drop chain=forward comment=»drop all from WAN to LAN» connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan
add action=accept chain=forward comment=»accept http & https from LAN» dst-port=80,443 in-interface=bridge1-lan out-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment=»accept dns from LAN» dst-port=53 in-interface=bridge1-lan out-interface=ether1-wan protocol=udp
add action=drop chain=forward comment=»drop all from LAN to WAN» in-interface=bridge1-lan out-interface=ether1-wan
Пока у нас еще не настроен выход в интернет для локальной сети. Сделаем это далее, настроив NAT.
Настройка NAT в микротик
С натом в микротике есть один важный нюанс, о котором я не знал, пока не прочитал презентацию одного из сотрудников, которую я в итоге перевел — My «holy war» against masquerade. Я всегда и везде использовал masquerade для настройки NAT. К тому же это действие предлагается и в дефолтной конфигурации. По своей сути masquerade — частный случай src-nat, который следует использовать в том случае, если у вас не постоянный ip адрес на внешнем интерфейсе. Причем, в некоторых случаях с masquerade могут быть проблемы. Какие именно — описаны в презентации.
Таким образом, если у вас постоянный ip адрес, то для NAT используйте src-nat, если динамический — masquerade. Разница в настройках минимальна.
Для того, чтобы пользователи локальной сети, которую обслуживает роутер на микротике, смогли получить доступ в интернет, настроим на mikrotik NAT. Для этого идем в раздел IP -> Firewall, вкладка NAT и добавляем простое правило.
/ip firewall nat
add action=src-nat chain=srcnat out-interface=ether1-wan to-addresses=10.20.1.20
В данном случае 10.20.1.20 ip адрес на wan интерфейсе. Если не постоянный ip адрес на wan интерфейсе, то делаем с masquerade.
add action=masquerade chain=srcnat out-interface=ether1-wan
Все, NAT настроен, пользователи могут выходить в интернет. Теперь предлагаю проверить работу firewall, который мы настроили. Сбросьте все счетчики в правилах.
Теперь сгенерируйте как можно больше трафика и посмотрите, через какие правила он будет идти. Можно воспользоваться сервисом от Яндекса по измерению скорости интернета — https://yandex.ru/internet/.
Большая часть трафика прошла по правилу с established, related соединениям, минимально нагружая роутер своей обработкой в контексте именно фаервола. Особенно это будет актуально, если у вас много правил в firewall. Важно их расположить в правильном порядке.
Проброс портов
Покажу на простом примере, как при настроенном NAT и включенном фаерволе выполнить проброс порта в mikrotik для доступа к службе в локальной сети. Пробросить порт можно в той же вкладке NAT в настройках Firewall.
Для примера выполним проброс порта rdp из интернета через микротик. Извне будет открыт порт 41221, а проброс будет идти на локальный адрес 192.168.88.200 и порт 3389.
add action=dst-nat chain=dstnat dst-port=41221 in-interface=ether1-wan protocol=tcp to-addresses=192.168.88.200 to-ports=3389
Если у вас остальной фаревол микротика настроен по поему описанию выше, то проброс порта уже заработает и больше ничего делать не надо. Так как у нас правило на блокировку запросов из вне в локальную сеть сделано с учетом исключения цепочки dstnat, все будет работать сразу. Напоминаю это правило.
add action=drop chain=forward comment=»drop all from WAN to LAN» connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan
Если вы настраивали firewall ранее по каким-то другим материалам, там могло быть другое правило, без учета dstnat, например вот так:
add action=drop chain=forward comment=»drop WAN -> LAN» in-interface=ether1-wan out-interface=bridge1-lan
К такому правилу надо обязательно выше добавить разрешающее, примерно вот так:
add action=accept chain=forward comment=»accept WAN -> LAN RDP» dst-address=192.168.88.200 dst-port=3389 in-interface=ether1-wan protocol=tcp
Я настоятельно не рекомендую открывать доступ к rdp порту для всего интернета. Лично имел печальный опыт в такой ситуации. Обязательно настройте ограничение доступа по ip к этому порту, если такое возможно. Если невозможно, то не пробрасывайте порт, а сделайте доступ по vpn. Ограничение по ip делается просто. Добавляем еще один параметр Src. Address в правило проброса порта.
Если используется список ip адресов, который будет меняться, проще сразу в правиле проброса указать на список, а потом править уже сам список. Для этого его надо создать. Создать список ip можно на вкладке Address List. Добавим список:
Возвращаемся в правило проброса порта, переходим на вкладку Advanced и добавляем указанный список в Src. Adress List
Теперь для изменения списка доступа к проброшенному порту не надо трогать само правило. Достаточно отредактировать список.
На этом по настройке NAT и пробросу портов на Mikrotik все. Надеюсь, у меня получилось подробно и понятно объяснить основные моменты и некоторые нюансы.
Защита подключения через winbox
Расскажу отдельно о том, как защитить подключение по winbox с помощью firewall. В микротиках время от времени находят критические уязвимости. Единственным способом надежно от них защититься — ограничить доступ к winbox с помощью фаервола. После этого можно спать спокойно и делать обновления системы не экстренно, после публикации уязвимости, а планово.
В рассмотренном ранее списке правил для фаервола заблокированы все внешние подключения полностью. Это самый безопасный вариант настроек. Иногда нужен доступ к удаленному управлению. Если невозможно создать статический список ip адресов, для которых будет разрешено подключение, то выходом в этом случае настроить vpn сервер на микротике и подключаться через vpn. Это хоть и менее безопасно прямого ограничения на уровне списка ip адресов, но все равно значительно лучше, чем оставлять доступ через winbox без ограничения через интернет.
Тема настройки vpn в mikrotik выходит за рамки данной статьи. Читайте отдельный материла на этот счет. Сделаем простое ограничение доступа к управлению на уровне ip. Для начала создадим список IP адресов, которым будет разрешено подключаться удаленно к winbox.
Добавляем правило в Firewall. Оно должно быть выше правила, где блокируются все входящие соединения.
add action=accept chain=input comment=»accept management for white-list» dst-port=8291 in-interface=ether1-wan protocol=tcp src-address-list=winbox_remote
В вкладке Advanced указываем список:
В разделе action ставим accept. Так мы обезопасили удаленный доступ через winbox. Считаю это самым простым и безопасным способом защиты микротика. Если есть возможность ограничений по ip, всегда используйте. Это универсальный способ, годный для любого случая и системы, не только в отношении Mikrotik.
В современном мире ИТ постоянно находят уязвимости. Невозможно всегда оперативно ставить обновления. Зачастую, эти обновления могут либо нарушить работу системы, либо содержать другие уязвимости. Только ограничение доступа к службам и системам позволяет более ли менее надежно защититься и спать спокойно, не торопясь обновляться со всех ног при обнаружении очередной критической уязвимости.
Итоговый список правил после всех наших настроек в этой статье должен получиться примерно таким.
Fasttrack
В дефолтном правиле firewall mikrotik включен режим Fasttrack. Я в своих правилах его обычно не использую. Попробую своими словами объяснить, что это такое. Я долго пытался вникнуть в суть этой технологии, когда разбирался.
Fasttrack — проприетарная технология Mikrotik, позволяющая маркировать ip пакеты для более быстрого прохождения пакетного фильтра. Включить режим маркировки пакетов fasttrack очень просто. Достаточно добавить в цепочку forward первым следующее правило:
/ip firewall filter add action=fasttrack-connection chain=forward comment=fasttrack connection-state=established,related
Дальше остаются все те же самые правила, что я описал ранее в статье.
В этом режиме пакеты перемещаются по упрощенному маршруту в пакетном фильтре, поэтому не работают следующие технологии обработки пакетов:
- firewall filter;
- mangle rules;
- queues с parrent=global;
- IP accounting;
- IPSec;
- hotspot universal client;
- VRF;
За счет того, что маршрут обработки пакетов более короткий, он меньше нагружает процессор в ущерб функционалу. Если вы ничего из перечисленного не используете, то можно пользоваться fasttrack. Однако, чаще всего нужны queues, поэтому от него приходится отказываться. Если же у вас не используются очереди и какие-то особенные правила в firewall, то можете использовать технологию.
Чтобы убедиться, что режим fasttrack работает, можно посмотреть раздел Mangle. Счетчик с маркированными пакетами должен расти.
И в завершении по fasttrack важное замечание — он не работает в CHR. Я с этим столкнулся лично, когда тестировал. У меня тестовое окружение настроено на CHR и там fasttrack не работал. Причем его можно включить, но все счетчики пакетов будут нулевыми. Реально технология не работает.
Как на микротике отключить файрвол
Для того, чтобы полностью отключить Firewall на микротике, достаточно просто отключить или удалить все правила в списке. По умолчанию, в mikrotik используются разрешающие правила. Все, что не запрещено — разрешено, то есть firewall нормально открытый. Если у вас нет ни одного активного правила, можно считать, что файрвол отключен, так как он пропускает все соединения без ограничений.
Вот пример отключенного фаервола на микротике 🙂
Итоговый список правил, настроенный по этой статье, получился вот такой:
/ip firewall address-list
add address=10.20.1.1 list=winbox_remote
/ip firewall filter
add action=accept chain=input comment=»accept establish & related» connection-state=established,related
add action=drop chain=input comment=»drop invalid» connection-state=invalid
add action=accept chain=input comment=»accept ICMP» protocol=icmp
add action=accept chain=input comment=»accept management for white-list» dst-port=8291 in-interface=ether1-wan protocol=tcp src-address-list=winbox_remote
add action=drop chain=input comment=»drop all not from lan» in-interface=!bridge1-lan
add action=accept chain=forward comment=»accept established,related» connection-state=established,related
add action=drop chain=forward comment=»drop invalid» connection-state=invalid
add action=drop chain=forward comment=»drop all from WAN to LAN» connection-nat-state=!dstnat connection-state=new in-interface=ether1-wan
add action=accept chain=forward comment=»accept http & https from LAN» dst-port=80,443 in-interface=bridge1-lan out-interface=ether1-wan protocol=tcp
add action=accept chain=forward comment=»accept dns from lan» dst-port=53 in-interface=bridge1-lan out-interface=ether1-wan protocol=udp
add action=drop chain=forward comment=»drop all from LAN to WAN» in-interface=bridge1-lan out-interface=ether1-wan
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-wan
add action=dst-nat chain=dstnat dst-port=41221 in-interface=ether1-wan protocol=tcp to-addresses=192.168.88.200 to-ports=3389
Заключение
Не понравилась статья и хочешь научить меня администрировать? Пожалуйста, я люблю учиться. Комментарии в твоем распоряжении. Расскажи, как сделать правильно!
На этом все по базовой настройке firewall на mikrotik. Постарался показать максимально подробно базовый набор правил фаервола для обеспечения безопасности и защиты локальной сети и самого роутера.
Мой список правил не сильно отличается от дефолтного. Привел его последовательно по правилу, чтобы просто объяснить логику, как нужно рассуждать и действовать при добавлении правил. В качестве самостоятельной работы предлагаю добавить правило, разрешающее пинги из локальной сети в интернет. Если самостоятельно не получилось сделать, напишите в комментарии, я приведу рабочий пример.
Тема эта обширная, наверняка у кого-то есть замечания и свои советы по предложенной настройке. Тут нет универсальных правил на все случаи жизни. Firewall в микротике основан на линуксовых iptalbes, а это безграничное поле для маневра.
Статья взята с сайта: https://serveradmin.ru/
Настройка firewall на роутере Mikrotik
Роутеры компании Mikrotik достаточно популярны и установлены в домах или офисах у многих пользователей. Основной безопасности работы с таким оборудованием является верно настроенный firewall. Он включает в себя набор параметров и правил, позволяющих обезопасить сеть от посторонних соединений и взломов.
Настраиваем firewall роутера Mikrotik
Настройка маршрутизатора осуществляется с помощью особой операционной системы, которая позволяет использовать веб-интерфейс или специальную программу. В двух этих версиях присутствуют все необходимое для редактирования файервола, поэтому не имеет значения, чему вы отдадите предпочтение. Мы же остановимся на браузерной версии. Перед началом вам необходимо выполнить вход:
- Через любой удобный браузер перейдите по адресу
192.168.88.1
. - В стартовом окне веб-интерфейса роутера выберите «Webfig».
- Перед вами отобразится форма для входа. Введите в строках логин и пароль, которые по умолчанию имеют значения
admin
.
Детальнее о полной настройке роутеров данной компании вы можете узнать в другой нашей статье по ссылке ниже, а мы перейдем непосредственно к конфигурации защитных параметров.
Подробнее: Как настроить роутер Mikrotik
Очищение листа правил и создание новых
После входа перед вами отобразится главное меню, где слева присутствует панель со всеми категориями. Перед добавлением собственной конфигурации вам потребуется выполнить следующее:
- Разверните категорию «IP» и перейдите в раздел «Firewall».
- Очистите все присутствующие правила нажатием на соответствующую кнопку. Произвести это необходимо для того, чтобы в дальнейшем не возникало конфликтов при создании собственной конфигурации.
- Если вы вошли в меню через браузер, переход к окну создания настройки осуществляется через кнопку «Add», в программе же вам следует нажать на красный плюс.
Теперь, после добавления каждого правила, вам нужно будет кликать на эти же кнопки создания, чтобы заново развернуть окно редактирования. Давайте подробнее остановимся на всех основных параметрах безопасности.
Проверка связи устройства
Соединенный с компьютером роутер иногда проверяется операционной системой Windows на наличие активного подключения. Запустить такой процесс можно и вручную, однако доступно это обращение будет только в том случае, если в файерволе присутствует правило, разрешающее связь с ОС. Настраивается оно следующим образом:
- Нажмите на «Add» или красный плюс для отображения нового окна. Здесь в строке «Chain», что переводится как «Сеть» укажите «Input» – входящий. Так это поможет определить, что система обращается к маршрутизатору.
- На пункт «Protocol» установите значение «icmp». Данный тип служит для передачи сообщений, связанных с ошибками и другими нестандартными ситуациями.
- Переместитесь в раздел или вкладку «Action», где поставьте «Accept», то есть такое редактирование разрешает проводить пинговку устройства Windows.
- Поднимитесь вверх, чтобы применить изменения и завершить редактирование правила.
Однако на этом весь процесс обмена сообщениями и проверки оборудования через ОС Виндовс не заканчивается. Вторым пунктом является передача данных. Поэтому создайте новый параметр, где укажите «Сhain» — «Forward», а протокол задайте таким, как это сделали на предыдущем шаге.
Не забудьте проверить «Action», чтобы там было поставлено «Accept».
Разрешение установленных подключений
К роутеру иногда подключаются другие устройства посредством Wi-Fi или кабелей. Кроме этого может использоваться домашняя или корпоративная группа. В таком случае потребуется разрешить установленные подключения, чтобы не возникало проблем с доступом в интернет.
- Нажмите «Add». Снова укажите тип входящий тип сети. Опуститесь немного вниз и поставьте галочку «Established» напротив «Connection State», чтобы указать установленное соединение.
- Не забывайте проверить «Action», чтобы там был выбран необходимый нам пункт, как и в предыдущих конфигурациях правил. После этого можно сохранить изменения и перейти далее.
Еще в одном правиле поставьте «Forward» возле «Chain» и отметьте галочкой тот же пункт. Действие также следует подтвердить, выбрав «Accept», только после этого переходите далее.
Разрешение связанных подключений
Примерно такие же правила потребуется создать и для связанных подключений, дабы не возникало конфликтов при попытке аутентификации. Весь процесс осуществляется буквально в несколько действий:
- Определите для правила значение «Chain» — «Input», опуститесь вниз и отметьте галочкой «Related» напротив надписи «Connection State». Не забудьте и про раздел «Action», где активируется все тот же параметр.
- Во второй новой настройке тип соединения оставьте такой же, а вот сеть установите «Forward», также в разделе действия вам необходим пункт «Accept».
Обязательно сохраняйте изменения, чтобы правила добавлялись в список.
Разрешение подключений из локальной сети
Пользователи локальной сети смогут подключаться только в том случае, когда это установлено в правилах firewall. Для редактирования вам сначала потребуется узнать, куда подключен кабель провайдера (в большинстве случаев это ether1), а также IP-адрес вашей сети. Детальнее об этом читайте в другом нашем материале по ссылке ниже.
Подробнее: Как узнать IP-адрес своего компьютера
Далее нужно настроить всего один параметр. Делается это следующим образом:
- В первой строке поставьте «Input», после чего опуститесь к следующей «Src. Address» и напечатайте там IP-адрес. «In. Interface» укажите «Ether1», если входной кабель от провайдера подключен именно к нему.
- Переместитесь во вкладку «Action», чтобы проставить там значение «Accept».
Запрет ошибочных соединений
Создание этого правила поможет вам предотвращать ошибочные соединения. Происходит автоматическое определение недостоверных подключений по определенным факторам, после чего производится их сброс и им не будет предоставлен доступ. Вам нужно создать два параметра. Делается это следующим образом:
- Как и в некоторых предыдущих правилах, сначала укажите «Input», после чего опуститесь вниз и поставьте галочку «invalid» возле «Connection State».
- Перейдите во вкладку или раздел «Action» и установите значение «Drop», что означает сброс соединений такого типа.
- В новом окне измените только «Chain» на «Forward», остальное выставьте так, как и в предыдущем, включая действие «Drop».
Можно также запретить и другие попытки соединения из внешних источников. Осуществляется это настройкой всего одного правила. После «Chain» — «Input» проставьте «In. Interface» — «Ether1» и «Action» — «Drop».
Разрешение прохождения трафика из локальной сети в интернет
Работа в операционной системе RouterOS позволяет разрабатывать множество конфигураций прохождения трафика. Мы не будет останавливаться на этом, поскольку обычным пользователям такие знания не пригодятся. Рассмотрим только одно правило файервола, позволяющее проходить трафику из локальной сети в интернет:
- Выберите «Chain» — «Forward». Задайте «In. Interface» и «Out. Interface» значения «Ether1», после чего отметьте восклицательным знаком «In. Interface».
- В разделе «Action» выберите действие «Accept».
Запретить остальные подключения вы можете тоже всего одним правилом:
- Выберите только сеть «Forward», не выставляя больше ничего.
- В «Action» убедитесь, что стоит «Drop».
По итогу конфигурации у вас должна получится примерно такая схема firewall, как на скриншоте ниже.
На этом наша статья подходит к логическому завершению. Хотелось бы отметить, что вам не обязательно применять все правила, ведь не всегда они могут потребоваться, однако мы продемонстрировали основную настройку, которая подойдет большинству рядовых пользователей. Надеемся, предоставленная информация была полезной. Если у вас остались вопросы по этой теме, задавайте их в комментариях.
Мы рады, что смогли помочь Вам в решении проблемы.
Опишите, что у вас не получилось.
Наши специалисты постараются ответить максимально быстро.
Помогла ли вам эта статья?
ДА НЕТ
MikroTik CHR: Базовая защита системы
Руководство по защите основных систем.
Первое, что нужно рассмотреть! Если вы оставите стандартные порты служб и не измените имя пользователя и пароль как можно скорее, вероятность быть скомпрометированной.
Здесь вы найдете основных шагов для защиты вашего MikroTik CHR от вторжения.
Будьте осторожны при установке ограничивающих (отбрасывающих) правил, вы можете ограничить собственный доступ к маршрутизатору.
Используйте кнопку «Безопасный режим», пока вы не уверены, к чему могут привести изменения.
В CLI «Безопасный режим» включается / выключается комбинацией [Ctrl] + [X].
Не забудьте выйти из «Безопасного режима» после того, как все изменения будут подтверждены как работающие правильно, в противном случае они будут отменены после выхода из системы.
1. Первый и самый важный:
Создать новое имя пользователя и пароль с полными правами
Удалить значение по умолчанию
2.Измените порты служб таким образом, чтобы неиспользуемые службы были отключены, а те, которые будут использоваться, не использовали порты по умолчанию. Это очень полезно против ботов. Используйте порты по вашему выбору, но не перекрывая зарезервированные системные порты.
https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers#Well-known_ports
Например:
Отключить API, API-SSL, Telnet, FTP, WWW и WWW-SSL.
Изменить порт для SSH с 22 на 22221
Порт
WinBox НЕ следует изменять, поскольку приложение Windows не поддерживает указание порта назначения.
3. Добавьте правила брандмауэра / фильтрации:
Цепочка INPUT:
[[электронная почта защищена]]> фильтр брандмауэра IP add action = accept chain = input comment = «Разрешить пинг ICMP» протокол = icmp
[[email protected]]> ip firewall filter add action = accept chain = input comment = «Разрешить WinBox» dst-port = 8291 protocol = tcp
[[email protected]]> ip firewall filter add action = accept chain = input comment = «Разрешить SSH» dst-port = 22221 protocol = tcp
[[email protected]]> ip firewall filter add action = accept chain = input comment = «Принять установленные соединения» состояние соединения = установлено
[[email protected]]> ip firewall filter add action = accept chain = input comment = «Accept related connections» connection-state = related
[[email protected]]> ip firewall filter add action = accept chain = input comment = «Разрешить DNS для доверенной сети» dst-port = 53 protocol = udp src-address = 192.168.99.0 / 24
[[email protected]]> ip firewall filter add action = drop chain = input comment = «Отбросить все остальное»
Цепь ВПЕРЕД:
В облачном маршрутизаторе таблица пересылки может сильно отличаться в зависимости от конкретного сценария использования.
[[email protected]]> ip firewall filter add action = drop chain = forward comment = «Отбросить недопустимые соединения» состояние соединения = недопустимое
4.Необязательно: для большей безопасности вы можете легко ограничить доступ к маршрутизатору, приняв только домашний или офисный IP-адрес, с которого вы будете изменять конфигурацию маршрутизатора:
Это должно быть сделано для всех правил, разрешающих соединение через служебные порты (SSH и WinBox).
Обратите внимание, что приведенные выше правила межсетевого экрана НЕ являются полной защитой! Это только самые основные правила, и они должны быть добавлены или изменены в соответствии с реальной настройкой!
Пока все хорошо!
Посетите наш веб-сайт и выберите решение для хостинга:
Вы можете создать собственный VPN или арендовать хороший и дешевый выделенный сервер.
У нас отличный и надежный веб-хостинг.
https://bgocloud.com
Настройка межсетевого экрана
на MikroTik Router || Учебник по брандмауэру Mikrotik
Брандмауэр: брандмауэр — это процесс сетевой безопасности, который контролирует исходящий и входящий сетевой трафик, который контролируется Mikrotik Router. Сегодня мы узнаем, как заблокировать веб-сайт и фильтрацию веб-сайтов. мы можем заблокировать определенный веб-сайт в нашей сети. Сегодня мы покажем, как Facebook и YouTube будут запрещены в нашей сети.. + (facebook | youtube). * $ Применить> OK
Шаг 2: IP> Брандмауэр> Правила фильтра + Общие> Цепочка = Вперед> Src. Адрес = 172.16.0.100 Применить> ОК
Шаг 3: IP> Брандмауэр> Правила фильтрации + Расширение> 7-уровневый протокол = выберите Блокировать сайт> Применить> ОК
Шаг 4: IP> Брандмауэр > Правила фильтра> Действие> сбросить> Применить> ОК
Теперь все полностью настроено.Теперь вы можете установить IP-адрес своего ноутбука 172.16.0.100 и просматривать Facebook и YouTube.
Когда вы просматриваете Facebook и YouTube, отображается сообщение «Доступ запрещен».
Конфигурация брандмауэра для индивидуального IP-адреса:
Как будет разрешен индивидуальный IP-адрес: если вы хотите создать индивидуальный IP-адрес, который будет просматривать каждый сайт, вы можете создать под этим правилом
Шаг 1: IP> Брандмауэр> Правила фильтрации + General> Chain = Forward> Src Address = 192.168.1.98> Apply> OK
step2: IP> Firewall> Action = Accept> Apply> OK
step3: IP> Firewall> Filter Rules > щелкните и перетащите правило принятия (должно быть выше правила принятия)
Вы можете просмотреть видеоурок для лучшего понимания
Почему перенаправление портов в Mikrotik RouterOS застревает на SYN_RECV?
Я хочу настроить перенаправление порта tcp
порт 8000
-> 192.168.1.16: 4200
на моем Mikrotik RouterOS.
Я сделал следующее:
/ ip firewall nat add dstnat chain = dstnat action = dst-nat to-addresses = 192.168.1.16 to-ports = 4200 protocol = tcp dst-address =
Когда я пытаюсь использовать службу из Интернета, просто зависает следующая команда:
curl
Я вижу, как счетчики движутся по правилу NAT Mikrotik (через WebBox).
На целевой машине я вижу следующее в netstat -an | grep 4200
:
tcp 0 0 0.0.0.0:4200 0.0.0.0:* СЛУШАТЬ
tcp 0 0 192.168.1.16:4200 : 37720 SYN_RECV
Я подтвердил, что могу подключиться к машине локально через curl 192.168.1.16:4200
.
Не могу понять, что может быть не так 🙁
ОБНОВЛЕНИЕ: Правила фильтра межсетевого экрана:
/ ip фильтр межсетевого экрана
добавить действие = принять цепочку = входной комментарий = "defconf: принять установленное, связанное, неотслеживаемое" состояние соединения = установлено, связанное, неотслеживаемое
add action = drop chain = input comment = "defconf: drop invalid" состояние соединения = недопустимое
добавить действие = принять цепочку = входной комментарий = "defconf: принять ICMP" протокол = icmp
add action = drop chain = input comment = "defconf: отбросить все, что не поступает из LAN" in-interface-list =! LAN
добавить действие = accept chain = forward comment = "defconf: accept in ipsec policy" ipsec-policy = in, ipsec
добавить действие = accept chain = forward comment = "defconf: принять политику ipsec" ipsec-policy = out, ipsec
add action = fasttrack-connection chain = forward comment = "fasttrack - за исключением ipsec" метка подключения =! ipsec connection-state = установлено, связано
добавить действие = принять цепочку = вперед комментарий = "defconf: принять установленное, связанное, неотслеживаемое" состояние соединения = установлено, связанное, неотслеживаемое
add action = drop chain = forward comment = "defconf: drop invalid" состояние соединения = недопустимое
add action = drop chain = forward comment = "defconf: отбросить все из WAN без DSTNATed" connection-nat-state =! dstnat-state = new in-interface-list = WAN
Доступ к маршрутизатору Mikrotik через Интернет
Доступ к маршрутизатору Mikrotik через WinBox через Интернет
По умолчанию Mikrotik не разрешает соединение с WinBox через WAN.Вот как это изменить.
Из WinBox или через Интернет:
- Щелкните IP, затем Firewall, затем Filter Rules.
- Щелкните +, чтобы добавить новое правило.
- Изменить цепочку на вход.
- Изменить протокол на tcp.
- Изменить Dst. Порт 80 (Интернет) или 8291.
- Щелкните вкладку «Действие» и убедитесь, что для параметра «Действие» установлено значение «Принять».
- Щелкните «Комментарий» и назовите его примерно так: «winbox».
- Щелкните OK.
ВАЖНО:
Ваше новое правило фильтра будет внизу списка. Перетащите его вверх над последним правилом «отбрасывания» из конфигурации по умолчанию.
Правила фильтра сопоставляются по порядку. Они начинают сверху и работают над каждым из них. Если ваше новое правило — ПОСЛЕ правила «отбрасывания», оно не будет работать.
Через командную строку правила будут выглядеть так:
/ ip firewall filter add chain = input protocol = tcp dst-port = 80 disabled = no action = accept
/ ip firewall filter add chain = input protocol = tcp dst-port = 80 disabled = no action = accept |
Чтобы забрать список, вы можете сделать это:
/ ip фильтр брандмауэра печать
/ ip firewall filter move 30 destination = 1
/ ip firewall filter print / ip firewall filter move 30 destination = 1 |
Или в самой команде мы указываем, что вам нужно разместить правило в самом начале списка:
/ ip firewall filter add chain = input protocol = tcp dst-port = 80 disabled = no action = accept place before 0
/ ip firewall filter add chain = input protocol = tcp dst-port = 80 disabled = no action = accept поставить перед 0 |
Также в меню IP -> Services в параметрах нужной услуги вы можете добавить Available From из списка IP-адресов, с которых вы хотите разрешить доступ.Доступ ограничен как локальными, так и внешними адресами, поэтому в первую очередь вам нужно добавить IP или подсеть, к которой вы в данный момент подключены.
Я приведу пример указания IP через терминал, например, для telnet (аналогично ftp, www, ssh, winbox):
/ ip service set telnet address = 192.168.1.0 / 24,172.16.205.50 / 32,192.168.3.24 / 32
/ ip service set telnet address = 192.168.1.0 / 24,172.16.205.50 / 32,192.168.3.24 / 32 |
MikroTik Port Forward Динамический IP
Как перенаправить порты при использовании динамического IP-адреса с Mikrotik RouterBoard.
Что такое перенаправление портов?
В компьютерных сетях переадресация портов или сопоставление портов — это приложение преобразования сетевых адресов (NAT), которое перенаправляет запрос связи с одного адреса и комбинации номера порта на другой, пока пакеты проходят через сетевой шлюз, такой как маршрутизатор или межсетевой экран. Этот метод чаще всего используется для того, чтобы сделать сервисы на хосте, находящемся в защищенной или замаскированной (внутренней) сети, доступными для хостов на противоположной стороне шлюза (внешней сети), путем переназначения IP-адреса назначения и номера порта связи на внутренний хост
Перенаправление портов в маршрутизаторе Mikrotik
Пухлая и грязная версия.Версия для командной строки находится под инструкциями Winbox. Допустим, у вас есть DVR со статическим IP-адресом 192.168.1.200, и вам нужно перенаправить порт 3999.
Предполагая, что у вас динамический IP-адрес, есть другой способ для статических IP-адресов или подсетей.
в Winbox
1. Перейдите IP -> Firewall -> NAT (Изображение 1).
2. Щелкните «+», чтобы добавить новое правило NAT. Измените «Цепочку» на «dstnat», «Протокол» на «tcp» и «Dst.Порт »на« 3999 ». Установите «In. Интерфейс »к вашему WAN-порту. (Примечание: вы сообщаете маршрутизатору, что любой трафик, поступающий из Интернета на порт 3999, должен соответствовать этому правилу. Если вы забудете этот шаг, маршрутизатор будет захватывать ЛЮБОЙ трафик на порт 3999 и отправлять его на IP-адрес, указанный в следующем шаг) (Изображение 2).
3. Щелкните вкладку «Действие», измените значение «Действие» на «dst-nat», «К адресам» на «192.168.1.200» и «К портам» на «3999» (Изображение 3).
Версия терминала
Введите следующее значение в окно Терминала, чтобы ввести это правило переадресации портов.
/ IP межсетевой экран nat
добавить действие = цепочка dst-nat = dstnat отключена = нет dst-port = 3999 in-interface = ether1-gateway protocol = tcp to-addresses = 192.168.1.200 to-ports = 3999
Связанные
Как настроить маршрутизатор MikroTik для работы с шлюзом HotSpot
Как минимум, мы отвечаем на вопросы клиентов о настройке их маршрутизаторов MikroTik для различных функций. В этом блоге мы расскажем, как настроить маршрутизаторы MikroTik для работы с HotSpot Gateway.
HotSpots отлично подходят для малых предприятий, которые хотят предоставлять своим клиентам Wi-Fi, не беспокоясь о том, что их сеть будет взломана. Это также может быть полезным инструментом для компаний, у которых есть сотрудники WFH. Какой бы ни была причина того, что вы хотите настроить свой MikroTik с активированной функцией шлюза HotSpot, мы предоставим вам необходимые шаги для этого. Наше руководство ниже основано на настройке MikroTik HotSpot сервера Mudasir Mirza , которую мы также рекомендуем прочитать — мы также добавили некоторые полезные детали.
Если вы еще не заходили в наш блог о первоначальной настройке маршрутизатора MikroTik, начните с него. В противном случае читайте дальше, чтобы узнать, как настроить маршрутизатор MikroTik для шлюза HotSpot.
Назначение и особенности HotSpot
Шлюз MikroTik HotSpot обеспечивает аутентификацию для клиентов перед доступом к общедоступным сетям. HotSpot надежно работает только при использовании протокола IPv4; HotSpot использует правила NAT межсетевого экрана, которые не поддерживаются IPv6.
Характеристики шлюза HotSpot:
- Различные методы аутентификации клиентов с использованием локальной клиентской базы данных на маршрутизаторе или удаленном сервере RADIUS
- Учет пользователей в локальной базе данных на маршрутизаторе или на удаленном сервере RADIUS
- Система огороженного сада, доступ к некоторым веб-страницам без авторизации
- Модификации страницы входа для компаний
- Автоматическое и прозрачное изменение любого IP-адреса клиента на действующий адрес
Настройка MikroTik HotSpot
Самый простой способ настроить сервер HotSpot на маршрутизаторе MikroTik — через портал WebFig.Войдите в свой маршрутизатор, вставив его IP-адрес в строку поиска и введя свои учетные данные администратора.
Вы должны попасть на главный экран. Найдите кнопки в правом верхнем углу с надписью Quick Set , WebFig и Terminal . Нажмите кнопку Терминал .
Во-первых, нам нужно настроить интерфейс, подключенный к WAN. Введите ниже в терминал и нажмите ввод:
IP-адрес добавить адрес = 192.168.1.5 / 24 сеть = 192.168.1.0 широковещательная передача = 192.168.1.255 интерфейс = ether1
Примечание: вы не сможете скопировать и вставить код в терминал. Вам нужно будет ввести его, так что будьте осторожны, чтобы не ошибиться!
Теперь нам нужно настроить второй интерфейс для нашей локальной сети. Введите ниже в терминал и нажмите ввод:
IP-адрес добавить адрес = 10.10.0.1 / 24 сеть = 10.10.0.0 широковещательная передача = 10.10.0.255 интерфейс = ether2
Оба интерфейса теперь настроены.
Настройка DNS
Далее мы настроим DNS-сервер.
- Нажмите кнопку вверху с надписью WebFig . Вы должны попасть на экран с несколькими кнопками в левой части экрана.
- Выберите стрелку раскрывающегося списка IP , затем щелкните DNS . Введите соответствующую информацию, предоставленную вашим интернет-провайдером, и убедитесь, что установлен флажок Разрешить удаленные запросы .
- Примените свои настройки, затем перейдите к кнопке Routes в левой части экрана.
Настройка маршрутов
- Нажмите кнопку Добавить новый вверху экрана.
- В поле Gateway введите IP-адрес шлюза вашего интерфейса WAN. Примените свои настройки, затем перейдите к кнопке HotSpot в левой части экрана.
Настройка HotSpot
- Щелкните кнопку с надписью HotSpot setup в верхней части экрана. Выберите ether2 , так как это интерфейс, подключенный к локальной сети.
- На следующем экране будет запрошен локальный адрес сети. Здесь ничего менять не нужно, поэтому просто нажмите Далее .
- На следующей странице будет запрашиваться диапазон IP-адресов, который будет использоваться DHCP-сервером для предоставления IP-адресов клиентам. Убедитесь, что диапазон IP-адресов приемлем для сервера. По завершении нажмите Далее .
- Выберите «Нет» для сертификата. Щелкните Далее .
- Щелкните Далее .
- Нам не нужно вносить какие-либо изменения в этот экран, потому что мы уже настроили это на более раннем этапе.Щелкните Далее .
- Теперь вам нужно определить имя вашего сервера, по которому клиенты могут получить доступ к странице входа в HotSpot через веб-браузер. Введите желаемое имя и нажмите Далее .
- Последний шаг — создать пользователя. По умолчанию он создает пользователя-администратора без пароля. Здесь вы можете установить пароль и имя пользователя для пользователя по умолчанию. Измените значения, если хотите, затем щелкните Далее .
Теперь ваш сервер HotSpot настроен.Попробуйте войти, чтобы убедиться, что он работает правильно.
Minim является партнером по программному обеспечению Made for MikroTik и предоставляет инструменты для простой настройки этих маршрутизаторов. Ознакомьтесь с конфигурациями по умолчанию, которые Minim обеспечивает безопасность маршрутизатора MikroTik.
1 Доступ к NAT и VPN (GUI)
Эйдан Чард
16 февраля 2018
Это техническое руководство покажет вам, как настроить маршрутизатор Mictrotik с трансляцией NAT 1: 1 и безопасным доступом к VPN.
1.Выполнение начальной настройки
Начальная настройка должна выполняться через интерфейс командной строки (CLI)
Войдите в систему, используя пароль администратора и пароль по умолчанию.
Первое, что нужно сделать, это определить сетевые интерфейсы, выполнив следующую команду:
[admin @ Mikrotik]> interface ethernet print Flags: X - disabled, R - running, S - slave # NAME MTU MAC-ADDRESS ARP 0 R ether2 1500 00: 25: 90: 60: 4C: A9 включен 1 R ether1 1500 00: 25: 90: 60: 4C: A8 включен
Теперь мы можем связать, какая сетевая карта будет LAN и WAN
, чтобы избежать путаницы , вы можете переименовать интерфейсы в более подходящие.В этом случае ether2 будет LAN, а ether1 будет WAN.
Следующая команда переименует интерфейсы.
[admin @ Mikrotik]> набор интерфейсов 0 name = LAN [admin @ Mikrotik]> набор интерфейсов 1 name = WAN
Числовое значение 0 представляет # в списке
Выполните следующую команду, чтобы подтвердить, что изменение завершено.
[admin @ Mikrotik]> интерфейс Ethernet печать Флаги: X - отключено, R - работает, S - подчиненное устройство. # ИМЯ MTU MAC-АДРЕС ARP 0 R LAN 1500 00: 25: 90: 60: 4C: A9 включен 1 R WAN 1500 00: 25: 90: 60: 4C: A8 включен
1.1 Измените пароль администратора
Я рекомендую выполнить этот шаг, потому что пароль администратора по умолчанию пуст, вы можете легко стать
целью атаки грубой силы, если вы управляете администрированием извне сети
Для выполнения этого изменения используйте следующие команды :
[admin @ Mikrotik]> пользовательский набор 0 пароль = MY-NEW-PASSWORD
1.2 Добавление IP-адреса в Mikrotik
Следующие команды добавят ваш статический общедоступный IP-адрес в интерфейс WAN и частный IP-адрес интерфейса LAN, где 0.0.0.0 — это общедоступный IP-адрес:
[admin @ Mikrotik]> IP-адрес добавить адрес = 0.0.0.0 / 24 comment = "Management" interface = WAN [admin @ Mikrotik]> IP-адрес добавить адрес = 192.168.1.1 / 24 комментарий = Mikrotik-ip interface = LAN
1.3 Добавить шлюз по умолчанию
Следующая команда установит IP-адрес шлюза, где 0.0.0.0 — общедоступный IP-адрес:
[admin @ Mikrotik]> ip route add comment = "Default GW" расстояние = 1 шлюз = 0,0.0.1
Вы можете получить доступ к маршрутизатору Mikrotik через Winbox, если вы находитесь вне сети, используйте общедоступный IP-адрес или если вы находитесь в сети, используйте внутренний IP-адрес.
1.4 Добавление дополнительных IP-адресов
При подключении через Winbox в меню выберите IP> Адреса. Затем нажмите кнопку +, добавьте IP-адрес и настройте интерфейс для его добавления, как показано ниже:
2. Natting
В этом разделе мы настроим преобразование сетевых адресов 1: 1 (NAT).NAT относится к тому, когда частный IP-адрес сопоставляется с внешним частным, поэтому в этом случае 192.168.1.1 будет сопоставлен с 0.0.0.0 (наш общедоступный IP-адрес)
Перейдите в Меню и в IP> Брандмауэр перейдите на вкладку «NAT». Это должно быть установлено как для входящего, так и для исходящего. Выберите «Добавить»:
2.1 Входящий трафик
Здесь вы хотите выбрать «dstnat» в разделе «Цепочка», а затем ввести общедоступный IP-адрес в Dst. Адресный раздел.
Затем перейдите на вкладку «Действие» и выберите «dst-nat» в поле «Действие» и, наконец, введите внутренний частный IP-адрес в поле «К адресам».
На этом завершено правило для входящего трафика, теперь нужно настроить правила для исходящего трафика.
2.2 Исходящий трафик
Выберите «Src-nat» в разделе «Цепочка», а затем частный IP-адрес в поле «Src. Поле адреса, за которым следует интерфейс WAN в поле Out. Раздел интерфейса:
На вкладке «Действие» выберите «Src-nat» в поле «Действие» и введите общедоступный IP-адрес в поле «Кому», как показано ниже:
На этом правила брандмауэра для исходящих и входящих сообщений завершены. — Теперь мы можем перейти к окончательным правилам брандмауэра.
2.3 Разрешение компьютерам внутри сети доступ в Интернет
Следующие правила разрешат всем компьютерам внутри сети доступ в Интернет.
Добавьте новое правило брандмауэра и перейдите на вкладку Общие. Выберите «src-nat» в поле «Цепочка», а в поле «Src. Адрес выберите диапазон сети, которому будет разрешен доступ в Интернет. В этом случае используется / 16, поскольку мы собираемся использовать другую подсеть для VPN. В аут. В разделе «Интерфейс» выберите WAN-интерфейс для общедоступного IP-адреса.
Наконец, на вкладке «Действие» выберите «src-nat» в поле «Действие» и свой общедоступный IP-адрес в поле «Кому».
На этом мы завершаем правила межсетевого экрана для настройки NAT.
3. Настройка L2TP-сервера
В этом разделе мы настроим и настроим L2TP-сервер для безопасного доступа через VPN к нашей сети.
3.1 Настройка пула адресов VPN
В меню выберите IP> Пул. Настройте пул IP-адресов, как показано ниже:
Не забудьте зарезервировать 1 IP-адрес из выбранного диапазона, в этом случае мы зарезервируем 192.168.2.1.
3.2 Настройка профиля VPN
В Меню перейдите в раздел PPP.
Измените профиль по умолчанию, выбрав зарезервированный IP-адрес на шаге 3.1 в поле Локальный адрес и выбрав пул VPN в поле Удаленный адрес, как показано ниже:
3.3 Включение сервера L2TP
В меню еще раз перейдите к PPP и нажмите кнопку L2TP Server:
Здесь вам нужно будет выбрать Enabled, выбрать профиль «по умолчанию» в поле Default Profile и выбрать IPSec с секретным ключом для вашей настройки.
Не забудьте также установить «IP-адрес» в поле Тип идентификатора вызывающего абонента.
3.4 Создание пользователей VPN
В этом разделе мы создадим пользователя, чтобы разрешить доступ к VPN
В меню перейдите в PPP и выберите вкладку «Секреты». Нажмите кнопку +, чтобы добавить нового пользователя.
Введите имя пользователя и пароль в соответствующие поля, выберите l2tp в качестве службы и профиль по умолчанию из шага 3.2 :
ДОПОЛНИТЕЛЬНЫЙ ШАГ: Если вы хотите предоставить пользователю статический IP-адрес, введите его в поле « Удаленный адрес », как мы делали выше.
Теперь вы можете получить доступ к VPN с помощью имени пользователя, пароля и предварительного общего ключа.
4. Правила фильтрации
В этом разделе мы настроим последние правила брандмауэра, чтобы указать, что разрешено входить или выходить из сети
Помните, что правила фильтрации зависят от номера правила, поэтому 0 будет первое правило фильтрации межсетевого экрана.
В меню выберите IP> Брандмауэр и перейдите на вкладку Правила фильтрации. Щелкните +, чтобы создать новое правило.
В поле «Цепочка» выберите «вперед». Выберите внутренний частный IP-адрес в Dst. Поле адреса и, наконец, выберите протокол и порты назначения для трафика, который будет обрабатываться. Выберите WAN для In. Интерфейс, как показано ниже:
Наконец, на вкладке «Действие» выберите «принять» в поле «Действие»:
Это правило брандмауэра будет принимать TCP-трафик на порты 80 и 443 для HTTP и HTTPS.