כדי להגדיר חוקי חומת אש בנתב MikroTik המאפשרים גישה ל-WinBox רק למשתמש ספציפי, עליך להגדיר את הכללים על סמך כתובת ה-IP של המשתמש.

WinBox הוא יישום ניהול עבור מכשירי MikroTik המשתמש ביציאה 8291 כברירת מחדל.

הנה איך ליצור חוקי חומת אש למטרה זו באמצעות ממשק שורת הפקודה של MikroTik RouterOS (CLI):

שלב 1: אפשר גישה למשתמש הספציפי

ראשית, עליך ליצור כלל המאפשר גישה ליציאה 8291 (בשימוש על ידי WinBox) רק מכתובת ה-IP של המשתמש המורשה. מחליף 192.168.1.2 עם כתובת ה-IP האמיתית של המשתמש.

/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=8291 src-address=192.168.1.2 comment="Permitir acceso WinBox a usuario específico"

כלל זה מוסיף חריג לחומת האש כדי לקבל חיבורי TCP ביציאה 8291 רק אם הם מגיעים מכתובת ה-IP 192.168.1.2.

שלב 2: חסום גישה לכל שאר המשתמשים

לאחר יצירת כלל המאפשר גישה למשתמש הספציפי, עליך לוודא שאף משתמש אחר לא יוכל לגשת אליו דרך WinBox. זה נעשה על ידי יצירת כלל שחוסם כל חיבור אחר ליציאה 8291.

add action=drop chain=input protocol=tcp dst-port=8291 comment="Bloquear acceso WinBox a todos los demás"

כלל זה יבטיח שכל שאר החיבורים ליציאה 8291 שלא הותרו במפורש על ידי כללים קודמים ייחסמו.

שיקולים חשובים

• סדר הכללים: בחומת האש של MikroTik, הכללים מעובדים בסדר רציף מהראשון ועד האחרון. לכן, חיוני להציב את כלל ההיתרים לפני כלל החסימה, כדי להבטיח שלמשתמש המורשה תהיה גישה לפני החלת החסימה הכללית.
• אבטחה נוספת: שקול ליישם אמצעי אבטחה נוספים, כגון שינוי יציאת ברירת המחדל של WinBox ליציאה פחות נפוצה כדי להפחית את הסיכון להתקפות אוטומטיות.
• גישה מרחוק: אם המשתמש זקוק לגישה מרחוק מחוץ לרשת המקומית, ודא שכתובת ה-IP הציבורית ממנה הוא יתחבר היא זו שאתה מגדיר בכלל ושקול להשתמש בכללי VPN או מקור NAT לאבטחה נוספת.

כללי חומת אש אלה יעזרו לך לשלוט בגישה להגדרות הנתב של MikroTik שלך דרך WinBox, תוך מתן אפשרות למשתמשים ספציפיים בלבד ולחסום כל ניסיונות לא מורשים.