Nel contesto del firewall MikroTik, le catene sono essenzialmente regole o sequenze di elaborazione attraverso le quali passano i pacchetti di dati per essere ispezionati e filtrati.

Ciascuna catena rappresenta un punto specifico nel flusso di traffico attraverso il router in cui i pacchetti possono essere valutati e manipolati secondo le regole definite dall'amministratore di rete. Le catene permettono di classificare e controllare il traffico in modo dettagliato, offrendo grande flessibilità e potenza nella gestione della sicurezza della rete.

RouterOS di MikroTik definisce diverse catene predefinite nel suo firewall per classificare il traffico di rete in diverse fasi di elaborazione, come:

1. Ingresso

Questa catena elabora i pacchetti in entrata diretti al router stesso. È utile per controllare chi può accedere al router e gestire i tentativi di connessione ai servizi offerti dal router, come SSH, Winbox o l'interfaccia web.

2. Uscita

Gestisce i pacchetti che il router genera e invia alla rete. L'utilizzo delle regole in questa catena può essere utile per limitare il traffico in uscita dal router verso determinate destinazioni o servizi.

3. Avanti

Questa catena riguarda i pacchetti che attraversano il router, ovvero il traffico che non è destinato al router stesso, ma lo attraversa semplicemente da un'interfaccia all'altra. Le regole di questa catena sono fondamentali per implementare le politiche di sicurezza tra i diversi segmenti della rete.

4. Prerouting e Postrouting

• Pre-indirizzamento: elabora i pacchetti non appena vengono ricevuti dal router, prima che venga presa la decisione di instradamento. È utile per modificare i pacchetti in entrata prima che vengano elaborati dalle regole di input o di inoltro.
• Post-routing: Si applica ai pacchetti dopo che è stato deciso il percorso, consentendone la modifica subito prima dell'invio. Ciò è utile per modificare l'indirizzo di origine dei pacchetti per applicazioni come NAT (Network Address Translation).

Personalizzazione e Creazione di Catene

Oltre a queste catene predefinite, RouterOS consente agli utenti di creare le proprie catene personalizzate per gestire situazioni specifiche. Ciò aggiunge ancora più flessibilità al sistema firewall, consentendo agli amministratori di progettare e applicare policy di sicurezza molto granulari in base alle loro esigenze specifiche.

Le regole all'interno di ciascuna catena vengono elaborate in ordine sequenziale, dalla prima regola verso il basso, finché un pacchetto non corrisponde a una regola. Pertanto, l'organizzazione e l'ordine delle regole all'interno di una catena sono cruciali per il comportamento desiderato del firewall.

Le azioni che possono essere intraprese sui pacchetti includono consenti, rifiuta, scarta, tra le altre, in base a criteri quali indirizzi IP, porte, protocolli e altro.