Om die firewall op 'n MikroTik-roeteerder korrek op te stel, is noodsaaklik om jou netwerk teen ongemagtigde toegang en ander soorte sekuriteitsbedreigings te beskerm. Alhoewel spesifieke reëls kan verskil na gelang van die behoeftes en konfigurasie van elke netwerk, is daar sekere algemene reëls en beginsels wat vir die meeste omgewings aanbeveel word.
Hieronder is 'n paar van die reëls en beste praktyke vir die firewall filter, NAT en ander relevante konfigurasie afdelings in MikroTik RouterOS.
FirewallFilter
Die doel van die brandmuurfilter is om die verkeer wat deur die router gaan, te beheer, sodat jy verkeer kan blokkeer of toelaat op grond van sekere kriteria.
- Blokkeer ongemagtigde toegang tot die router:
Maak seker dat jy toegang tot die router van buite jou plaaslike netwerk beperk. Dit word tipies gedoen deur bestuurpoorte te blokkeer, soos 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS) en 8291 (Winbox).
/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"
2. Beskerm teen algemene aanvalle:
Implementeer reëls om jou netwerk teen algemene aanvalle te beskerm, soos SYN-vloed, ICMP-vloed en poortskandering.
SYN Vloedaanval
/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"
ICMP Vloedaanval
/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"
3. Laat nodige verkeer toe:
Stel reëls op om wettige verkeer wat nodig is vir jou netwerk toe te laat. Dit sluit interne verkeer en verkeer na en van die internet in, gebaseer op jou spesifieke behoeftes.
As u aanvaar dat u slegs SSH-toegang vanaf u plaaslike netwerk wil toelaat:
/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"
4. Los al die ander:
As 'n sekuriteitspraktyk moet enige verkeer wat nie voorheen uitdruklik toegelaat is nie, geblokkeer word. Dit word tipies gedoen aan die einde van jou firewall-filterreëls met 'n reël wat alle ander verkeer verwerp of laat val.
Hierdie reël moet aan die einde van jou filterreëls geplaas word om as 'n verstek weieringsbeleid op te tree.
/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"
NAT (netwerkadresvertaling)
NAT word algemeen gebruik om private IP-adresse op jou plaaslike netwerk te vertaal na 'n openbare IP-adres vir internettoegang.
- Maskerade:
- Gebruik die aksie
masquerade
in die kettingsrcnat
om verskeie toestelle op jou plaaslike netwerk toe te laat om 'n openbare IP-adres vir internettoegang te deel. Dit is noodsaaklik vir netwerke wat toegang tot die internet verkry deur 'n breëbandverbinding met 'n enkele openbare IP.
- Gebruik die aksie
- DNAT vir interne dienste:
- As jy toegang tot interne dienste van buite jou netwerk moet kry, kan jy Destination NAT (DNAT) gebruik om inkomende verkeer na die ooreenstemmende private IP's te herlei. Maak seker jy doen dit net vir die nodige dienste en oorweeg die sekuriteitsimplikasies.
Ander veiligheidsoorwegings
- Sagteware-opdaterings:
- Hou jou MikroTik-roeteerder opgedateer met die nuutste weergawe van RouterOS en firmware om teen bekende kwesbaarhede te beskerm.
- Laag 7 Sekuriteit:
- Vir toepassingspesifieke verkeer kan jy Laag 7-reëls opstel om verkeer te blokkeer of toe te laat op grond van patrone in datapakkies.
- IP-adresreeksbeperking:
- Beperk toegang tot sekere roeteerderdienste slegs tot spesifieke IP-adresreekse, waardeur die risiko van ongemagtigde toegang verminder word.
Onthou dat dit slegs algemene riglyne is. Jou spesifieke firewall-konfigurasie moet gebaseer wees op 'n gedetailleerde evaluering van jou sekuriteitsbehoeftes, netwerkbeleide en prestasie-oorwegings. Daarbenewens is dit raadsaam om gereeld netwerksekuriteitstoetse uit te voer om potensiële kwesbaarhede te identifiseer en te versag.
Daar is geen merkers vir hierdie plasing nie.
2 opmerkings oor "Wat is die reëls wat elke MikroTik-roeteerder moet hê, in firewall filter, nat, ens?"
Die inligting in hierdie afdeling is baie swak, ek het gedink ek sal baie gedetailleerde inligting kry, maar daar is feitlik niks om voort te gaan soek op die internet
José, jou opmerking is baie akkuraat, so ek het voortgegaan om die dokumentasie uit te brei en op te dateer.
Ek waardeer jou terugvoer baie en ek hoop dat dit nou jou twyfel uit die weg ruim.