Pour configurer des règles de pare-feu sur un routeur MikroTik qui autorisent l'accès à WinBox uniquement à un utilisateur spécifique, vous devez définir les règles en fonction de l'adresse IP de l'utilisateur.

WinBox est une application de gestion pour les appareils MikroTik qui utilise le port 8291 par défaut.

Voici comment créer des règles de pare-feu à cet effet à l'aide de l'interface de ligne de commande (CLI) MikroTik RouterOS :

Étape 1 : Autoriser l'accès à l'utilisateur spécifique

Tout d'abord, vous devez créer une règle qui autorise l'accès au port 8291 (utilisé par WinBox) uniquement à partir de l'adresse IP de l'utilisateur autorisé. Remplace 192.168.1.2 avec la véritable adresse IP de l'utilisateur.

/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=8291 src-address=192.168.1.2 comment="Permitir acceso WinBox a usuario específico"

Cette règle ajoute une exception au pare-feu pour accepter les connexions TCP sur le port 8291 uniquement si elles proviennent de l'adresse IP. 192.168.1.2.

Étape 2 : bloquer l'accès à tous les autres utilisateurs

Après avoir créé une règle autorisant l'accès à un utilisateur spécifique, vous devez vous assurer qu'aucun autre utilisateur ne peut y accéder via WinBox. Cela se fait en créant une règle qui bloque toute autre connexion au port 8291.

add action=drop chain=input protocol=tcp dst-port=8291 comment="Bloquear acceso WinBox a todos los demás"

Cette règle garantira que toutes les autres connexions au port 8291 qui n'ont pas été explicitement autorisées par les règles précédentes seront bloquées.

Considérations importantes

• Ordre des règles: Dans le pare-feu MikroTik, les règles sont traitées dans un ordre séquentiel de la première à la dernière. Par conséquent, il est crucial de placer la règle d’autorisation avant la règle de blocage, afin de garantir que l’utilisateur autorisé a accès avant que le blocage général ne soit appliqué.
• Sécurité supplémentaire: Envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que le remplacement du port par défaut de WinBox par un port moins courant afin de réduire le risque d'attaques automatisées.
• Accès à distance: Si l'utilisateur a besoin d'un accès à distance depuis l'extérieur du réseau local, assurez-vous que l'adresse IP publique à partir de laquelle il se connectera est celle que vous configurez dans la règle et envisagez d'utiliser des VPN ou des règles NAT source pour plus de sécurité.

Ces règles de pare-feu vous aideront à contrôler l'accès aux paramètres de votre routeur MikroTik via WinBox, en autorisant uniquement des utilisateurs spécifiques et en bloquant toute tentative non autorisée.