ในการกำหนดค่ากฎไฟร์วอลล์บนเราเตอร์ MikroTik ที่อนุญาตให้เข้าถึง WinBox สำหรับผู้ใช้ที่ระบุเท่านั้น คุณต้องกำหนดกฎตามที่อยู่ IP ของผู้ใช้
WinBox เป็นแอปพลิเคชันการจัดการสำหรับอุปกรณ์ MikroTik ที่ใช้พอร์ต 8291 เป็นค่าเริ่มต้น
ต่อไปนี้เป็นวิธีสร้างกฎไฟร์วอลล์เพื่อจุดประสงค์นี้โดยใช้อินเทอร์เฟซบรรทัดคำสั่ง (CLI) ของ MikroTik RouterOS:
ขั้นตอนที่ 1: อนุญาตให้เข้าถึงผู้ใช้เฉพาะ
ขั้นแรก คุณต้องสร้างกฎที่อนุญาตให้เข้าถึงพอร์ต 8291 (ใช้โดย WinBox) จากที่อยู่ IP ของผู้ใช้ที่ได้รับอนุญาตเท่านั้น แทนที่ 192.168.1.2
ด้วยที่อยู่ IP จริงของผู้ใช้
/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=8291 src-address=192.168.1.2 comment="Permitir acceso WinBox a usuario específico"
กฎนี้เพิ่มข้อยกเว้นให้กับไฟร์วอลล์เพื่อยอมรับการเชื่อมต่อ TCP บนพอร์ต 8291 เฉพาะเมื่อมาจากที่อยู่ IP 192.168.1.2
.
ขั้นตอนที่ 2: บล็อกการเข้าถึงของผู้ใช้รายอื่นทั้งหมด
หลังจากสร้างกฎที่อนุญาตให้เข้าถึงผู้ใช้รายใดรายหนึ่งแล้ว คุณต้องแน่ใจว่าไม่มีผู้ใช้รายอื่นสามารถเข้าถึงได้ผ่าน WinBox ซึ่งทำได้โดยการสร้างกฎที่บล็อกการเชื่อมต่ออื่น ๆ ไปยังพอร์ต 8291
add action=drop chain=input protocol=tcp dst-port=8291 comment="Bloquear acceso WinBox a todos los demás"
กฎนี้จะช่วยให้แน่ใจได้ว่าการเชื่อมต่ออื่นๆ ทั้งหมดที่ไปยังพอร์ต 8291 ที่ไม่ได้รับอนุญาตอย่างชัดเจนจากกฎก่อนหน้านี้จะถูกบล็อก
ข้อควรพิจารณาที่สำคัญ
- ลำดับของกฎ: ในไฟร์วอลล์ MikroTik กฎจะถูกประมวลผลตามลำดับตั้งแต่แรกไปสุดท้าย ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องวางกฎการอนุญาตไว้หน้ากฎการบล็อก เพื่อให้แน่ใจว่าผู้ใช้ที่ได้รับอนุญาตมีสิทธิ์เข้าถึงก่อนที่จะใช้การบล็อกทั่วไป
- ความปลอดภัยเพิ่มเติม: พิจารณาใช้มาตรการรักษาความปลอดภัยเพิ่มเติม เช่น การเปลี่ยนพอร์ตเริ่มต้นของ WinBox เป็นพอร์ตที่ใช้น้อยกว่าเพื่อลดความเสี่ยงของการโจมตีอัตโนมัติ
- การเข้าถึงระยะไกล: หากผู้ใช้ต้องการการเข้าถึงระยะไกลจากภายนอกเครือข่ายท้องถิ่น ตรวจสอบให้แน่ใจว่าที่อยู่ IP สาธารณะที่พวกเขาจะเชื่อมต่อนั้นเป็นที่อยู่ที่คุณกำหนดค่าในกฎ และพิจารณาใช้ VPN หรือกฎ Source NAT เพื่อเพิ่มความปลอดภัย
กฎไฟร์วอลล์เหล่านี้จะช่วยให้คุณควบคุมการเข้าถึงการตั้งค่าเราเตอร์ MikroTik ของคุณผ่าน WinBox อนุญาตเฉพาะผู้ใช้ที่ระบุและบล็อกความพยายามที่ไม่ได้รับอนุญาต
ไม่มีแท็กสำหรับโพสต์นี้