Ja, wanneer 'n IPsec-tonnel in MikroTik gevestig word, word dit aanbeveel en dikwels nodig om spesifieke firewall-reëls op te stel. Hierdie reëls is belangrik om verskeie redes, insluitend om die tonnel te beveilig, IPsec-verkeer deur die firewall toe te laat en jou netwerk te beskerm.

Ons verduidelik watter tipe reëls gewoonlik nodig is en hoekom:

1. Laat IPsec-verkeer toe

Om IPsec-verkeer deur jou MikroTik-toestel te laat vloei en die tonnel korrek te vestig, moet jy verseker dat die firewall die protokolle en poorte toelaat wat deur IPsec gebruik word. Dit sluit gewoonlik in:

• ESP (Encapsulating Security Payload): Laat IP 50-protokolverkeer toe, wat deur ESP gebruik word om vertroulikheid, verifikasie en integriteit te verskaf.
• AH (Authentication Header): Laat IP 51-protokolverkeer toe as AH in jou IPsec-konfigurasie gebruik word om verifikasie en integriteit sonder vertroulikheid te verskaf.
• IKE (Internet Key Exchange): Laat UDP-verkeer op poort 500 (en moontlik poort 4500 vir NAT-T) toe vir IKE, wat gebruik word vir sleuteluitruiling en sekuriteitsassosiasie-onderhandeling.

2. Beveilig die tonnel

Benewens om bloot IPsec-verkeer toe te laat, wil jy dalk reëls skep om verkeer deur die tonnel te beperk tot sekere soorte verkeer of na sekere IP-adresse om sekuriteit te verhoog. Dit kan reëls insluit vir:

• Laat slegs sekere soorte verkeer deur die tonnel toe.
• Beperk toegang deur die tonnel tot slegs sekere IP-adresse of subnette.

3. Aanvalbeskerming

Dit is belangrik om reëls te oorweeg om jou toestel en netwerk te beskerm teen aanvalle wat deur die IPsec-tonnel gefasiliteer kan word. Dit kan insluit:

• Beperk verbindingspogings tot die VPN om brute force-aanvalle te voorkom.
• Blokkeer abnormale of ongewenste verkeer wat nie in die tonnel teenwoordig moet wees nie.

Voorbeeld firewall-reël om IKE en ESP toe te laat:

gewone teksKopieer kode/ip firewall filter
add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE for IPsec"
add chain=input protocol=ipsec-esp action=accept comment="Allow ESP for IPsec"

Finale oorwegings:

• Orde van die Reëls: Die volgorde waarin jy jou reëls op die firewall plaas, is belangrik. Reëls word van bo af verwerk, so jy moet spesifieke reëls voor meer algemene reëls plaas om konflikte of ongewenste blokkering te vermy.
• Monitering en Onderhoud: Sodra die IPsec-tonnel en ooreenstemmende brandmuurreëls opgestel is, is dit goeie praktyk om tonnelverkeer en werkverrigting te monitor, asook om die firewallreëls periodiek te hersien om dit aan te pas soos nodig.

Om firewall-reëls op jou MikroTik-toestel behoorlik te konfigureer is noodsaaklik vir die sukses en sekuriteit van jou IPsec-tonnel.