Правильная настройка брандмауэра на маршрутизаторе MikroTik необходима для защиты вашей сети от несанкционированного доступа и других типов угроз безопасности. Хотя конкретные правила могут различаться в зависимости от потребностей и конфигурации каждой сети, существуют определенные общие правила и принципы, рекомендуемые для большинства сред.

Ниже приведены некоторые правила и рекомендации для фильтра межсетевого экрана, NAT и других соответствующих разделов конфигурации в MikroTik RouterOS.

Фильтр брандмауэра

Целью фильтра брандмауэра является контроль трафика, проходящего через маршрутизатор, позволяя блокировать или разрешать трафик на основе определенных критериев.

1. Заблокируйте несанкционированный доступ к роутеру:

Обязательно ограничьте доступ к роутеру извне локальной сети. Обычно это делается путем блокировки портов управления, таких как 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS) и 8291 (Winbox).

/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"

2. Защита от распространенных атак:

Внедрите правила для защиты вашей сети от распространенных атак, таких как SYN-флуд, ICMP-флуд и сканирование портов.

Атака SYN наводнения

/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"

Атака ICMP Flood

/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"

3. Разрешить необходимый трафик:

Настройте правила, разрешающие легитимный трафик, необходимый для вашей сети. Сюда входит внутренний трафик, а также трафик в Интернет и из Интернета в зависимости от ваших конкретных потребностей.

Предположим, вы хотите разрешить доступ по SSH только из вашей локальной сети:

/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"

4. Отбросьте все остальное:

В целях безопасности любой трафик, который ранее не был явно разрешен, должен блокироваться. Обычно это делается в конце правил фильтрации брандмауэра с правилом, которое отклоняет или удаляет весь остальной трафик.

Это правило следует поместить в конец правил фильтрации, чтобы оно действовало как политика запрета по умолчанию.

/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"

NAT (преобразование сетевых адресов)

NAT обычно используется для преобразования частных IP-адресов в локальной сети в общедоступный IP-адрес для доступа в Интернет.

1. Маскарад:
   • Используйте действие masquerade в цепочке srcnat чтобы разрешить нескольким устройствам в вашей локальной сети использовать общедоступный IP-адрес для доступа в Интернет. Это важно для сетей, которые получают доступ к Интернету через широкополосное соединение с одним общедоступным IP-адресом.
2. ДНАТ для внутренних служб:
   • Если вам необходимо получить доступ к внутренним сервисам за пределами вашей сети, вы можете использовать Destination NAT (DNAT) для перенаправления входящего трафика на соответствующие частные IP-адреса. Убедитесь, что вы делаете это только для необходимых служб, и учтите последствия для безопасности.

Другие соображения безопасности

1. Программные обновления:
   • Постоянно обновляйте маршрутизатор MikroTik до последней версии RouterOS и прошивки для защиты от известных уязвимостей.
2. Уровень безопасности 7:
   • Для трафика конкретного приложения вы можете настроить правила уровня 7, чтобы блокировать или разрешать трафик на основе шаблонов в пакетах данных.
3. Ограничение диапазона IP-адресов:
   • Ограничивает доступ к определенным службам маршрутизатора только определенными диапазонами IP-адресов, тем самым снижая риск несанкционированного доступа.

Помните, что это лишь общие рекомендации. Конкретная конфигурация брандмауэра должна основываться на детальной оценке ваших потребностей в безопасности, сетевых политиках и соображениях производительности. Кроме того, рекомендуется регулярно проводить тестирование сетевой безопасности для выявления и устранения потенциальных уязвимостей.