W kontekście zapory MikroTik łańcuchy to zasadniczo reguły lub sekwencje przetwarzania, przez które przechodzą pakiety danych w celu sprawdzenia i filtrowania.

Każdy łańcuch reprezentuje określony punkt w przepływie ruchu przez router, w którym można oceniać pakiety i nimi manipulować zgodnie z regułami określonymi przez administratora sieci. Łańcuchy umożliwiają szczegółową klasyfikację i kontrolę ruchu, oferując dużą elastyczność i możliwości w zarządzaniu bezpieczeństwem sieci.

RouterOS MikroTika definiuje kilka domyślnych łańcuchów w swojej zaporze ogniowej, aby kategoryzować ruch sieciowy na różne etapy przetwarzania, takie jak:

1. Wkład

Łańcuch ten przetwarza przychodzące pakiety kierowane do samego routera. Przydatne jest kontrolowanie, kto może uzyskać dostęp do routera i zarządzanie próbami połączenia z usługami oferowanymi przez router, takimi jak SSH, Winbox lub interfejs sieciowy.

2. Wydajność

Zarządza pakietami generowanymi przez router i wysyłanymi do sieci. Korzystanie z reguł w tym łańcuchu może być przydatne do ograniczania ruchu wychodzącego z routera do określonych miejsc docelowych lub usług.

3. Naprzód

Łańcuch ten dotyczy pakietów przechodzących przez router, to znaczy ruchu, który nie jest przeznaczony dla samego routera, ale po prostu przechodzi przez niego z jednego interfejsu do drugiego. Reguły w tym łańcuchu mają kluczowe znaczenie dla wdrożenia zasad bezpieczeństwa pomiędzy różnymi segmentami sieci.

4. Prerouting i postrouting

• Wstępne wyznaczanie trasy: Przetwarza pakiety natychmiast po ich odebraniu przez router, przed podjęciem decyzji o routingu. Jest to przydatne do zmiany przychodzących pakietów przed ich przetworzeniem przez reguły wprowadzania lub przekazywania.
• Postrouting: Dotyczy pakietów po ustaleniu ich trasy, co pozwala na ich modyfikację tuż przed wysłaniem. Jest to przydatne do zmiany adresu źródłowego pakietów dla aplikacji takich jak NAT (tłumaczenie adresów sieciowych).

Dostosowywanie i tworzenie łańcuchów

Oprócz tych predefiniowanych łańcuchów, RouterOS umożliwia użytkownikom tworzenie własnych, niestandardowych łańcuchów do obsługi określonych sytuacji. Zapewnia to jeszcze większą elastyczność systemu zapory sieciowej, umożliwiając administratorom projektowanie i stosowanie bardzo szczegółowych zasad bezpieczeństwa w oparciu o ich specyficzne potrzeby.

Reguły w każdym łańcuchu są przetwarzane w kolejności, od pierwszej reguły w dół, aż pakiet będzie odpowiadał regule. Dlatego organizacja i kolejność reguł w łańcuchu mają kluczowe znaczenie dla pożądanego zachowania zapory.

Działania, które można podjąć na pakietach, obejmują między innymi zezwalanie, odrzucanie, odrzucanie na podstawie kryteriów takich jak adresy IP, porty, protokoły i inne.