Правильная настройка брандмауэра на маршрутизаторе MikroTik необходима для защиты вашей сети от несанкционированного доступа и других типов угроз безопасности. Хотя конкретные правила могут различаться в зависимости от потребностей и конфигурации каждой сети, существуют определенные общие правила и принципы, рекомендуемые для большинства сред.
Ниже приведены некоторые правила и рекомендации для фильтра межсетевого экрана, NAT и других соответствующих разделов конфигурации в MikroTik RouterOS.
Фильтр брандмауэра
Целью фильтра брандмауэра является контроль трафика, проходящего через маршрутизатор, позволяя блокировать или разрешать трафик на основе определенных критериев.
- Заблокируйте несанкционированный доступ к роутеру:
Обязательно ограничьте доступ к роутеру извне локальной сети. Обычно это делается путем блокировки портов управления, таких как 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS) и 8291 (Winbox).
/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"
2. Защита от распространенных атак:
Внедрите правила для защиты вашей сети от распространенных атак, таких как SYN-флуд, ICMP-флуд и сканирование портов.
Атака SYN наводнения
/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"
Атака ICMP Flood
/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"
3. Разрешить необходимый трафик:
Настройте правила, разрешающие легитимный трафик, необходимый для вашей сети. Сюда входит внутренний трафик, а также трафик в Интернет и из Интернета в зависимости от ваших конкретных потребностей.
Предположим, вы хотите разрешить доступ по SSH только из вашей локальной сети:
/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"
4. Отбросьте все остальное:
В целях безопасности любой трафик, который ранее не был явно разрешен, должен блокироваться. Обычно это делается в конце правил фильтрации брандмауэра с правилом, которое отклоняет или удаляет весь остальной трафик.
Это правило следует поместить в конец правил фильтрации, чтобы оно действовало как политика запрета по умолчанию.
/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"
NAT (преобразование сетевых адресов)
NAT обычно используется для преобразования частных IP-адресов в локальной сети в общедоступный IP-адрес для доступа в Интернет.
- Маскарад:
- Используйте действие
masquerade
в цепочкеsrcnat
чтобы разрешить нескольким устройствам в вашей локальной сети использовать общедоступный IP-адрес для доступа в Интернет. Это важно для сетей, которые получают доступ к Интернету через широкополосное соединение с одним общедоступным IP-адресом.
- Используйте действие
- ДНАТ для внутренних служб:
- Если вам необходимо получить доступ к внутренним сервисам за пределами вашей сети, вы можете использовать Destination NAT (DNAT) для перенаправления входящего трафика на соответствующие частные IP-адреса. Убедитесь, что вы делаете это только для необходимых служб, и учтите последствия для безопасности.
Другие соображения безопасности
- Программные обновления:
- Постоянно обновляйте маршрутизатор MikroTik до последней версии RouterOS и прошивки для защиты от известных уязвимостей.
- Уровень безопасности 7:
- Для трафика конкретного приложения вы можете настроить правила уровня 7, чтобы блокировать или разрешать трафик на основе шаблонов в пакетах данных.
- Ограничение диапазона IP-адресов:
- Ограничивает доступ к определенным службам маршрутизатора только определенными диапазонами IP-адресов, тем самым снижая риск несанкционированного доступа.
Помните, что это лишь общие рекомендации. Конкретная конфигурация брандмауэра должна основываться на детальной оценке ваших потребностей в безопасности, сетевых политиках и соображениях производительности. Кроме того, рекомендуется регулярно проводить тестирование сетевой безопасности для выявления и устранения потенциальных уязвимостей.
Для этого поста нет тегов.
2 комментария к статье «Какие правила должен соблюдать каждый маршрутизатор MikroTik: фильтр брандмауэра, nat и т. д.?»
Информация в этом разделе очень скудная, думала получу очень подробную информацию, но дальше искать в интернете практически нечего.
Хосе, твой комментарий очень точен, поэтому я приступил к расширению и обновлению документации.
Я очень ценю ваш отзыв и надеюсь, что теперь он развеял ваши сомнения.