Ang wastong pag-configure ng firewall sa isang MikroTik router ay mahalaga upang maprotektahan ang iyong network mula sa hindi awtorisadong pag-access at iba pang uri ng mga banta sa seguridad. Bagama't maaaring mag-iba-iba ang mga partikular na panuntunan depende sa mga pangangailangan at pagsasaayos ng bawat network, may ilang mga pangkalahatang tuntunin at prinsipyo na inirerekomenda para sa karamihan ng mga kapaligiran.

Nasa ibaba ang ilan sa mga panuntunan at pinakamahusay na kagawian para sa filter ng firewall, NAT, at iba pang nauugnay na mga seksyon ng configuration sa MikroTik RouterOS.

FirewallFilter

Ang layunin ng filter ng firewall ay kontrolin ang trapiko na dumadaan sa router, na nagbibigay-daan sa iyong harangan o payagan ang trapiko batay sa ilang pamantayan.

1. I-block ang hindi awtorisadong pag-access sa router:

Tiyaking higpitan ang pag-access sa router mula sa labas ng iyong lokal na network. Karaniwan itong ginagawa sa pamamagitan ng pagharang sa mga port ng pamamahala, tulad ng 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS), at 8291 (Winbox).

/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"

2. Protektahan laban sa mga karaniwang pag-atake:

Magpatupad ng mga panuntunan upang protektahan ang iyong network mula sa mga karaniwang pag-atake, gaya ng SYN flood, ICMP flood, at port scanning.

SYN Flood Attack

/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"

ICMP Flood Attack

/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"

3. Payagan ang kinakailangang trapiko:

I-configure ang mga panuntunan upang payagan ang lehitimong trapiko na kinakailangan para sa iyong network. Kabilang dito ang panloob na trapiko at trapiko papunta at mula sa Internet batay sa iyong mga partikular na pangangailangan.

Ipagpalagay na gusto mong payagan ang pag-access ng SSH mula lamang sa iyong lokal na network:

/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"

4. I-drop ang lahat ng iba pa:

Bilang isang kasanayang pangseguridad, anumang trapiko na hindi pa malinaw na pinahintulutan dati ay dapat na i-block. Karaniwang ginagawa ito sa dulo ng iyong mga panuntunan sa filter ng firewall na may panuntunang tumatanggi o bumababa sa lahat ng iba pang trapiko.

Dapat ilagay ang panuntunang ito sa dulo ng iyong mga panuntunan sa filter upang kumilos bilang default na patakaran sa pagtanggi.

/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"

NAT (Pagsasalin sa Address ng Network)

Ang NAT ay karaniwang ginagamit upang isalin ang mga pribadong IP address sa iyong lokal na network sa isang pampublikong IP address para sa pag-access sa Internet.

1. Pagbabalatkayo:
   • Gamitin ang aksyon masquerade sa kadena srcnat upang payagan ang maraming device sa iyong lokal na network na magbahagi ng pampublikong IP address para sa pag-access sa Internet. Mahalaga ito para sa mga network na nag-a-access sa Internet sa pamamagitan ng koneksyon sa broadband na may iisang pampublikong IP.
2. DNAT para sa mga panloob na serbisyo:
   • Kung kailangan mong i-access ang mga panloob na serbisyo mula sa labas ng iyong network, maaari mong gamitin ang Destination NAT (DNAT) upang i-redirect ang papasok na trapiko sa mga kaukulang pribadong IP. Tiyaking gagawin mo lamang ito para sa mga kinakailangang serbisyo at isaalang-alang ang mga implikasyon sa seguridad.

Iba pang mga pagsasaalang-alang sa kaligtasan

1. Pag-update ng software:
   • Panatilihing updated ang iyong MikroTik router gamit ang pinakabagong bersyon ng RouterOS at firmware upang maprotektahan laban sa mga kilalang kahinaan.
2. Layer 7 Seguridad:
   • Para sa trapikong tukoy sa application, maaari mong i-configure ang mga panuntunan sa Layer 7 upang harangan o payagan ang trapiko batay sa mga pattern sa mga packet ng data.
3. Limitasyon sa Saklaw ng IP Address:
   • Pinaghihigpitan ang pag-access sa ilang mga serbisyo ng router sa mga partikular na saklaw ng IP address lamang, sa gayon ay binabawasan ang panganib ng hindi awtorisadong pag-access.

Tandaan na ang mga ito ay mga pangkalahatang patnubay lamang. Ang iyong partikular na configuration ng firewall ay dapat na nakabatay sa isang detalyadong pagsusuri ng iyong mga pangangailangan sa seguridad, mga patakaran sa network, at mga pagsasaalang-alang sa pagganap. Bukod pa rito, ipinapayong magsagawa ng regular na pagsubok sa seguridad ng network upang matukoy at mabawasan ang mga potensyal na kahinaan.