Le Firewall fonctionne selon des règles. Cela a 2 options :

• Le matcheur : Toutes les conditions doivent être vérifiées et doivent correspondre pour pouvoir postuler.
• L'action : Une fois que tous les paramètres correspondent et que la première vérification est réussie, l'action se poursuit.

Le matcheur analyser et comparer ces paramètres suivants :

• Adresse MAC source
• Adresses IP (réseau ou liste) et types d'adresses (broadcast, local, multicast, unicast)
• Port ou plage de ports
• Passerelle
• Options de protocole (champs de type et de code ICMP, indicateurs TCP, options IP)
• Interface par laquelle le paquet arrive ou part
• Octet DSCP
• Et beaucoup plus…

RouterOS peut filtrer par :

• Adresse IP, plage d'adresses, port, plage de ports
• Protocole IP, DSCP et autres paramètres
• Prend en charge les listes d'adresses statiques et dynamiques
• Vous pouvez faire correspondre les paquets par modèle dans leur contenu, spécifié dans les expressions régulières, connu sous le nom de correspondance de couche 7.

Le pare-feu RouterOS prend également en charge IPv6

Un pare-feu constitue une sorte de barrière devant notre ordinateur, cette barrière examine chaque paquet d'informations qui tente de le traverser. Sur la base de règles préalablement établies, le pare-feu décide quels paquets doivent passer et lesquels doivent être bloqués. De nombreux types de pare-feu sont capables de filtrer le trafic de données qui tente de quitter notre réseau, empêchant ainsi différents types de codes malveillants tels que les chevaux de Troie, les virus et les vers, entre autres, d'être efficaces. Le pare-feu agit comme intermédiaire entre notre ordinateur (ou notre réseau local) et Internet, filtrant le trafic qui le traverse.

Un pare-feu, comme déjà décrit, intercepte chaque paquet destiné et provenant de notre ordinateur, effectuant ce travail avant qu'un autre service puisse les recevoir. De ce qui précède, nous pouvons conclure qu'un pare-feu peut contrôler toutes les communications d'un système sur Internet.

Un port de communication est dit ouvert si le système renvoie une réponse à l'arrivée d'un paquet de demande d'établissement de connexion. Dans le cas contraire, le port est considéré comme fermé et personne ne peut s'y connecter. La force d'un pare-feu est qu'en analysant chaque paquet qui le traverse, il peut décider de le laisser passer dans un sens ou dans un autre, et il peut décider si les demandes de connexion à certains ports doivent recevoir ou non une réponse.

Les pare-feu se caractérisent également par leur capacité à conserver un enregistrement détaillé de tout le trafic et des tentatives de connexion qui se produisent (appelé journal). En étudiant les journaux, il est possible de déterminer les origines d'éventuelles attaques et de découvrir des modèles de communication qui identifient certains programmes malveillants. Seuls les utilisateurs disposant de privilèges administratifs peuvent accéder à ces journaux, mais c'est une fonctionnalité qui peut être exigée de ces applications.

https://help.mikrotik.com/docs/display/ROS/Basic+Concepts