Im Kontext der MikroTik-Firewall sind Ketten im Wesentlichen Regeln oder Verarbeitungssequenzen, die Datenpakete durchlaufen, um überprüft und gefiltert zu werden.

Jede Kette stellt einen bestimmten Punkt im Verkehrsfluss durch den Router dar, an dem Pakete gemäß den vom Netzwerkadministrator definierten Regeln ausgewertet und manipuliert werden können. Ketten ermöglichen eine detaillierte Klassifizierung und Kontrolle des Datenverkehrs und bieten große Flexibilität und Leistung bei der Netzwerksicherheitsverwaltung.

MikroTiks RouterOS definiert mehrere Standardketten in seiner Firewall, um den Netzwerkverkehr in verschiedene Verarbeitungsstufen zu kategorisieren, wie zum Beispiel:

1. zufuhr

Diese Kette verarbeitet eingehende Pakete, die an den Router selbst gerichtet sind. Es ist nützlich, zu steuern, wer auf den Router zugreifen kann, und Verbindungsversuche zu den vom Router angebotenen Diensten wie SSH, Winbox oder der Weboberfläche zu verwalten.

2. Output

Es verwaltet die Pakete, die der Router generiert und an das Netzwerk sendet. Die Verwendung von Regeln in dieser Kette kann nützlich sein, um den ausgehenden Datenverkehr vom Router zu bestimmten Zielen oder Diensten zu begrenzen.

3. vorwärts

Diese Kette befasst sich mit Paketen, die den Router passieren, also mit Datenverkehr, der nicht für den Router selbst bestimmt ist, sondern ihn lediglich von einer Schnittstelle zur anderen durchläuft. Die Regeln in dieser Kette sind entscheidend für die Implementierung von Sicherheitsrichtlinien zwischen verschiedenen Segmenten Ihres Netzwerks.

4. Prerouting und Postrouting

• Vorrouten: Verarbeitet Pakete, sobald sie vom Router empfangen werden, bevor die Routing-Entscheidung getroffen wird. Dies ist nützlich, um eingehende Pakete zu ändern, bevor sie durch Eingabe- oder Weiterleitungsregeln verarbeitet werden.
• Postrouting: Gilt für Pakete, nachdem ihre Route festgelegt wurde, sodass sie kurz vor dem Senden geändert werden können. Dies ist nützlich, um die Quelladresse von Paketen für Anwendungen wie NAT (Network Address Translation) zu ändern.

Anpassung und Erstellung von Ketten

Zusätzlich zu diesen vordefinierten Ketten können Benutzer mit RouterOS ihre eigenen benutzerdefinierten Ketten erstellen, um bestimmte Situationen zu bewältigen. Dies verleiht dem Firewall-System noch mehr Flexibilität und ermöglicht es Administratoren, sehr detaillierte Sicherheitsrichtlinien basierend auf ihren spezifischen Anforderungen zu entwerfen und anzuwenden.

Regeln innerhalb jeder Kette werden in sequentieller Reihenfolge verarbeitet, von der ersten Regel abwärts, bis ein Paket mit einer Regel übereinstimmt. Daher sind die Organisation und Reihenfolge der Regeln innerhalb einer Kette entscheidend für das gewünschte Verhalten der Firewall.

Zu den Aktionen, die für Pakete durchgeführt werden können, gehören unter anderem Zulassen, Ablehnen und Verwerfen, basierend auf Kriterien wie IP-Adressen, Ports, Protokollen und mehr.