Configurar correctamente el firewall en un router MikroTik es esencial para proteger tu red de accesos no autorizados y otros tipos de amenazas de seguridad. Aunque las reglas específicas pueden variar dependiendo de las necesidades y configuración de cada red, existen ciertas reglas y principios generales que son recomendados para la mayoría de los entornos.
A continuación, se detallan algunas de las reglas y prácticas recomendadas para las secciones de firewall filter, NAT, y otras configuraciones relevantes en RouterOS de MikroTik.
फ़ायरवॉलफ़िल्टर
फ़ायरवॉल फ़िल्टर का उद्देश्य राउटर से गुजरने वाले ट्रैफ़िक को नियंत्रित करना है, जिससे आप कुछ मानदंडों के आधार पर ट्रैफ़िक को ब्लॉक या अनुमति दे सकते हैं।
- राउटर तक अनधिकृत पहुंच को रोकें:
अपने स्थानीय नेटवर्क के बाहर से राउटर तक पहुंच को प्रतिबंधित करना सुनिश्चित करें। यह आमतौर पर 22 (SSH), 23 (टेलनेट), 80 (HTTP), 443 (HTTPS), और 8291 (Winbox) जैसे प्रबंधन पोर्ट को ब्लॉक करके किया जाता है।
/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"
2. सामान्य हमलों से बचाव:
अपने नेटवर्क को SYN फ्लड, ICMP फ्लड और पोर्ट स्कैनिंग जैसे सामान्य हमलों से बचाने के लिए नियम लागू करें।
SYN बाढ़ हमला
/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"
ICMP फ्लड अटैक
/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"
3. आवश्यक यातायात की अनुमति दें:
अपने नेटवर्क के लिए आवश्यक वैध ट्रैफ़िक की अनुमति देने के लिए नियम कॉन्फ़िगर करें। इसमें आपकी विशिष्ट आवश्यकताओं के आधार पर आंतरिक ट्रैफ़िक और इंटरनेट से आने-जाने वाला ट्रैफ़िक शामिल है।
मान लें कि आप केवल अपने स्थानीय नेटवर्क से SSH एक्सेस की अनुमति देना चाहते हैं:
/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"
4. बाकी सब कुछ छोड़ें:
सुरक्षा अभ्यास के रूप में, कोई भी ट्रैफ़िक जिसे पहले स्पष्ट रूप से अनुमति नहीं दी गई है, उसे अवरुद्ध किया जाना चाहिए। यह आम तौर पर आपके फ़ायरवॉल फ़िल्टर नियमों के अंत में एक नियम के साथ किया जाता है जो अन्य सभी ट्रैफ़िक को अस्वीकार या हटा देता है।
डिफ़ॉल्ट अस्वीकार नीति के रूप में कार्य करने के लिए इस नियम को आपके फ़िल्टर नियमों के अंत में रखा जाना चाहिए।
/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"
NAT (नेटवर्क एड्रेस ट्रांसलेशन)
NAT का उपयोग आमतौर पर आपके स्थानीय नेटवर्क पर निजी आईपी पते को इंटरनेट एक्सेस के लिए सार्वजनिक आईपी पते में अनुवाद करने के लिए किया जाता है।
- बहाना:
- क्रिया का प्रयोग करें
masquerade
श्रृंखला मेंsrcnat
अपने स्थानीय नेटवर्क पर कई उपकरणों को इंटरनेट एक्सेस के लिए एक सार्वजनिक आईपी पता साझा करने की अनुमति देना। यह उन नेटवर्कों के लिए आवश्यक है जो एकल सार्वजनिक आईपी के साथ ब्रॉडबैंड कनेक्शन के माध्यम से इंटरनेट तक पहुंचते हैं।
- क्रिया का प्रयोग करें
- आंतरिक सेवाओं के लिए DNAT:
- यदि आपको अपने नेटवर्क के बाहर से आंतरिक सेवाओं तक पहुंचने की आवश्यकता है, तो आप आने वाले ट्रैफ़िक को संबंधित निजी आईपी पर पुनर्निर्देशित करने के लिए डेस्टिनेशन NAT (DNAT) का उपयोग कर सकते हैं। सुनिश्चित करें कि आप ऐसा केवल आवश्यक सेवाओं के लिए करें और सुरक्षा निहितार्थों पर विचार करें।
अन्य सुरक्षा संबंधी बातें
- सॉफ्टवेयर अपडेट:
- ज्ञात कमजोरियों से बचाने के लिए अपने मिक्रोटिक राउटर को राउटरओएस और फर्मवेयर के नवीनतम संस्करण के साथ अपडेट रखें।
- परत 7 सुरक्षा:
- एप्लिकेशन-विशिष्ट ट्रैफ़िक के लिए, आप डेटा पैकेट में पैटर्न के आधार पर ट्रैफ़िक को ब्लॉक करने या अनुमति देने के लिए लेयर 7 नियमों को कॉन्फ़िगर कर सकते हैं।
- आईपी एड्रेस रेंज सीमा:
- कुछ राउटर सेवाओं तक पहुंच को केवल विशिष्ट आईपी एड्रेस रेंज तक सीमित करता है, जिससे अनधिकृत पहुंच का जोखिम कम हो जाता है।
याद रखें कि ये केवल सामान्य दिशानिर्देश हैं। आपका विशिष्ट फ़ायरवॉल कॉन्फ़िगरेशन आपकी सुरक्षा आवश्यकताओं, नेटवर्क नीतियों और प्रदर्शन संबंधी विचारों के विस्तृत मूल्यांकन पर आधारित होना चाहिए। इसके अतिरिक्त, संभावित कमजोरियों की पहचान करने और उन्हें कम करने के लिए नियमित रूप से नेटवर्क सुरक्षा परीक्षण करने की सलाह दी जाती है।
इस पोस्ट के लिए कोई टैग नहीं हैं.
2 comentarios en “¿Cuáles son las reglas que todo router MikroTik debería tener, en firewall filter, nat, etc?”
इस अनुभाग में जानकारी बहुत खराब है, मैंने सोचा था कि मुझे बहुत विस्तृत जानकारी मिलेगी लेकिन इंटरनेट पर खोज जारी रखने के लिए व्यावहारिक रूप से कुछ भी नहीं है।
जोस, आपकी टिप्पणी बहुत सटीक है, इसलिए मैंने दस्तावेज़ीकरण का विस्तार और अद्यतन करना शुरू कर दिया है।
मैं आपकी प्रतिक्रिया की बहुत सराहना करता हूं और मुझे आशा है कि अब इससे आपके संदेह दूर हो गए होंगे।